Entrer en Contact

Consentement aux cookies

Nous utilisons des « cookies » et des technologies associées pour vous identifier et identifier vos appareils, pour faire fonctionner notre site, améliorer votre expérience et réaliser des publicités et des analyses. Certains de ces cookies sont facultatifs et ne sont utilisés que lorsque vous les avez acceptés. Vous pouvez accepter tous nos cookies facultatifs en une seule fois, ou gérer vos propres préférences via le lien « préférences en matière de cookies ». Vous pouvez en savoir plus sur les utilisations dans notre politique en matière de cookies.

PréférencesNierAccepter

Contrat de traitement des données

Téléchargez le contrat de traitement des données PDF

Télécharger

 Cet accord de traitement des données (»DPA»), à compter du 21 décembre 2023 d'ici et entre Cliente Données Contrôleur» ou »Cliente») et Eton Solutions, L.P. Processeur de données» ou »Eton») définit les termes et conditions relatifs à la confidentialité, à la sécurité et à la protection des données personnelles (telles que définies ci-dessous) associées aux services fournis par le sous-traitant et/ou aux produits fournis par celui-ci au responsable du traitement (et/ou à ses filiales) conformément à tout accord entre Eton et le client (et/ou ses filiales), que cet accord existe à la date d'entrée en vigueur ou après cette date (tel accord le cas échéant, le »Contrat de services»), qui, avec ce DPA, le »Entente»).

1. Définitions

»Affiliés» désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun ou propriété aussi longtemps que ce contrôle existe, où le « contrôle » (y compris les termes « contrôlé par » et « sous contrôle commun avec ») désigne la possession, directement ou indirectement, du pouvoir de diriger, d'influencer ou de provoquer l'orientation des politiques de gestion d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement.

»Agrégat» signifie combiner des informations relatives à un groupe ou à une catégorie de personnes, dont l'identité individuelle a été supprimée, qui ne sont pas liées ou raisonnablement liées à un individu ou à un foyer, y compris via un appareil.

»Anonymisation» aura le sens qui lui est attribué dans le RGPD et inclura également le terme « Désidentifier » tel que défini dans le CCPA et la CPRA.

»CCPA» désigne la loi californienne sur la protection de la vie privée des consommateurs de 2018 et ses règlements d'application. »CPRA» désigne la loi californienne sur les droits à la vie privée de 2020 et ses règlements d'application.

»Données personnelles du client» désigne les données personnelles traitées par Eton en tant que sous-traitant pour le compte du client ou de son affilié conformément au contrat de services.

»SCCs contrôleur-processeur» signifie Clauses contractuelles types (sous-traitants) figurant dans l'annexe de la décision de la Commission européenne du 5 février 2010, car ils peuvent être modifiés ou remplacés de temps à autre.

 «Contrôleur des données« désigne l'entité qui détermine les finalités et les moyens du traitement des données personnelles.

«Processeur de données« désigne l'entité qui traite les données personnelles pour le compte du responsable du traitement.

»Lois sur la protection des données» désigne, dans la mesure où elles s'appliquent aux parties, toutes les lois, règles, réglementations, directives et exigences gouvernementales applicables en matière de protection des données actuellement en vigueur et au fur et à mesure de leur entrée en vigueur concernant de quelque manière que ce soit la confidentialité, la sécurité ou la protection des données personnelles, et inclut le RGPD, le PDPA, le CCPA et la CPRA,

»Sujet des données» désigne une personne physique identifiée ou identifiable à laquelle les données personnelles se rapportent.

»Europe» ou le »UE» désigne l'Espace économique européen plus la Suisse et le Royaume-Uni.

»GDPR» désigne collectivement le Règlement général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016, tel que modifié ou remplacé de temps à autre, et la Loi britannique sur la protection des données de 2018 (« RGPD britannique » car elle fait partie du droit de l'UE conservé (tel que défini dans la Loi de 2018 sur la protection des données de l'Union européenne)).

»PDPA» désigne la Loi sur la protection des données personnelles de 2012.

