Accord sur le traitement des données

Ver 1.0 Dernière mise à jour : 21 décembre 2023

Télécharger l'accord de traitement des données des vendeurs (PDF)

Le présent accord sur le traitement des données ("DPA"), en vigueur à compter du 21 décembre 2023 entre Eton et le Vendeur définit les termes et conditions relatifs à la vie privée, la confidentialité, la sécurité et la protection des données personnelles (telles que définies ci-dessous) associées aux services rendus par, et/ou aux produits fournis par, le vendeur à Eton (et/ou ses affiliés) conformément à tout accord entre Eton et le Vendeur (et/ou ses affiliés), indépendamment du fait que cet accord existe à la date d'entrée en vigueur ou après (cet accord, le cas échéant, l'" Accord de services "), qui, avec le présent DPA, l'" Accord ").

Le vendeur et Eton sont également désignés collectivement sous le nom de "Les partis"et individuellement en tant que "Parti".

Les parties conviennent de ce qui suit :

1. Définitions
Dans le présent DPA, les termes suivants ont la signification suivante :

1.1. "Personnes autorisées" désigne toutes les personnes formellement et dûment habilitées à accomplir des tâches spécifiques liées à une fonction, à un accord ou à un contrat et inclut dans ce contexte le personnel, les agents et les sous-traitants du vendeur.

1.2. "ContrôleurOn entend par "personne" la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

1.3. "Lois sur la protection des donnéesLe terme "protection des données" désigne, dans la mesure où il s'applique aux parties, l'ensemble des lois, règles, réglementations, directives et exigences gouvernementales applicables en matière de protection des données, actuellement en vigueur et au fur et à mesure de leur entrée en vigueur, concernant de quelque manière que ce soit la vie privée, la confidentialité, la sécurité ou la protection des données à caractère personnel, et comprend le GDPR, la PDPA, la CCPA et l'ACPR.

1.4. "Personne concernéeToute information concernant une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

1.5. "Données personnellesOn entend par "information" toute information relative à une personne concernée.

1.6. "Violation de données personnellesOn entend par "violation de la sécurité" une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès à de telles données.

1.7. "Processeurdésigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du contrôleur.

1.8. "ServicesOn entend par " services " les travaux effectués par le vendeur pour Eton, tels qu'ils sont définis dans un contrat de services.

1.9. "Accord de services" désigne l'accord entre le vendeur et Eton décrivant et régissant les services à fournir par le vendeur à Eton.

1.10. "Traitement/à traiter" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

2. Traitement des données

2.1. Dans le cadre de la fourniture des services à Eton, le vendeur reconnaît et accepte qu'il peut traiter les données personnelles uniquement dans la mesure où cela est nécessaire à l'exécution de ses obligations en vertu du contrat de services et en stricte conformité avec les instructions documentées d'Eton (le " traitement des données personnelles ").Objet autorisé"Dans ce cas, le vendeur informera Eton de cette exigence légale avant le traitement, à moins que la loi ne l'interdise pour des raisons importantes d'intérêt public.

2.2. Le vendeur reconnaît qu'Eton peut être soit le contrôleur, soit le sous-traitant des données personnelles et, si Eton est le sous-traitant, le vendeur reconnaît qu'il sera un sous-traitant secondaire d'Eton. Chaque partie adhère et se conforme aux obligations qui lui incombent en vertu des lois applicables en matière de protection des données.

