Accord sur le traitement des données

Ver 1.0 Dernière mise à jour : 21 décembre 2023

Télécharger l'accord sur le traitement des données (PDF)

Télécharger

Le présent accord sur le traitement des données ("DPA"), à compter du 21 décembre 2023, entre Client ("Données Contrôleur" ou "Client") et Eton Solutions, L.P. ("Responsable du traitement des données" ou "Eton") énonce les conditions relatives au respect de la vie privée, à la confidentialité, à la sécurité et à la protection des données personnelles (telles que définies ci-dessous) associées aux services rendus par, et/ou aux produits fournis par, le Processeur au Contrôleur (et/ou à ses Sociétés affiliées) conformément à tout accord entre Eton et le Client (et/ou ses Sociétés affiliées), qu'un tel accord existe à la Date d'entrée en vigueur ou après celle-ci (un tel accord, le cas échéant, le "Accord de services"), qui, avec le présent DPA, constituent le "Accord").

1. Définitions

"Affiliés"Le terme "contrôle" (y compris les termes "contrôlé par" et "sous contrôle commun avec") désigne la possession, directe ou indirecte, du pouvoir de diriger, d'influencer ou de faire diriger les politiques de gestion d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou de toute autre manière.

"Agrégat"On entend par là la combinaison d'informations relatives à un groupe ou à une catégorie de personnes, dont les identités individuelles ont été supprimées, qui ne sont pas liées ou raisonnablement reliables à une personne ou à un ménage, y compris par l'intermédiaire d'un dispositif.

"Anonymisation"a le sens qui lui est attribué dans le GDPR et comprend également le terme "Désidentifier" tel qu'il est défini dans la CCPA et l'ACPR.

"CCPA"La loi californienne de 2018 sur la protection de la vie privée des consommateurs et ses règlements d'application. "CPRA"La loi californienne de 2020 sur les droits à la vie privée et ses règlements d'application.

"Données personnelles des clients"désigne les données à caractère personnel traitées par l'Eton en tant que sous-traitant pour le compte du client ou de sa société affiliée conformément à l'accord de services.

"Contrôleur à processeur SCC"On entend par Clauses contractuelles types (sous-traitants) dans l'annexe de la décision de la Commission européenne du 5 février 2010, tels qu'ils peuvent être modifiés ou remplacés de temps à autre.

 Contrôleur des données” désigne l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.

Responsable du traitement des données” désigne l'entité qui traite les données à caractère personnel pour le compte du contrôleur des données.

"Lois sur la protection des donnéesLe terme "protection des données" désigne, dans la mesure où il s'applique aux parties, l'ensemble des lois, règles, réglementations, directives et exigences gouvernementales applicables en matière de protection des données, actuellement en vigueur et au fur et à mesure de leur entrée en vigueur, concernant de quelque manière que ce soit la vie privée, la confidentialité, la sécurité ou la protection des données à caractère personnel, et comprend le GDPR, la PDPA, la CCPA et l'ACPR.

"Personne concernéepersonne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel" : une personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.

"L'Europe" ou "L'UE"L'Espace économique européen plus la Suisse et le Royaume-Uni.

"GDPR" désigne collectivement le règlement général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016, tel que modifié ou remplacé de temps à autre, et la loi britannique sur la protection des données de 2018 ("GDPR britannique" car il fait partie du droit de l'UE conservé (tel que défini dans la loi de 2018 sur l'Union européenne (retrait))).

"PDPA"La loi sur la protection des données personnelles de 2012.

Données personnelles” désigne toute donnée, information ou enregistrement traité dans le cadre de l'accord de services (i) concernant une personne physique identifiée ou identifiable, ou (ii) qui identifie, concerne, décrit, est raisonnablement susceptible d'être associé ou pourrait raisonnablement être lié, directement ou indirectement, à une personne physique ou à un ménage particulier, quel que soit le support sur lequel il est conservé.

"Violation de données personnelles"(1) une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données à caractère personnel du client traitées dans le cadre de l'accord de services, ou (2) un incident similaire impliquant des données à caractère personnel du client.