«Données personnelles« désigne toute donnée, information ou enregistrement traité dans le cadre du contrat de services (i) concernant une personne physique identifiée ou identifiable, ou (ii) qui identifie, concerne, décrit, est raisonnablement susceptible d'être associé ou pourrait raisonnablement être lié, directement ou indirectement, à une personne ou à un ménage en particulier, quel que soit le support sur lequel il est conservé.

»Violation de données personnelles» désigne (1) la violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données personnelles du client traitées dans le cadre du contrat de services, ou (2) un incident similaire impliquant des données personnelles du client.

«Procédé», »Traitement« ou »Transformé« désigne toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

»Vendre» aura le sens qui lui est attribué dans le CCPA.

«Sensible Personnel Données« les moyens doivent avoir la signification qui leur est attribuée dans le RGPD, le PDPA et la CPRA.

»Clauses contractuelles types» ou »SCC» désigne, le cas échéant, les CCT entre le responsable du traitement et le sous-traitant conclus entre les parties.

»Autorité de surveillance» désigne un régulateur gouvernemental ou une autorité d'exécution dotée d'une autorité de réglementation ou d'application en matière de confidentialité, de sécurité ou de protection des données personnelles.


2. Nature du traitement des données

2.1 Limites de traitement. Eton traitera uniquement les données personnelles et les données personnelles sensibles du client conformément au calendrier de traitement défini à l'Annexe 1 (Section A), pour le compte et conformément aux instructions écrites du Client telles qu'énoncées dans ou conformément au Contrat de services. Eton traitera les données personnelles des clients comme des informations confidentielles et imposera des obligations de confidentialité à tout le personnel qui traite les données personnelles des clients. Eton ne (i) vendra pas les données personnelles des clients ou des données personnelles sensibles ; ni (ii) ne conservera, n'utilisera ou ne divulguera les données personnelles des clients (a) à des fins autres que celles spécifiques liées à l'exécution du Contrat, ou (b) en dehors de la relation commerciale directe entre Eton et le Client (et ses filiales).

Si la loi applicable impose à Eton (ou, pour éviter toute ambiguïté, à tout sous-traitant) d'effectuer un Traitement qui est ou pourrait être interprété comme étant incompatible avec les instructions du Client, Eton informera rapidement le Client de cette incohérence avant de commencer (ou de poursuivre) le Traitement, sauf si la notification est interdite par la loi.

2,2 Rôle des parties. Entre Eton et le client (et ses filiales), le client (ou son affilié) est le responsable du traitement des données personnelles du client, et Eton est le sous-traitant, qui traite les données personnelles du client pour le compte du client (ou de sa filiale) et n'aura aucun droit de propriété ou intérêt sur les données personnelles du client. Les parties reconnaissent et conviennent que (i) les données personnelles du client, que le client ou son affilié divulgue à Eton sont fournies à Eton à des fins commerciales, et que le client ne vend pas de données personnelles à Eton dans le cadre du contrat ; et (ii) pendant la période où les données personnelles et les données personnelles sensibles du client sont traitées par Eton, le client (ou sa filiale) n'a aucune connaissance ou raison de croire qu'Eton n'est pas en mesure de se conformer aux dispositions de cette DPA, informer le Le client (ou son affilié) s'il n'est pas en mesure de fournir les services.

2,3 Anonymiser ou agréger les données. Eton ne peut pas anonymiser les données personnelles et les données personnelles sensibles des clients dans le cadre de ses activités en vertu du contrat de services ou à toute autre fin, à moins d'avoir reçu le consentement écrit préalable du client pour de telles activités. Si un tel consentement est fourni par le Client, cette anonymisation ou cette agrégation, selon le cas, ne peut être effectuée que dans la mesure où cette activité répond à la norme applicable requise par les lois applicables en matière de protection des données. Eton peut agréger les données personnelles et les données sensibles des clients dans le cadre de ses performances en vertu du Contrat de services afin d'afficher des statistiques sur la performance des données financières.