2.3. Sous-transformation : Eton et le vendeur conviennent de la liste des sous-traitants de l'annexe C qui peuvent être engagés par le vendeur. Le vendeur doit obtenir le consentement écrit explicite d'Eton avant d'ajouter ou de supprimer un sous-traitant tiers pour traiter les données personnelles, à condition que : (i) le vendeur obtienne le consentement d'Eton au moins 15 jours avant l'ajout ou le retrait de tout sous-traitant (y compris les détails du traitement qu'il effectue ou effectuera) à ou de la liste des sous-traitants existants dans l'annexe C ci-jointe ; (ii) le vendeur engage des sous-traitants tiers par le biais d'un contrat qui impose au sous-traitant tiers, en substance, les mêmes obligations en matière de protection des données que celles imposées au vendeur conformément au présent DPA, et veille à ce que le sous-traitant tiers respecte les obligations auxquelles le vendeur est soumis en vertu du présent DPA et des lois applicables en matière de protection des données. Le vendeur veillera à ce que les sous-traitants secondaires ne fassent pas appel à des sous-traitants secondaires tiers. A la demande d'Eton, le vendeur fournira à Eton une copie de l'accord de sous-traitance et de tout amendement ultérieur. Dans la mesure où cela est nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les données personnelles, le vendeur peut caviarder le texte de l'accord avant d'en partager la copie. Le vendeur doit convenir d'une clause de tiers bénéficiaire avec le sous-traitant ultérieur, en vertu de laquelle, dans le cas où le vendeur a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable, Eton a le droit de résilier le contrat de sous-traitance ultérieur et d'ordonner au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel ; et (iii) le vendeur reste entièrement responsable de toute violation du présent DPA causée par un acte, une erreur ou une omission de son soustraitant ultérieur. Si Eton refuse de consentir à la désignation par le vendeur d'un sous-traitant tiers pour des motifs raisonnables liés à la protection des données personnelles, Eton peut choisir de suspendre ou de résilier le contrat de services sans pénalité.

2.4. Confidentialité du traitement : Le vendeur interdit à son personnel de traiter des données à caractère personnel sans autorisation. Le Vendeur impose des obligations contractuelles appropriées à son personnel, y compris des obligations pertinentes en matière de confidentialité, de protection des données et de sécurité des données. Le Vendeur veillera à transférer ses obligations à toute personne qu'il autorise à traiter des données à caractère personnel (y compris le personnel du Vendeur à quelque titre que ce soit, le personnel du Vendeur et les sous-traitants) (un "Personne autorisée") sont soumises à une stricte obligation de confidentialité (qu'il s'agisse d'une obligation contractuelle ou d'une obligation légale) et n'autorisent aucune personne à traiter les données à caractère personnel si elle n'est pas soumise à une telle obligation de confidentialité. Le Vendeur doit s'assurer que toutes les personnes autorisées traitent les données personnelles uniquement dans la mesure où cela est nécessaire pour la finalité autorisée.

2.5. Pour éviter toute ambiguïté, toute instruction qui conduirait à un traitement sortant du champ d'application du présent DPA (par exemple, en raison de l'introduction d'une nouvelle finalité de traitement) nécessitera un accord préalable entre les parties et, le cas échéant, sera soumise à la procédure de modification du contrat dans le cadre de l'accord respectif..

2.6. Le vendeur doit, dans les meilleurs délais, informer Eton par écrit si, de l'avis du vendeur, une instruction enfreint les lois sur la protection des données, et fournir une explication détaillée des raisons de son opinion par écrit.

3. Sécurité des données

Le Vendeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des Données à caractère personnel et protéger les données contre une violation des Données à caractère personnel, comme spécifié dans l'Annexe B des présentes. Pour évaluer le niveau de sécurité approprié, les Parties tiennent dûment compte de l'état de la technique, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques encourus par les Personnes concernées.

4. Durée et résiliation

4.1. Le présent DPA entre en vigueur dès sa signature. Il reste pleinement en vigueur tant que le vendeur traite des données à caractère personnel en vertu du contrat de services.

4.2. Lorsque des modifications sont nécessaires pour assurer la conformité du présent DPA avec les lois sur la protection des données, les parties feront des efforts raisonnables pour convenir de ces modifications à la demande du contrôleur. Si les parties ne parviennent pas à se mettre d'accord sur ces modifications, Eton peut résilier le contrat de services et le présent DPA moyennant un préavis écrit de [●] jours adressé au Vendeur.

4.3. Sans préjudice des dispositions des lois applicables en matière de protection des données, si le vendeur ne respecte pas ses obligations en vertu du présent contrat, Eton peut lui demander de suspendre le traitement des données personnelles jusqu'à ce qu'il respecte le présent contrat ou jusqu'à ce que le contrat de services soit résilié. Le vendeur informera rapidement Eton s'il n'est pas en mesure de se conformer au présent DPA, quelle qu'en soit la raison.