Processus,” “Traitement" ou "Traitée” désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. 

"Vendrea la signification qui lui est attribuée dans l'ACCP.

Sensible Personnel Données” a le sens qui lui est donné dans le GDPR, la PDPA et l'ACPR.

"Clauses contractuelles typesou "CCN"On entend par là, le cas échéant, les CCAP entre contrôleurs et sous-traitants conclus entre les parties.

"Autorité de surveillance"Un régulateur gouvernemental ou une autorité d'exécution qui dispose d'une autorité de régulation ou d'exécution en ce qui concerne la vie privée, la confidentialité, la sécurité ou la protection des données à caractère personnel.

2. Nature du traitement des données

2.1 Limites de traitement. Eton ne traitera les Données Personnelles du Client et les Données Personnelles Sensibles que conformément au calendrier de traitement figurant à l'Annexe 1 (Section A), pour le compte du Client et conformément aux instructions écrites du Client telles qu'elles figurent dans le Contrat de Services ou en vertu de celui-ci. Eton traitera les données personnelles du client comme des informations confidentielles et imposera des obligations de confidentialité à tout le personnel qui traite les données personnelles du client. Eton ne (i) vendra pas les données personnelles du client ou les données personnelles sensibles ; ni (ii) ne conservera, n'utilisera ou ne divulguera les données personnelles du client (a) à d'autres fins que celles spécifiques de l'exécution du contrat, ou (b) en dehors de la relation commerciale directe entre Eton et le client (et ses sociétés affiliées).

Si la loi applicable exige qu'Eton (ou, pour éviter tout doute, tout sous-traitant) effectue un traitement qui est ou pourrait être interprété comme étant incompatible avec les instructions du client, Eton informera rapidement le client de cette incompatibilité avant de commencer (ou de continuer) le traitement, à moins que la notification ne soit interdite par la loi.

2.2 Rôle des parties. Entre Eton et le client (et ses sociétés affiliées), le client (ou sa société affiliée) est le contrôleur des données personnelles du client, et Eton est le responsable du traitement des données, qui traite les données personnelles du client au nom du client (ou de sa société affiliée) et n'aura aucun droit de propriété ou d'intérêt sur les données personnelles du client. Les parties reconnaissent et acceptent que (i) les données personnelles du client, que le client ou son affilié divulgue à Eton, sont fournies à Eton à des fins professionnelles, et le client ne vend pas de données personnelles à Eton dans le cadre de l'accord ; et (ii) pendant que les données personnelles du client et les données personnelles sensibles sont traitées par Eton, le client (ou son affilié) n'a aucune connaissance ou raison de croire qu'Eton n'est pas en mesure de se conformer aux dispositions de ce DPA informer le client (ou son affilié) s'il n'est pas en mesure de fournir les services.

2.3 Anonymisation ou agrégation des données. Eton ne peut pas rendre anonymes les données personnelles du client et les données personnelles sensibles dans le cadre de l'exécution de l'accord de services ou à toute autre fin, à moins qu'il ne reçoive le consentement écrit préalable du client pour de telles activités. Si le Client donne son consentement, l'anonymisation ou l'agrégation, selon le cas, ne peut être effectuée que dans la mesure où cette activité répond à la norme applicable requise en vertu des lois sur la protection des données. Eton peut agréger les données personnelles du client et les données sensibles dans le cadre de son exécution en vertu de l'accord de services pour montrer des statistiques de performance des données financières.

3. Respect du droit applicable

Les parties se conforment aux lois sur la protection des données. Le présent DPA ne vise pas à réduire le niveau de protection applicable à chaque personne concernée. En cas de conflit entre le DPA et l'accord de services, les termes du DPA prévalent. En cas de conflit entre le présent DPA et les lois sur la protection des données, les dispositions des lois sur la protection des données applicables prévaudront. Conformément à la section 5 ci-dessous, Eton se conformera aux normes et exigences de l'industrie qui s'appliquent à Eton et qui concernent la vie privée, la confidentialité, la sécurité, la protection ou le stockage électronique des données personnelles du client. Si Eton estime qu'une instruction du client enfreint ou risque d'enfreindre la loi applicable, Eton en informera immédiatement le client.