3. Conformité à la loi applicable

Les parties doivent se conformer aux lois sur la protection des données. Le présent DPA ne vise pas à réduire le niveau de protection applicable à chaque personne concernée. En cas de conflit entre le DPA et le Contrat de services, les termes du DPA prévaudront. En cas de conflit entre le présent DPA et les lois sur la protection des données, les dispositions des lois de protection des données applicables prévaudront. Conformément à la section 5 ci-dessous, Eton se conformera aux normes et exigences du secteur qui s'appliquent à Eton et concernent la confidentialité, la sécurité, la protection ou le stockage électronique des données personnelles des clients. Si Eton estime qu'une instruction du Client constitue une violation de la législation applicable ou risque d'entraîner une violation de celle-ci par le Traitement, Eton en informera immédiatement le Client.


4. Sous-processeurs

4.1 Désignation des sous-traitants. Eton ne sous-traitera aucun de ses droits ou obligations en vertu du Contrat sans le consentement écrit préalable du Client. Sauf accord contraire dans le contrat de services, le client consent par la présente à ce que ses filiales soient utilisées par Eton en tant que sous-traitants et tout autre tiers en tant que sous-processeurs si ces tiers sont spécifiquement identifiés dans le contrat de services (y compris tout cahier des charges ou bon de commande applicable). Eton informera le client par écrit de toute modification envisagée des sous-traitants autorisés et le client informera rapidement Eton par écrit de toute objection à de telles modifications qui est raisonnable et liée à la protection des données. Lorsqu'Eton, avec le consentement du Client qui ne sera pas refusé sauf en cas d'objection telle que décrite ci-dessus, sous-traite ses obligations en vertu du Contrat de services à un sous-traitant jugé capable de protéger les données personnelles du client, Eton ne le fera que par le biais d'un accord écrit avec ce sous-traitant imposant au sous-traitant des obligations de confidentialité, de sécurité et de protection des données au moins équivalentes à celles énoncées dans le présent DPA, y compris obligation d'imposer ces obligations à tout autre sous-processeur.

4.2 Responsabilité. Eton restera responsable envers le Client pour (i) ses obligations en vertu du Contrat même si ces obligations sont déléguées à un sous-traitant, y compris la prestation correcte et en temps voulu des services, et (ii) les actes ou omissions de toute personne ou entité à laquelle Eton délègue une telle obligation.


5. Sécurité

5,1 Programme de sécurité. Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement, ainsi que du risque plus ou moins probable et plus ou moins grave pour les droits et libertés des personnes concernées, Eton maintiendra ou fera maintenir un programme de sécurité de l'information raisonnable et approprié, conforme aux lois sur la protection des données et conçu pour garantir raisonnablement la confidentialité, l'intégrité, la disponibilité et la résilience de toutes les données personnelles des clients.
 

5,2 Mesures de sécurité. Eton appliquera des mesures de sécurité administratives, physiques, techniques (y compris électroniques) et organisationnelles raisonnables et appropriées, y compris, le cas échéant : (i) le cryptage et la pseudonymisation ; (ii) la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ; (iii) la capacité à rétablir la disponibilité et l'accès aux données personnelles des clients en temps opportun en cas d'incident physique ou technique ; et (iv) un processus de tests réguliers, en évaluant et en évaluant les efficacité de ces mesures. Eton déclare et garantit avoir mis en œuvre les mesures de sécurité administratives, physiques, techniques et organisationnelles décrites dans l'annexe 2 ci-jointe afin de protéger les données personnelles des clients. Eton accepte de stocker les données personnelles des clients conformément au contrat de services aux États-Unis et reconnaît en outre qu'elle ne combinera pas les données personnelles avec les données personnelles de ses filiales.

5,3 Accès aux données personnelles des clients. Eton veillera à ce que les données personnelles du client ne soient accessibles qu'au personnel d'Eton qui a un besoin commercial légitime d'accéder aux données personnelles du client, qui est lié par des obligations de confidentialité légalement applicables, qui a reçu une formation sur les politiques et procédures de protection des données applicables et qui traitera les données personnelles du client uniquement conformément aux instructions du client. Si Eton n'est pas en mesure de traiter conformément aux instructions du client au cours du traitement des données personnelles du client, Eton en informera rapidement le client.