4.4. Eton a le droit de résilier le contrat de services dans la mesure où il concerne le traitement des données à caractère personnel conformément au présent DPA si :

a. le traitement des données personnelles par le vendeur a été suspendu par Eton conformément à la clause 4.3 et si le respect du présent DPA n'est pas rétabli dans un délai raisonnable et en tout état de cause dans les [●] mois suivant la suspension ;

b. le vendeur enfreint de manière substantielle ou persistante le présent DPA ou les obligations qui lui incombent en vertu des lois applicables en matière de protection des données ;

c. le vendeur ne se conforme pas à une décision contraignante d'un tribunal compétent ou de l'autorité/des autorités de contrôle compétente(s) concernant ses obligations en vertu du présent DPA ou des lois applicables en matière de protection des données.

4.5. Le vendeur doit informer Eton s'il n'est pas en mesure de continuer à fournir les services dans le cadre de l'accord de services, auquel cas Eton est en droit de résilier le présent DPA.

4.6. Le vendeur a le droit de résilier le contrat de services dans la mesure où il concerne le traitement des données à caractère personnel en vertu du présent DPA si, après avoir informé Eton que ses instructions enfreignent les exigences légales applicables conformément à la clause 2.6, Eton insiste pour que les instructions soient respectées.

5. Actions et demandes d'accès

5.1. Le vendeur assistera Eton en cas d'action de la part des autorités chargées de la protection des données. Le vendeur autorise Eton à divulguer, à sa seule discrétion, le contenu du présent DPA à ses clients et/ou à toute autorité de protection des données à leur demande. À la demande d'Eton, le vendeur fournira à Eton une personne de contact désignée pour toutes les questions relatives à la protection de la vie privée.

5.2. Le vendeur fournira à Eton toute l'assistance raisonnable et opportune pour permettre à Eton de répondre à :

(i) toute demande d'une personne concernée d'exercer l'un de ses droits en vertu des lois applicables (y compris ses droits d'accès, de rectification, d'opposition, d'effacement et de portabilité des données, le cas échéant) ; et

(ii) toute autre correspondance, demande ou plainte reçue d'une personne concernée, d'un régulateur ou d'un autre tiers en rapport avec le traitement des données personnelles. Si une telle demande, correspondance, demande ou plainte est adressée directement au vendeur, ce dernier en informera rapidement Eton et, le cas échéant, le contrôleur, en fournissant tous les détails à ce sujet.

5.3. Le vendeur coopère avec Eton et l'aide à se conformer à ses obligations en vertu des lois sur la protection des données, y compris les demandes de droits des personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose le vendeur.

6. Transferts internationaux

Eton et le vendeur doivent mettre en œuvre des mesures techniques et organisationnelles de manière à garantir que tout transfert transfrontalier de données personnelles est protégé par des mesures adéquates aux lois sur la protection des données, y compris, mais sans s'y limiter, l'évaluation de l'adéquation, l'évaluation de l'impact du transfert, la structure de gouvernance des données, etc. ou toute autre mesure mentionnée dans l'annexe B du RGPD. Il est précisé que les mesures techniques et organisationnelles figurant à l'annexe B sont de nature indicative et ne doivent pas être considérées comme exhaustives. Les parties peuvent convenir d'un commun accord de modifier les mesures en fonction des meilleures pratiques du secteur et/ou des lois applicables.

7. Notification des violations

7.1. En cas de violation de données à caractère personnel concernant des données traitées par le vendeur ou un sous-traitant, le vendeur notifie à Eton la violation de données à caractère personnel dans les meilleurs délais et, en tout état de cause, dans les 48 heures suivant le moment où le vendeur a pris connaissance de la violation. Cette notification doit contenir au moins les éléments suivants

(a) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés) ;

(b) les coordonnées d'un point de contact où il est possible d'obtenir de plus amples informations concernant la violation de données à caractère personnel ;

(c) ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris pour en atténuer les effets négatifs éventuels.

7.2. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires sont fournies ultérieurement, au fur et à mesure qu'elles sont disponibles, sans retard injustifié.

7.3. Les parties définissent dans l'annexe C tous les autres éléments que le vendeur doit fournir lorsqu'il aide Eton à se conformer aux obligations qui lui incombent en vertu des lois applicables en matière de protection des données.