4. Sous-processeurs

4.1 Nomination des sous-traitants secondaires. Eton ne sous-traitera aucun de ses droits ou obligations en vertu du contrat sans l'accord écrit préalable du client. Sauf accord contraire dans le contrat de services, le client consent par la présente à ce qu'Eton utilise ses sociétés affiliées comme sous-traitants et tout autre tiers comme sous-traitants si ces tiers sont spécifiquement identifiés dans le contrat de services (y compris tout énoncé de travail ou formulaire de commande applicable). Eton informera le client par écrit de toute modification prévue des sous-traitants autorisés et le client notifiera rapidement à Eton par écrit toute objection raisonnable et liée à la protection des données à l'encontre de ces modifications. Si Eton, avec le consentement du client, consentement qui ne sera pas refusé sauf en cas d'objection telle que décrite ci-dessus, sous-traite ses obligations en vertu du contrat de services à un sous-traitant qui a été jugé capable de protéger les données personnelles du client, Eton ne le fera qu'au moyen d'un accord écrit avec ce sous-traitant qui impose au sous-traitant des obligations en matière de protection de la vie privée, de confidentialité, de sécurité et de protection des données au moins équivalentes à celles qui sont énoncées dans le présent DPA, y compris l'obligation d'imposer ces obligations à tout sous-traitant ultérieur.

4.2 Responsabilité. Eton reste responsable envers le client (i) de ses obligations en vertu de l'accord, même si ces obligations sont déléguées à un sous-traitant, y compris l'exécution correcte et opportune des services, et (ii) des actes ou omissions de toute personne ou entité à laquelle Eton délègue une telle obligation.

5. Sécurité 

5.1 Programme de sécurité. En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes concernées, Eton maintiendra ou fera maintenir un programme de sécurité de l'information raisonnable et approprié qui est conforme aux lois sur la protection des données et est conçu pour garantir raisonnablement la confidentialité, l'intégrité, la disponibilité et la résilience de toutes les données personnelles des clients.

5.2 Mesures de sécurité. Eton maintiendra des mesures de sécurité administratives, physiques, techniques (y compris électroniques) et organisationnelles raisonnables et appropriées, y compris, le cas échéant : (i) le cryptage et la pseudonymisation ; (ii) la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ; (iii) la capacité de restaurer la disponibilité et l'accès aux données personnelles du client en temps opportun en cas d'incident physique ou technique ; et (iv) un processus permettant de tester, d'évaluer et d'apprécier l'efficacité de ces mesures de façon régulière. Eton déclare et garantit qu'elle a mis en œuvre les mesures de sécurité administratives, physiques, techniques et organisationnelles décrites dans l'annexe 2 ci-jointe afin de protéger les données personnelles du client. Eton accepte de stocker les données personnelles du client conformément au contrat de services aux États-Unis et reconnaît en outre qu'elle ne combinera pas les données personnelles avec les données personnelles de ses affiliés.

5.3 Accès aux données personnelles des clients. Eton s'assurera que les données personnelles du client ne sont accessibles qu'au personnel d'Eton qui a un besoin professionnel légitime d'accéder aux données personnelles du client, qui est lié par des obligations de confidentialité légalement exécutoires, qui a reçu une formation sur les politiques et procédures applicables en matière de protection des données, et qui ne traitera les données personnelles du client que conformément aux instructions du client. Si Eton n'est pas en mesure de traiter les données personnelles du client conformément aux instructions de ce dernier, Eton en informera le client dans les plus brefs délais.