5,4 Réponse et notification en cas de violation de données personnelles. Eton informera rapidement dans les 72 heures et, sans retard indu, le Client de toute violation de données personnelles dont Eton aura connaissance en envoyant un avis écrit par e-mail. Eton fournira une notification ultérieure, le cas échéant, résumant de manière raisonnablement détaillée la nature de la violation de données personnelles, y compris les catégories et le nombre approximatif de personnes concernées ; si les données personnelles du client sont perdues, volées ou compromises, si elles sont connues ; l'évaluation par Eton des conséquences de la violation de données personnelles ; les mesures correctives prises ou à prise par Eton ; n'importe laquelle le (s) point (s) de contact interne chargé (s) de gérer la violation ou d'y répondre ; et le responsable de la protection des données d'Eton ou son équivalent en vertu des lois applicables en matière de protection des données, le cas échéant. Eton prendra rapidement toutes les mesures correctives nécessaires et conseillées et coopérera pleinement avec le Client dans tous les efforts raisonnables et légaux visant à prévenir, atténuer ou corriger une telle violation de données personnelles. Si, selon l'évaluation du client, une violation de données personnelles affectant les données personnelles du client devait être divulguée ou signalée à un tiers, y compris les personnes concernées, les autorités de surveillance ou les autorités gouvernementales, Eton coopérera pleinement avec le client et l'aidera dans ce signalement ou cette divulgation dans les 72 heures.


6. Audits/Inspections

Eton mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA. Le client aura le droit de vérifier le respect par Eton et tout sous-traitant des termes du présent DPA en ce qui concerne le traitement des données personnelles du client ou de désigner un auditeur tiers (non concurrent d'Eton) soumis à des obligations raisonnables de confidentialité pour vérifier la même chose au nom du client. Eton accordera au Client, ou à ses agents, l'accès dans la mesure nécessaire pour procéder à l'inspection et à l'examen de toutes les installations de traitement des données, fichiers de données et autres documents relatifs au traitement des données personnelles des clients conformément au Contrat. Eton accepte de fournir une assistance raisonnable au Client pour faciliter cette fonction d'inspection. Le client informera Eton par écrit 30 jours à l'avance de son intention d'effectuer un audit et ne fera pas une telle demande plus d'une fois par année civile (sauf en cas de violation de données personnelles affectant les données personnelles du client). Si Eton n'a pas le droit d'auditer (ou de faire respecter le droit du Client à auditer) un sous-traitant, Eton mettra à la disposition du Client des copies des certifications ou des rapports démontrant la conformité de ce sous-traitant aux normes de sécurité des données en vigueur applicables au traitement des données personnelles des clients. Nonobstant toute disposition contraire du présent DPA, les parties conviennent que les audits décrits dans les CCT applicables du responsable du traitement aux sous-traitants seront réalisés conformément à la présente section.


7. L'obligation de coopération d'Eton

7.1 Coopération. Eton fournira une assistance raisonnable au Client pour (i) répondre aux demandes des personnes concernées visant à exercer leurs droits en vertu des lois sur la protection des données ; (ii) l'assistance à la réalisation par le Client d'une évaluation d'impact sur la protection des données concernant le traitement des données personnelles du client dans le cadre du présent DPA ; et (iii) les demandes ou enquêtes du Client par une autorité de surveillance concernant le traitement des données personnelles du Client dans le cadre du Contrat. Eton a le droit de facturer des frais raisonnables pour remplir ses obligations en vertu de la présente section, ainsi que le remboursement de tous les coûts et dépenses engagés.

7,2 Demandes d'accès et plaintes émanant de tiers. Eton informera rapidement le client dans les 72 heures de toute demande ou plainte émanant d'une autorité de surveillance, d'un représentant du gouvernement, d'une personne concernée ou de tout autre tiers concernant les données personnelles du client ou les obligations du client en vertu des lois sur la protection des données. Eton informera le Client de tout mandat, citation à comparaître ou autre demande similaire adressée à Eton concernant les Données personnelles du Client au plus tard cinq (5) jours ouvrables après réception, sauf si la loi applicable l'interdit. Eton répondra à toutes les demandes de conservation du Client concernant les données personnelles du Client et fournira l'assistance requise afin que le Client puisse se conformer aux demandes de tiers s'il ne peut pas autrement obtenir raisonnablement ces informations.