8. Suppression ou restitution des données

À tout moment pendant la durée du contrat de services, à la demande écrite d'Eton ou en cas de résiliation ou d'expiration du contrat de services pour quelque raison que ce soit, le vendeur demandera à toutes les personnes autorisées d'éliminer en toute sécurité toutes les copies des données personnelles et certifiera par écrit à Eton que ces données personnelles ont été éliminées en toute sécurité. Le vendeur se conformera à toutes les directives fournies par Eton concernant le retour ou l'élimination des données personnelles et fournira un certificat de retour / suppression lors du retour ou de l'élimination des données personnelles. Le vendeur reconnaît qu'il enfreint le présent DPA s'il s'avère que des copies de données personnelles sont en sa possession après l'émission d'un tel certificat. Jusqu'à ce que les données soient effacées ou restituées, le vendeur doit continuer à veiller au respect du présent DPA.

9. Droits d'audit

Le vendeur doit être en mesure de démontrer qu'il respecte le présent DPA. Le vendeur doit tenir des registres complets et exacts en rapport avec l'exécution du présent DPA et conserver ces registres pendant la période communiquée par Eton conformément à la loi applicable au contrat de services. Le vendeur doit permettre à Eton (ou à ses auditeurs tiers désignés) de contrôler le respect du présent DPA par le vendeur et mettre à la disposition d'Eton toutes les informations, les systèmes et le personnel nécessaires à Eton (ou à ses auditeurs tiers) pour mener à bien ce contrôle. Le vendeur reconnaît qu'Eton (ou ses auditeurs tiers) peut pénétrer dans ses locaux pour effectuer cet audit, à condition qu'Eton donne au vendeur un préavis raisonnable de son intention d'effectuer l'audit, qu'il effectue l'audit pendant les heures normales d'ouverture et qu'il prenne toutes les mesures raisonnables pour éviter de perturber inutilement les activités du vendeur. Eton est responsable des coûts de ces audits, à moins qu'il ne soit établi que le vendeur n'a pas respecté le présent DPA. Le vendeur s'engage à apporter, à ses frais, toutes les modifications demandées par Eton pour corriger les insuffisances constatées lors de ces audits ou tests.

10. Évaluation de l'impact de la protection des données

Le vendeur fournira à Eton toute l'assistance raisonnable et opportune qu'Eton peut demander pour effectuer une évaluation de l'impact sur la protection des données et, si nécessaire, pour consulter les autorités compétentes en matière de protection des données.

11. Indemnisation

Le vendeur indemnisera, défendra et dégagera de toute responsabilité Eton et ses sociétés affiliées, ainsi que leurs actionnaires, administrateurs, dirigeants, employés et agents respectifs, en cas de dépenses, responsabilités, dommages et coûts (y compris les frais de règlement et les honoraires raisonnables d'avocat) résultant d'une réclamation de tiers liée à la violation par le vendeur de ses obligations en vertu du présent DPA.

12. Divers et variés

12.1. En cas de conflit, les dispositions du présent DPA prévalent sur le contrat de services ou sur les dispositions de tout autre accord entre Eton et le vendeur. En cas de conflit entre ce DPA et les lois sur la protection des données applicables, les lois sur la protection des données applicables prévaudront sur les dispositions du reste du DPA.

12.2. Aucune partie ne recevra de rémunération pour l'exécution de ses obligations au titre du présent DPA, sauf si cela est explicitement prévu dans l'accord de services.

12.3. Lorsque le présent DPA exige une "notification écrite", cette notification peut également être communiquée par courrier électronique à l'autre partie.

12.4. Tout accord complémentaire ou modification du présent DPA doit être conclu par écrit et signé par les deux parties.

12.5. La nullité, l'invalidité ou l'inapplicabilité de certaines dispositions du présent DPA n'affecte pas la validité des autres conditions du DPA.

Le client et Eton, chacun par l'intermédiaire de son représentant dûment autorisé, acceptent les termes et conditions de ce DPA à compter de la date d'entrée en vigueur.

ANNEXE A

A. LISTE DES PARTIES

Eton : [Identité et coordonnées d'Eton et, le cas échéant, de son/sa délégué(e) à la protection des données et/ou de son/sa représentant(e)]

1. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, fonction et coordonnées de la personne de contact : ____________________________________________________

Activités en rapport avec les données transférées en vertu des présentes clauses : Comme indiqué dans la partie B.