5.4 Réponse et notification en cas de violation de données à caractère personnel. Eton informera rapidement le client, dans les 72 heures et sans retard injustifié, de toute violation de données personnelles dont Eton a connaissance, en envoyant un avis écrit par courrier électronique. Eton fournira un avis supplémentaire, le cas échéant, qui résumera de manière raisonnablement détaillée la nature de la violation de données personnelles, y compris les catégories et le nombre approximatif de sujets de données affectés ; si les données personnelles du client sont perdues, volées ou compromises, le cas échéant ; l'évaluation par Eton des conséquences de la violation des données personnelles ; les mesures correctives prises ou à prendre par Eton ; tout point de contact interne responsable de la gestion ou de la réponse à la violation ; et le délégué à la protection des données d'Eton ou son équivalent en vertu des lois sur la protection des données applicables, le cas échéant. Eton prendra rapidement toutes les mesures correctives nécessaires et souhaitables et coopérera pleinement avec le client dans le cadre de tous les efforts raisonnables et légaux visant à prévenir, atténuer ou rectifier une telle violation de données personnelles. Si, selon l'évaluation du client, une violation de données personnelles affectant les données personnelles du client doit être divulguée ou signalée à un tiers, y compris les personnes concernées, les autorités de surveillance ou les autorités gouvernementales, Eton coopérera pleinement avec le client et l'assistera dans ce rapport ou cette divulgation dans un délai de 72 heures.

6. Audits/Inspections

Eton mettra à la disposition du client toutes les informations nécessaires pour démontrer le respect des obligations de ce DPA. Le client aura le droit de vérifier la conformité d'Eton et de tout sous-traitant avec les termes de ce DPA en ce qui concerne le traitement des données personnelles du client ou de nommer un auditeur tiers (non concurrent d'Eton) dans le cadre d'obligations raisonnables de confidentialité pour vérifier la même chose au nom du client. Eton accordera au client, ou à ses agents, l'accès nécessaire à l'inspection et à l'examen de toutes les installations de traitement des données, de tous les fichiers de données et de toute autre documentation en rapport avec le traitement des données personnelles du client conformément à l'accord. Eton accepte de fournir une assistance raisonnable au client pour faciliter cette fonction d'inspection. Le client donnera à Eton un préavis écrit de 30 jours de son intention de procéder à un audit et ne fera pas une telle demande plus d'une fois par année civile (à moins qu'il n'y ait eu une violation des données personnelles affectant les données personnelles du client). Si Eton n'a pas le droit d'auditer (ou de faire respecter le droit du client d'auditer) un sous-traitant, Eton mettra à la disposition du client des copies des certifications ou des rapports démontrant la conformité de ce sous-traitant avec les normes de sécurité des données en vigueur applicables au traitement des données personnelles du client. Nonobstant toute disposition contraire dans le présent DPA, les parties conviennent que les audits décrits dans les CCS applicables entre le contrôleur et le sous-traitant seront effectués conformément à la présente section.

7. L'obligation de coopération d'Eton

7.1 Coopération. Eton fournira une assistance raisonnable au Client pour (i) répondre aux demandes des personnes concernées d'exercer leurs droits en vertu des lois sur la protection des données ; (ii) aider le Client à effectuer une évaluation de l'impact sur la protection des données en ce qui concerne le traitement des données personnelles du Client en vertu de ce DPA ; et (iii) les demandes ou les enquêtes sur le Client par une autorité de surveillance en ce qui concerne le traitement des données personnelles du Client en vertu de l'Accord. Eton a le droit de facturer des frais raisonnables pour l'exécution de ses obligations en vertu de la présente section, ainsi que le remboursement de tous les coûts et dépenses encourus.‍

7.2 Demandes d'accès de tiers et plaintes. Eton notifiera rapidement au client, dans les 72 heures, toute demande ou plainte émanant d'une autorité de contrôle, d'un fonctionnaire, d'une personne concernée ou de tout autre tiers concernant les données personnelles du client ou les obligations du client en vertu des lois sur la protection des données. Eton informera le client de tout mandat, assignation ou autre demande similaire concernant les données personnelles du client au plus tard cinq (5) jours ouvrables après réception, à moins que la loi applicable ne l'interdise. Eton se conformera à toute demande de conservation du client concernant les données personnelles du client et fournira le soutien nécessaire pour que le client puisse se conformer aux demandes de tiers si le client ne peut pas raisonnablement obtenir ces informations.

