Entrer en Contact

Consentement aux cookies

Nous utilisons des « cookies » et des technologies associées pour vous identifier et identifier vos appareils, pour faire fonctionner notre site, améliorer votre expérience et réaliser des publicités et des analyses. Certains de ces cookies sont facultatifs et ne sont utilisés que lorsque vous les avez acceptés. Vous pouvez accepter tous nos cookies facultatifs en une seule fois, ou gérer vos propres préférences via le lien « préférences en matière de cookies ». Vous pouvez en savoir plus sur les utilisations dans notre politique en matière de cookies.

PréférencesNierAccepter

Contrat de traitement des données du fournisseur

Télécharger le contrat de traitement des données du fournisseur (PDF)

Télécharger

Cet accord de traitement des données (»DPA»), entrée en vigueur le 21 décembre 2023 par et entre Eton et le fournisseur, définit les termes et conditions relatifs à la confidentialité, à la sécurité et à la protection des données personnelles (telles que définies ci-dessous) associées aux services fournis par le fournisseur et/ou aux produits fournis par le fournisseur à Eton (et/ou ses filiales) conformément à tout accord entre Eton et le vendeur (et/ou ses filiales), que cet accord existe à la date d'entrée en vigueur ou après cette date (tel accord, le cas échéant, les « Services » « Accord »), qui, avec le présent DPA, le « Contrat ») .

Le vendeur et Eton seront également désignés collectivement sous le nom de »Parties» et individuellement en tant que »Fête».

Les parties conviennent de ce qui suit :

1. Définitions
Dans le présent DPA, les termes suivants auront les significations suivantes :

1.1. »Personnes autorisées » désigne toute personne officiellement et correctement habilitée à exécuter des tâches spécifiées associées à un bureau, à un accord ou à un contrat et doit inclure dans ce contexte le personnel, les agents et les sous-traitants du vendeur.

1.2. »Contrôleur» désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.

1.3. »Lois sur la protection des données» désigne, dans la mesure où elles s'appliquent aux parties, toutes les lois, règles, réglementations, directives et exigences gouvernementales applicables en matière de protection des données actuellement en vigueur et au fur et à mesure de leur entrée en vigueur concernant de quelque manière que ce soit la confidentialité, la sécurité ou la protection des données personnelles, et inclut le RGPD, le PDPA, le CCPA et la CPRA.

1,4. »Sujet des données» désigne une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

1,5. »Données personnelles» désigne toute information relative à une personne concernée.

1,6. »Violation de données personnelles» désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, stockées ou traitées de toute autre manière, de manière accidentelle ou illégale.

1,7. »Processeur» désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.

1,8. »Des services» désigne le travail effectué par le fournisseur pour Eton, comme indiqué dans un contrat de services.

1,9. « Contrat de services » désigne l'accord entre le vendeur et Eton décrivant et régissant les services à fournir par le vendeur à Eton.

1,10. « Traitement/À traiter » désigne toute opération ou ensemble d'opérations qui est effectué sur des données personnelles, que ce soit par des moyens automatiques ou non, tels que la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, blocage, effacement ou destruction.

2. Traitement des données

2.1. Dans le cadre de la fourniture des Services à Eton, le Fournisseur reconnaît et accepte qu'il peut traiter les données personnelles uniquement dans la mesure nécessaire à l'exécution de ses obligations en vertu du Contrat de services et en stricte conformité avec les instructions documentées d'Eton (les »Finalité autorisée«) comme indiqué dans le présent DPA. Dans ce cas, le vendeur informera Eton de cette obligation légale avant le traitement, à moins que la loi ne l'interdise pour des raisons importantes d'intérêt public.

2.2. Le fournisseur reconnaît qu'Eton peut être le responsable du traitement ou le sous-traitant des données personnelles et, si Eton est le sous-traitant, le fournisseur reconnaît qu'il sera un sous-traitant d'Eton. Chaque partie doit respecter et respecter les obligations qui lui sont applicables en vertu des lois applicables en matière de protection des données.