Signature et date : ____________________________________________________

Rôle (contrôleur/processeur) : Contrôleur/processeur

Vendeur(s) : [Identité et coordonnées du ou des vendeurs, y compris toute personne de contact responsable de la protection des données]

1. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, fonction et coordonnées de la personne de contact : ____________________________________________________

Activités en rapport avec les données transférées en vertu des présentes clauses : ____________________________________________________

Signature et date : ____________________________________________________

Rôle (contrôleur/processeur) : Processeur/sous-processeur

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Eton peut soumettre des données personnelles aux services, dont l'étendue est déterminée et contrôlée par Eton à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes concernées [Énumérer les personnes concernées dont les données personnelles sont transférées (par exemple, HNI, employé, etc.)].

Catégories de données à caractère personnel transférées

Eton peut soumettre au vendeur des données personnelles, dont l'étendue est déterminée et contrôlée par Eton à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories suivantes de données personnelles : (Noms....), titres, position, employeur, informations de contact (email, téléphone, fax, adresse physique, etc.), données d'identification, données de connexion ou données de localisation (y compris les adresses IP), données d'application des clients d'Eton. [Remplir les données personnelles qui sont partagées avec le vendeur (par exemple, le nom, l'adresse électronique, le numéro de téléphone, etc.] Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires. [Énumérer les catégories de données sensibles transférées, le cas échéant] la fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) Les données à caractère personnel sont transférées de manière continue

Finalité(s) du transfert et du traitement ultérieur des données

Les données personnelles sont transférées dans le cadre de l'accès et de l'utilisation par Eton des services afin que le vendeur puisse fournir les services. la durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée Lors de la résiliation du compte d'Eton, le vendeur supprimera toutes les données personnelles conformément à la clause 8 du RGPD. Cette exigence ne s'applique pas dans la mesure où le vendeur est autorisé par la loi applicable à conserver tout ou partie des données personnelles, auquel cas Eton isolera et protégera les données personnelles de tout traitement ultérieur. Pour les transferts aux (sous-)traitants, préciser également l'objet, la nature et la durée du traitement. Comme décrit dans l'annexe C.

ANNEXE B

DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES

Description des mesures techniques et organisationnelles mises en œuvre par le(s) vendeur(s) (y compris toute certification pertinente) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Les personnes

  • Sensibilisation et hygiène en matière de cybersécurité
  • Vérification des antécédents (criminels, éducation, emploi précédent, vérification de la solvabilité, pour n'en citer que quelques-uns)
  • Manuel de l'employé
  • Bulletins d'information et courriels pour renforcer la sensibilisation à la cybersécurité.

Processus

  • Politique et procédures en matière de sécurité de l'information
  • Politique d'utilisation acceptable
  • Procédure disciplinaire en cas d'infraction
  • Politique de gestion des changements
  • Politique de réponse aux incidents
  • Pratiques BCP et DR
  • Politique de gestion des tiers (fournisseurs)
  • Politique de classification des données
  • Accès aux données selon le principe du moindre privilège :
  • Besoin de faire
  • Droit à l'information
  • Politique du bureau clair et de l'écran clair.

Technique

  • Contrôles d'accès physiques
  • Contrôles d'accès basés sur les rôles avec définition granulaire des rôles.
  • Chiffrement des données au repos, en cours de traitement et en transit
  • Cryptage de l'ordinateur portable à l'aide du cryptage Windows Bit Locker.
  • Tous les accès à distance par VPN
  • Protection multicouche du réseau par l'utilisation de routeurs, de serveurs proxy, de pare-feu L7, de WAF
  • Système de détection d'intrusion
  • Contrôle des journaux, détection et réponse aux incidents
  • Politique de durcissement des dispositifs.
  • Sauvegarde et récupération
  • Centre de sécurité
  • Chambre forte
  • Gestion des correctifs
  • Moteur anti-malware et AV

ANNEXE C

LISTE DES SOUS-TRAITANTS

Eton a autorisé l'utilisation des sous-traitants suivants :

1. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, fonction et coordonnées de la personne de contact : ____________________________________________________

Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants sont autorisés) : ____________________________________________________

2. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, fonction et coordonnées de la personne de contact : ____________________________________________________

Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants sont autorisés) : ____________________________________________________

3. etc.