8. Conservation, restitution et suppression des données

8.1 Rétention. Eton ne conservera pas les données personnelles du client plus longtemps qu'il n'est raisonnablement nécessaire pour atteindre les objectifs pour lesquels les données personnelles du client ont été traitées conformément à l'accord.

8.2 Retour et suppression. Lorsque les données personnelles du client ne sont plus nécessaires aux fins énoncées dans le contrat de services applicable ou rapidement après l'expiration ou la résiliation du contrat, selon la première éventualité, ou à un moment antérieur demandé par écrit par le client, Eton (i) renverra au client, dans le format et sur le support demandés par le client, toutes les données personnelles du client ou, si spécifié par le client, toute partie de ces données ; et (ii) détruira toutes les données personnelles du client en possession ou sous le contrôle d'Eton ou, si spécifié par le client, toute partie de ces données ; à condition que : (a) dans le cas où le client demande un tel retour ou une telle destruction, dans la mesure où Eton est empêché ou retardé dans l'exécution de ses obligations en vertu du contrat de services sans ces données personnelles du client, ce manquement ou ce retard ne constitue pas une violation de ces obligations ; et (b) des copies de ces données personnelles du client peuvent être conservées dans la mesure où elles sont stockées électroniquement conformément aux procédures de sauvegarde habituelles d'Eton (y compris, sans limitation, celles concernant la communication électronique) tant que ces données personnelles du client sont gardées confidentielles comme l'exige par ailleurs le présent DPA. Les obligations susmentionnées s'appliquent également aux données personnelles des clients détenues par des sous-traitants dans la mesure où l'accord d'Eton avec ces sous-traitants le permet. Eton fournira un certificat de destruction sur demande. Si la loi applicable ne permet pas à Eton de se conformer au retour ou à la destruction des données personnelles du client, Eton accepte que les données personnelles du client conservées restent en sa possession sous réserve des conditions de ce RGPD et qu'il retourne ou détruise ces données personnelles du client lorsque la loi applicable le permet.

9. Transferts internationaux de données

9.1 Mécanisme de transfert. Si les services et/ou produits fournis par Eton dans le cadre du contrat de services impliquent un transfert international de données personnelles du client régies par les lois sur la protection des données, ce transfert n'aura lieu que si (selon le cas) : (i) le pays ou le territoire vers lequel le transfert doit être effectué se trouve dans l'Espace économique européen ou en Suisse ; (ii) la Commission européenne ou l'autorité de surveillance compétente a jugé le pays ou le territoire vers lequel les données sont transférées adéquat pour la protection des données ; ou (iii) Eton peut fournir des garanties appropriées conformément aux lois sur la protection des données en vigueur. Ces garanties appropriées peuvent inclure, sans s'y limiter, la mise en place de règles d'entreprise contraignantes, un traitement conforme au système de règles transfrontalières de protection de la vie privée de l'APEC, ou l'adhésion à un mécanisme de certification, un mécanisme contractuel ou un code de conduite qui a été approuvé par l'autorité de contrôle compétente.

9.2 Clauses contractuelles types. Si aucun des mécanismes susmentionnés de la section 9.1 ne s'applique au transfert de données à caractère personnel hors d'Europe, le transfert des données à caractère personnel du client sera soumis à la version européenne inchangée des CCN applicables entre le contrôleur et le sous-traitant. Les CCAP sont réputés incorporés par référence dans le présent document (une signature de la présente DPA est réputée être une signature des CCAP applicables). Aux fins des CSC : (i) le client est considéré comme l'exportateur de données et Eton comme l'importateur de données. Toute référence à la directive 95/46/CE dans les CCN sera interprétée comme une référence aux dispositions appropriées du GDPR, de la loi britannique sur la protection des données de 2018 ou de la loi fédérale suisse sur la protection des données de 1992, dans la mesure du possible et selon le cas. Aucune disposition du présent DPA ne doit être interprétée comme prévalant sur une clause contradictoire des CSC, à moins qu'une disposition du présent DPA ne prévoie des garanties supplémentaires par rapport à celles contenues dans la clause contradictoire des CSC, auquel cas la disposition du présent DPA sera réputée compléter et s'ajouter à cette clause des CSC et ne pas entrer en conflit avec elle. Eton reconnaît avoir eu la possibilité d'examiner les CSC applicables.