2.3. Sous-traitement : Eton et le fournisseur acceptent la liste des sous-traitants figurant dans l'annexe C qui peuvent être engagés par le fournisseur. Le vendeur doit obtenir le consentement écrit explicite d'Eton avant d'ajouter ou de supprimer un sous-traitant tiers pour traiter les données personnelles à condition que : (i) le vendeur obtienne le consentement d'Eton au moins 15 jours avant l'ajout ou la suppression de tout sous-traitant (y compris les détails du traitement qu'il effectue ou effectuera) à la liste des sous-traitants existants figurant dans l'annexe C ci-jointe ; (ii) le vendeur engage des sous-traitants tiers par le biais d'un contrat qui impose au sous-traitant, en substance, les mêmes obligations en matière de protection des données que celles imposées au Le fournisseur conformément au présent DPA et veille à ce que le sous-traitant respecte les obligations auxquelles le vendeur est soumis en vertu du présent DPA et des lois applicables en matière de protection des données. Le vendeur veille à ce que les sous-traitants ne fassent plus appel à des sous-traitants tiers. À la demande d'Eton, le fournisseur fournira une copie de ce contrat de sous-traitant et de toute modification ultérieure à Eton. Dans la mesure nécessaire pour protéger le (s) secret (s) commercial (s) ou d'autres informations confidentielles, y compris les données personnelles, le vendeur peut rédiger le texte du contrat avant de partager la copie. Le vendeur conclura avec le sous-traitant une clause de tiers bénéficiaire selon laquelle, en cas de disparition effective du fournisseur, de cessation d'existence légale ou d'insolvabilité, Eton aura le droit de résilier le contrat de sous-traitant et de demander au sous-traitant d'effacer ou de renvoyer les données personnelles ; et (iii) le vendeur reste pleinement responsable de toute violation de ce DPA causée par un acte, une erreur ou une omission de son sous-traitant. Si Eton refuse de consentir à la nomination par le Fournisseur d'un sous-traitant tiers pour des motifs raisonnables liés à la protection des données personnelles, Eton peut choisir de suspendre ou de résilier le Contrat de services sans pénalité.

2,4. Confidentialité du traitement : Le vendeur empêchera son personnel de traiter les données personnelles sans autorisation. Le vendeur imposera des obligations contractuelles appropriées à son personnel, y compris des obligations pertinentes en matière de confidentialité, de protection et de sécurité des données. Le Vendeur doit s'assurer de transférer ses obligations à toute personne qu'il autorise à traiter les données personnelles (y compris le personnel du Fournisseur à quelque titre que ce soit, le personnel du Vendeur et les sous-traitants) (un »Personne autorisée«) sera soumise à une stricte obligation de confidentialité (qu'il s'agisse d'une obligation contractuelle ou légale) et ne permettra à aucune personne de traiter des données personnelles qui n'est pas soumise à une telle obligation de confidentialité. Le vendeur doit s'assurer que toutes les personnes autorisées traitent les données personnelles uniquement dans la mesure nécessaire aux fins autorisées.

2,5. Pour éviter toute ambiguïté, toute instruction qui conduirait à un traitement hors du champ d'application du présent DPA (par exemple, en raison de l'introduction d'une nouvelle finalité de traitement) nécessitera un accord préalable entre les parties et, le cas échéant, sera soumise à la procédure de modification du contrat dans le cadre de l'accord concerné..

2.6. Le vendeur doit, sans retard injustifié, informer Eton par écrit si, à son avis, une instruction enfreint les lois sur la protection des données, et fournir une explication détaillée des raisons de son opinion par écrit.

3. Sécurité des données

Le fournisseur doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles et les protéger contre une violation de données personnelles, comme spécifié dans l'annexe B ci-jointe. Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques encourus par les personnes concernées.

4. Durée et résiliation

4.1. Ce DPA entre en vigueur dès sa signature. Il restera pleinement en vigueur tant que le fournisseur traitera les données personnelles conformément au contrat de services.

4,2. Lorsque des modifications sont nécessaires pour garantir la conformité de la présente DPA aux lois sur la protection des données, les parties feront des efforts raisonnables pour convenir de ces modifications à la demande du responsable du traitement. Si les parties ne parviennent pas à s'entendre sur de tels amendements, Eton peut résilier le contrat de services et le présent DPA avec un préavis écrit de [●] jours au fournisseur.

4.3. Sans préjudice des dispositions des lois applicables en matière de protection des données, si le fournisseur ne respecte pas ses obligations en vertu du présent DPA, Eton peut demander au fournisseur de suspendre le traitement des données personnelles jusqu'à ce que ce dernier se conforme au présent DPA ou que le contrat de services soit résilié. Le vendeur informera rapidement Eton au cas où il ne serait pas en mesure de se conformer au présent DPA, pour quelque raison que ce soit.