9.3 Contrôleur à processeur SCCS. Aux fins des CCAP entre contrôleurs et sous-traitants : (i) le droit applicable dans la clause 9 est le droit de la juridiction dans laquelle l'exportateur de données est situé ; (ii) la clause d'indemnisation illustrative des CCAP entre contrôleurs et sous-traitants est réputée ne pas s'appliquer en vertu de la présente section ; et (iii) sauf accord contraire des parties, les annexes 1 (section A) et 2 du présent DPA s'appliquent et sont réputées être les annexes 1 et 2 des CCAP entre contrôleurs et sous-traitants.

9.4 Mécanismes alternatifs de transfert de données. Les mécanismes de transfert, autres que ceux décrits dans les sections 9.1 à 9.3 ci-dessus, qui sont approuvés en vertu des lois sur la protection des données, peuvent être utilisés le cas échéant. Les parties conviennent de déployer des efforts raisonnables pour mettre en place ces mécanismes alternatifs, le cas échéant, et de modifier le présent DPA si nécessaire pour garantir la conformité des mécanismes de transfert en cas de modification de la législation sur la protection des données. En particulier, si les CSC sont modifiées, remplacées ou abrogées par la Commission européenne ou en vertu des lois sur la protection des données, les parties collaboreront de bonne foi pour conclure toute version mise à jour des CSC ou pour négocier de bonne foi une solution permettant d'effectuer un transfert international de données à caractère personnel en conformité avec les lois sur la protection des données.

9.5 Transfert international de données personnelles de clients d'Eton à des tiers. Eton ne transférera pas les données personnelles du client, en interne ou à des sous-traitants, à partir d'une juridiction qui restreint le transfert international de données personnelles vers des zones situées en dehors de cette juridiction sans l'accord préalable du client et seulement après avoir pris des mesures, sur une base continue, pour s'assurer que ce transfert est conforme aux lois sur la protection des données. Si Eton découvre ou croit raisonnablement que des données personnelles du client ont été ou sont traitées dans une juridiction sans la mise en œuvre d'un accord de transfert de données nécessaire, Eton mettra rapidement en place un tel accord de transfert et en informera rapidement le client.

9.6 Transfert de données personnelles en dehors de Singapour : Eton ne transférera pas les données personnelles du client en dehors de Singapour sans l'accord écrit préalable du client. Si le client donne son accord, Eton s'engage par écrit à ce que les données personnelles du client transférées en dehors de Singapour soient protégées selon des normes comparables à celles de la PDPA. Si Eton transfère les données personnelles du client à un tiers ou à un sous-traitant, Eton devra obtenir le même engagement écrit de la part de ce tiers ou de ce sous-traitant. 

9.7 Évaluations des transferts internationaux. Eton effectuera et maintiendra pendant toute la durée du DPA une évaluation des transferts internationaux de données qui démontre sa conformité avec les termes de ce DPA et, le cas échéant, les CSC, en ce qui concerne les opérations de traitement spécifiques, y compris par ses affiliés et sous-traitants, les catégories de personnes concernées et de données personnelles du client traitées dans le cadre de ce DPA, et mettra cette évaluation à la disposition du client à sa demande. Eton confirme qu'elle contrôlera à tout moment sa capacité à effectuer des transferts internationaux de données personnelles du client et qu'elle maintiendra son évaluation des transferts internationaux de données. Eton coopérera avec le Client et lui fournira une assistance raisonnable en ce qui concerne la fourniture d'une telle évaluation à une autorité de contrôle.

9.8 Coûts liés aux transferts internationaux de données à caractère personnel vers des pays tiers. Sauf disposition contraire, chaque partie supporte les coûts occasionnés par les actions ou mesures prises par elle en vertu de la présente section.

10. Divers

10.1 Norme de protection. Le présent DPA remplace toute disposition du contrat de services dans la mesure où cette disposition concerne la vie privée, la confidentialité, la sécurité ou la protection des données personnelles ; à condition, toutefois, qu'en cas de conflit entre le présent DPA et le contrat de services, Eton se conforme aux obligations qui assurent la meilleure protection des données personnelles du client.

10.2 Droit applicable. Le présent DPA et toutes les réclamations ou causes d'action (contractuelles ou délictuelles) qui peuvent être fondées sur le présent DPA, en découler ou y être liées de quelque manière que ce soit, seront régis et interprétés conformément aux lois identifiées dans l'accord de services, sauf dans la mesure où les lois sur la protection des données exigent qu'il en soit autrement. Dans ce cas, et dans la mesure où cela est requis, le présent DPA sera régi conformément aux lois sur la protection des données et, le cas échéant, sera soumis à la juridiction de l'exportateur de données concerné qui a exporté les données à caractère personnel.

10.3 Changements dans la loi sur la protection des données. Eton conclura tout autre accord raisonnablement demandé par le client afin de se conformer aux lois sur la protection des données. En cas de conflit entre le présent DPA et tout autre accord écrit relatif à la vie privée, à la confidentialité, à la sécurité ou à la protection des données, cet autre accord écrit prévaudra en ce qui concerne le traitement des données à caractère personnel auquel il s'applique.

10.4 Intégralité de l'accord/modifications. Le présent DPA constitue l'intégralité de l'accord entre le client et Eton en ce qui concerne l'objet du présent DPA, et il n'existe aucun autre accord, arrangement, condition ou déclaration, oral ou écrit, explicite ou implicite, relatif à l'objet du présent DPA, qui ne soit pas fusionné avec le présent DPA ou qui ne soit pas remplacé par celui-ci. Aucune modification du présent DPA ne sera valable si elle n'est pas faite par écrit et signée par les représentants autorisés de toutes les parties.

10.5 Tiers bénéficiaires. Dans la mesure où le présent DPA bénéficie et/ou concerne les sociétés affiliées du client, ces dernières sont des tiers bénéficiaires du présent DPA à toutes fins utiles, y compris, mais sans s'y limiter, pour l'application des dispositions du présent DPA.

10.6 Contreparties/Signature électronique. Le présent DPA peut être signé en plusieurs exemplaires, dont chacun sera considéré comme un original, mais dont l'ensemble constituera un seul et même instrument. Le présent DPA ou tout autre exemplaire peut être échangé électroniquement ou stocké électroniquement sous forme de photocopie (par exemple au format .pdf). Les parties conviennent que ces copies échangées ou stockées électroniquement seront exécutoires en tant que documents originaux. Les parties consentent par la présente à l'utilisation de signatures électroniques et/ou numériques pour l'exécution du présent DPA et conviennent en outre que l'utilisation de signatures électroniques et/ou numériques sera contraignante, exécutoire et recevable comme preuve dans tout litige concernant le présent DPA.

Le client et Eton, chacun par l'intermédiaire de son représentant dûment autorisé, acceptent les termes et conditions de ce DPA à compter de la date d'entrée en vigueur.

Annexe 1 Calendrier des traitements

Les Données à caractère personnel du Client suivantes peuvent être transférées et traitées aux fins indiquées ci-dessous. Le cas échéant, la présente annexe fait partie des CCAP, qui sont réputés signés par les parties lors de la signature de l'Accord de services. Le cas échéant, la section A ci-dessous fait partie des CCAP entre le contrôleur et le sous-traitant.

Exportateur de donnéesL'exportateur de données désigne individuellement et collectivement le client et ses sociétés affiliées (telles que définies dans le contrat de services applicable), établis dans l'Espace économique européen (EEE), en Suisse et au Royaume-Uni.

Importateur de donnéesL'importateur de données est Eton s'il est établi en dehors de l'EEE, de la Suisse et du Royaume-Uni. Eton sera également considéré comme l'importateur de données lorsque les données à caractère personnel sont transférées de l'EEE ou de la Suisse vers le Royaume-Uni.