4,4. Eton a le droit de résilier le contrat de services dans la mesure où il concerne le traitement des données personnelles conformément au présent DPA si :

a. le traitement des données personnelles par le vendeur a été suspendu par Eton conformément à la clause 4.3 et si le respect du présent DPA n'est pas rétabli dans un délai raisonnable et en tout état de cause dans les [●] mois suivant la suspension ;

b. le vendeur est en violation substantielle ou persistante du présent DPA ou de ses obligations en vertu des lois applicables en matière de protection des données ;

c. le vendeur ne se conforme pas à une décision contraignante d'un tribunal compétent ou de l'autorité ou des autorités de surveillance compétentes concernant ses obligations en vertu du présent DPA ou des lois applicables en matière de protection des données.

4,5. Le vendeur informera Eton s'il n'est pas en mesure de continuer à fournir les services dans le cadre du contrat de services en vertu duquel Eton est en droit de résilier le présent DPA.

4.6. Le vendeur est en droit de résilier le contrat de services dans la mesure où il concerne le traitement des données personnelles dans le cadre du présent DPA lorsque, après avoir informé Eton que ses instructions enfreignent les exigences légales applicables conformément à la clause 2.6, Eton insiste sur le respect de ces instructions.

5. Actions et demandes d'accès

5.1. Le vendeur assistera Eton en cas d'action des autorités de protection des données. Le vendeur autorise Eton à divulguer, à sa seule discrétion, le contenu de cette DPA à ses clients et/ou à toute autorité de protection des données à leur demande. À la demande d'Eton, le fournisseur fournira à Eton un contact désigné pour toutes les questions relatives à la confidentialité.

5.2. Le fournisseur fournira toute l'assistance raisonnable et opportune à Eton pour permettre à Eton de répondre à :

(i) toute demande d'une personne concernée visant à exercer l'un de ses droits en vertu des lois applicables (y compris ses droits d'accès, de correction, d'opposition, d'effacement et de portabilité des données, le cas échéant) ; et

(ii) toute autre correspondance, demande ou plainte émanant d'une personne concernée, d'un organisme de réglementation ou d'un autre tiers en relation avec le traitement des données personnelles. Si une telle demande, correspondance, demande ou plainte est adressée directement au fournisseur, le fournisseur en informera rapidement Eton et, le cas échéant, le responsable du traitement, en fournissant tous les détails à ce sujet.

5.3. Le vendeur coopérera avec Eton et l'aidera, afin qu'Eton puisse se conformer à ses obligations en vertu des lois sur la protection des données, y compris les demandes relatives aux droits des personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose le vendeur.

6. Transferts internationaux

Eton et Vendor mettront en œuvre des mesures techniques et organisationnelles de manière à garantir que tout transfert transfrontalier de données personnelles soit protégé par des mesures adaptées aux lois sur la protection des données, y compris, mais sans s'y limiter, une évaluation de l'adéquation, une évaluation de l'impact des transferts, une structure de gouvernance des données, etc. ou toute autre mesure mentionnée dans l'annexe B du DPA. Il est précisé que les mesures techniques et organisationnelles de l'annexe B sont de nature indicative et ne doivent pas être considérées comme épuisées. Les parties peuvent convenir d'un commun accord de modifier les mesures conformément aux meilleures pratiques de l'industrie et/ou aux lois applicables.

7. Notification de violation

7.1. En cas de violation des données personnelles concernant les données traitées par le vendeur ou un sous-traitant, le fournisseur informera Eton de la violation de données personnelles sans retard injustifié et, en tout état de cause, dans les 48 heures suivant la prise de connaissance de la violation par le vendeur. Cette notification doit contenir au moins :

a) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés) ;

(b) les coordonnées d'un point de contact où de plus amples informations concernant la violation de données personnelles peuvent être obtenues ;

(c) ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris pour atténuer ses éventuels effets négatifs.

7.2. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale doit contenir les informations alors disponibles et des informations supplémentaires doivent être fournies ultérieurement, dès qu'elles seront disponibles, sans retard indu.

7.3. Les parties doivent exposer dans l'annexe C tous les autres éléments que le fournisseur doit fournir lorsqu'il aide Eton à se conformer aux obligations d'Eton en vertu des lois applicables en matière de protection des données.

8. Suppression ou renvoi de données

À tout moment pendant la durée du contrat de services, à la demande écrite d'Eton ou lors de la résiliation ou de l'expiration du contrat de services pour quelque raison que ce soit, le fournisseur demandera à toutes les personnes autorisées de détruire en toute sécurité toutes les copies des données personnelles et de certifier par écrit à Eton que ces données personnelles ont été éliminées de manière sécurisée. Le vendeur doit se conformer à toutes les instructions fournies par Eton en ce qui concerne le retour ou la suppression des données personnelles et fournira un certificat de retour/suppression lors du retour de la suppression des données personnelles. Le vendeur reconnaît qu'il violera cette DPA s'il s'avère que des copies des données personnelles sont en possession du vendeur après la délivrance d'un tel certificat. Jusqu'à ce que les données soient supprimées ou renvoyées, le vendeur continuera à veiller au respect de cette DPA.

9. Droits d'audit

Le vendeur doit être en mesure de démontrer sa conformité à cette DPA. Le vendeur doit tenir des registres complets et exacts concernant les performances du fournisseur dans le cadre du présent DPA et doit conserver ces enregistrements pendant la période qui peut être communiquée par Eton conformément à la loi applicable du contrat de services. Le vendeur autorisera Eton (ou ses auditeurs tiers désignés) à vérifier la conformité du fournisseur à la présente DPA et mettra à la disposition d'Eton toutes les informations, tous les systèmes et le personnel nécessaires à Eton (ou à ses auditeurs tiers) pour effectuer cet audit. Le vendeur reconnaît qu'Eton (ou ses auditeurs tiers) peuvent entrer dans ses locaux aux fins de cet audit, à condition qu'Eton donne au fournisseur un préavis raisonnable de son intention de procéder à un audit, réalise son audit pendant les heures normales de bureau et prenne toutes les mesures raisonnables pour éviter toute interruption inutile des opérations du fournisseur. Eton sera responsable des coûts de tels audits, à moins que le fournisseur ne soit reconnu coupable d'une violation du présent DPA. Le vendeur accepte, à ses frais, d'apporter toutes les modifications demandées par Eton afin de corriger les insuffisances découvertes lors de tels audits ou tests.

10. Évaluation de l'impact sur la protection des données

Le fournisseur fournira à Eton toute l'assistance raisonnable et opportune dont Eton pourrait avoir besoin afin de réaliser une analyse d'impact sur la protection des données et, si nécessaire, de consulter les autorités de protection des données compétentes.

11. Indemnité

Le vendeur indemnisera, défendra et dégagera de toute responsabilité Eton et ses filiales ainsi que leurs actionnaires, administrateurs, dirigeants, employés et agents respectifs contre tous les frais, responsabilités, dommages et coûts (y compris les frais de règlement et les honoraires d'avocat raisonnables) découlant d'une réclamation d'un tiers liée au non-respect par le fournisseur de ses obligations en vertu du présent DPA.

12. Divers

12,1. En cas de conflit, les dispositions du présent DPA prévaudront sur le contrat de services ou sur les dispositions de tout autre accord entre Eton et le fournisseur. En cas de conflit entre le présent DPA et les lois de protection des données applicables, les lois de protection des données applicables prévaudront sur les dispositions du reste de la DPA.

12,2. Aucune Partie ne recevra de rémunération pour l'exécution de ses obligations en vertu du présent DPA, sauf dans les cas explicitement prévus dans le Contrat de services.

12,3. Lorsque cette DPA nécessite une « notification écrite », cette notification peut également être communiquée par e-mail à l'autre partie.

12,4. Tout accord supplémentaire ou amendement au présent DPA doit être conclu par écrit et signé par les deux parties.

12,5. Si certaines dispositions de ce DPA venaient à devenir nulles, invalides ou non viables, cela n'affectera pas la validité des autres conditions de ce DPA.

Le client et Eton, chacun par l'intermédiaire de son représentant dûment autorisé, acceptent les termes et conditions du présent DPA à la date d'entrée en vigueur.

 

ANNEXE A

A. LISTE DES PARTIES

Eton : [Identité et coordonnées d'Eton et, le cas échéant, de son délégué à la protection des données et/ou de son représentant]

1. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, poste et coordonnées de la personne à contacter : ____________________________________________________

Activités relatives aux données transférées en vertu de ces clauses : comme indiqué dans la partie B.