Section A (Traitement des données personnelles des clients)

ObjetL'exportateur de données peut transférer les données personnelles du client à l'importateur de données en relation avec le service et/ou le produit fourni par Eton dans le cadre de l'accord de services.

Durée du traitementPour la durée de l'accord de services.

Personnes concernées: Les données à caractère personnel du client transférées peuvent concerner les catégories suivantes de personnes concernées (veuillez préciser) :

  • Les vendeurs et fournisseurs tiers, y compris les conseillers, consultants, experts professionnels et contacts marketing (qui sont des personnes physiques) et leurs employés.
  • D'autres personnes concernées peuvent être mentionnées dans un cahier des charges, un bon de commande ou un formulaire de commande dans le cadre de l'accord de services.

Catégories de données: Les données personnelles du client transférées peuvent concerner les catégories de données suivantes (ou un sous-ensemble de celles-ci) (veuillez préciser) :

  • Noms et coordonnées (y compris l'adresse du domicile et de l'entreprise)
  • Informations financières et d'identification du gouvernement
  • Informations bancaires
  • D'autres catégories de données peuvent être définies dans un cahier des charges, un bon de commande ou un formulaire de commande dans le cadre de l'accord de services. 

Catégories particulières de données (le cas échéant): Les données personnelles du client transférées peuvent concerner les catégories spéciales de données suivantes (veuillez préciser) :

  • Aucun n'est prévu.

Nature et finalité du traitement et opérations de traitement: Les données personnelles du client transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) : 

L'importateur de données traitera les données personnelles du client de l'exportateur de données comme indiqué dans l'accord de services dans le cadre de la fourniture de ses services et/ou produits. Ce traitement peut inclure toute opération telle que le transfert de données et toute collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction des données à caractère personnel du client (que ce soit ou non par des moyens automatisés).

Annexe 2

Mesures de sécurité

Ce qui suit détaille les mesures de sécurité administratives, physiques, techniques et organisationnelles d'Eton en ce qui concerne le traitement des données à caractère personnel. Le cas échéant, la présente annexe fait partie des clauses contractuelles types et est réputée signée par les parties lors de la signature du contrat de services.

Eton a mis en place plusieurs niveaux de contrôle conformes à la norme SSAE SOC 2 Type 2 pour protéger les actifs informationnels.

Les personnes

  • Sensibilisation et hygiène en matière de cybersécurité
  • Vérification des antécédents (criminels, éducation, emploi précédent, vérification de la solvabilité, pour n'en citer que quelques-uns)
  • Manuel de l'employé
  • Bulletins d'information et courriels pour renforcer la sensibilisation à la cybersécurité.

Processus

  • Politique et procédures en matière de sécurité de l'information
  • Politique d'utilisation acceptable
  • Procédure disciplinaire en cas d'infraction
  • Politique de gestion des changements
  • Politique de réponse aux incidents
  • Pratiques BCP et DR
  • Politique de gestion des tiers (fournisseurs)
  • Politique de classification des données
  • Accès aux données selon le principe du moindre privilège :
  • Besoin de faire
  • Droit à l'information
  • Politique du bureau clair et de l'écran clair.

Technique

  • Contrôles d'accès physiques
  • Contrôles d'accès basés sur les rôles avec définition granulaire des rôles.
  • Chiffrement des données au repos, en cours de traitement et en transit
  • Cryptage de l'ordinateur portable à l'aide du cryptage Windows Bit Locker.
  • Tous les accès à distance par VPN
  • Protection multicouche du réseau par l'utilisation de routeurs, de serveurs proxy, de pare-feu L7, de WAF
  • Système de détection d'intrusion
  • Contrôle des journaux, détection et réponse aux incidents
  • Politique de durcissement des dispositifs.
  • Sauvegarde et récupération
  • Centre de sécurité Azure
  • Coffre-fort de clés Azure
  • Gestion des correctifs
  • Moteur anti-malware et AV