Signature et date : ____________________________________________________

Rôle (contrôleur/processeur) : contrôleur/processeur

Fournisseur (s) : [Identité et coordonnées du ou des fournisseurs, y compris toute personne de contact responsable de la protection des données]

1. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, poste et coordonnées de la personne à contacter : ____________________________________________________

Activités relatives aux données transférées en vertu des présentes Clauses : ____________________________________________________

Signature et date : ____________________________________________________

Rôle (contrôleur/processeur) : processeur/sous-processeur

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données personnelles sont transférées

Eton peut soumettre des données personnelles aux Services, dont l'étendue est déterminée et contrôlée par Eton à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes concernées [Pour répertorier les personnes dont les données personnelles sont transférées (par exemple, HNI, employé, etc.)]

Catégories de données personnelles transférées

Eton peut soumettre des données personnelles au fournisseur, dont l'étendue est déterminée et contrôlée par Eton à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, les catégories de données personnelles suivantes : (noms...), titres, poste, employeur, coordonnées (e-mail, téléphone, fax, adresse physique, etc.), données d'identification, données de connexion ou données de localisation (y compris les adresses IP), données de candidature des clients d'Eton. [Pour remplir les données personnelles qui sont partagées avec le fournisseur (par exemple, nom, e-mail, numéro de téléphone, etc.)] Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre de l'accès aux données, les restrictions relatives aux transferts ultérieurs ou des mesures de sécurité supplémentaires [Pour répertorier les catégories de données sensibles transférées, le cas échéant] La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) Les données personnelles sont transférées de façon continue

Finalité (s) du transfert de données et du traitement ultérieur

Les données personnelles sont transférées lors de l'accès et de l'utilisation par Eton des Services afin que le Vendeur puisse fournir les Services. La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période En cas de résiliation du compte d'Eton, le vendeur supprimera toutes les données personnelles conformément à la clause 8 de la DPA. Cette exigence ne s'applique pas dans la mesure où le vendeur est autorisé par la loi applicable à conserver tout ou partie des données personnelles, auquel cas Eton isolera et protégera les données personnelles contre tout traitement ultérieur. Pour les transferts vers des (sous-) processeurs, précisez également l'objet, la nature et la durée du traitement Comme décrit dans l'annexe C.

ANNEXE B

MESURES TECHNIQUES ET ORGANISATIONNELLES POUR GARANTIR LA SÉCURITÉ DES DONNÉES

Description des mesures techniques et organisationnelles mises en œuvre par le ou les fournisseurs (y compris toutes les certifications pertinentes) pour garantir un niveau de sécurité approprié, en tenant compte de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Gens

  • Sensibilisation à la cybersécurité et hygiène
  • Vérification des antécédents (criminalité, études, emploi antérieur, vérification de solvabilité, pour n'en nommer que quelques-uns)
  • Manuel de l'employé
  • Newsletters et e-mails pour renforcer la sensibilisation à la cybersécurité.

Procédé

  • Politique et procédures de sécurité de l'information
  • Politique d'utilisation acceptable
  • Procédure disciplinaire en cas de manquement
  • Politique de gestion du changement
  • Politique de réponse aux incidents
  • Pratiques BCP et DR
  • Politique de gestion des tiers (fournisseurs)
  • Politique de classification des données
  • Accès aux données selon le principe du moindre privilège :
  • Ce qu'il faut faire
  • Droit de savoir
  • Politique Clear Desk Clear Screen.

Technique

  • Contrôles d'accès physiques
  • Contrôles d'accès basés sur les rôles avec définition granulaire des rôles.
  • Chiffrement des données au repos, en cours de traitement et en transit
  • Chiffrement des ordinateurs portables à l'aide du cryptage Windows Bit Locker.
  • Accès à distance complet via VPN
  • Protection réseau multicouche à l'aide de routeurs, de serveurs proxy, de pare-feu L7 et de WAF
  • Système de détection d'intrusion
  • Surveillance des journaux, détection des incidents et réponse
  • Politique de renforcement des appareils.
  • Sauvegarde et restauration
  • Centre de sécurité
  • Coffre-fort à clés
  • Gestion des correctifs
  • Anti-malware et moteur antivirus

ANNEXE C

LISTE DES SOUS-TRAITANTS

Eton a autorisé l'utilisation des sous-traitants suivants :

1. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, poste et coordonnées de la personne à contacter : ____________________________________________________

Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants sont autorisés) : ____________________________________________________

2. Nom : ____________________________________________________

Adresse : ____________________________________________________

Nom, poste et coordonnées de la personne à contacter : ____________________________________________________

Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants sont autorisés) : ____________________________________________________

3. etc.