8. Conservation, renvoi et suppression des données

8,1 Rétention. Eton ne conservera pas les données personnelles du client plus longtemps que ce qui est raisonnablement nécessaire pour atteindre les objectifs pour lesquels les données personnelles du client ont été traitées conformément au Contrat.
 

8,2 Retour et suppression. Lorsque les données personnelles du client ne sont plus nécessaires aux fins énoncées dans le contrat de services applicable ou rapidement à l'expiration ou à la résiliation du contrat, selon la première éventualité, ou à une date antérieure à la demande écrite du client, Eton (i) retournera au client, dans le format et sur le support demandés par le client, la totalité ou, si spécifié par le client, une partie des données personnelles du client ; et (ii) détruira toutes les données personnelles du client ou, si spécifié par le client, toutes partie des données personnelles du client en possession ou sous le contrôle d'Eton ; à condition que : (a) dans le cas où le Client demande ce retour ou cette destruction, dans la mesure où Eton est empêchée ou retardée dans l'exécution de ses obligations en vertu du Contrat de services sans ces données personnelles du client, un tel manquement ou retard ne constituera pas une violation de ces obligations ; et (b) des copies de ces données personnelles du client peuvent être conservées dans la mesure où elles sont stockées électroniquement conformément aux procédures de sauvegarde habituelles d'Eton (y compris, sans s'y limiter, celles concernant les communications électroniques) tant que ces données personnelles du client restent confidentielles autrement requis dans le cadre de cette DPA. Les obligations ci-dessus s'appliqueront également aux données personnelles des clients détenues par des sous-traitants dans la mesure permise par l'accord conclu entre Eton et ces sous-traitants. Eton fournira un certificat de destruction sur demande. Si la loi applicable n'autorise pas Eton à se conformer à la restitution ou à la destruction des données personnelles des clients, Eton accepte que les données personnelles des clients conservées restent en la possession d'Eton sous réserve des termes du présent DPA et qu'elle restituera ou détruira ces données personnelles du client lorsque la loi applicable le permet.


9. Transferts internationaux de données

9.1 Mécanisme de transfert. Si les services et/ou produits fournis par Eton dans le cadre du Contrat de services impliquent un transfert international de données personnelles du client régi par les lois sur la protection des données, ce transfert n'aura lieu que si (le cas échéant) : (i) le pays ou le territoire vers lequel le transfert doit être effectué se trouve dans l'Espace économique européen ou en Suisse ; (ii) la Commission européenne ou l'autorité de surveillance compétente a estimé que le pays ou le territoire vers lequel les données sont transférées est adéquat à des fins de protection des données ; ou (iii) Eton peut fournir des garanties appropriées conformément aux lois applicables en matière de protection des données. Ces garanties appropriées peuvent inclure, sans toutefois s'y limiter, la mise en place de règles d'entreprise contraignantes, le traitement conformément au système de règles de confidentialité transfrontalières de l'APEC, ou le respect d'un mécanisme de certification, d'un mécanisme contractuel ou d'un code de conduite approuvé par l'autorité de surveillance compétente.

9,2 Clauses contractuelles types. Si aucun des mécanismes ci-dessus de la Section 9.1 ne s'applique au transfert de données personnelles hors d'Europe, le transfert des données personnelles du client sera soumis à la version européenne inchangée des CCT applicables entre responsables du traitement, respectivement. Les CCT sont considérées comme incorporées par référence aux présentes (une signature du présent DPA est considérée comme une signature des CCT applicables). Aux fins des CCT : (i) Le client est considéré comme l'exportateur de données et Eton est considéré comme l'importateur de données. Toute référence à la directive 95/46/CE dans les CCS sera interprétée comme une référence aux dispositions appropriées du RGPD, de la loi britannique sur la protection des données de 2018 ou de la loi fédérale suisse sur la protection des données de 1992, dans la mesure du possible et selon le cas. Aucune disposition du présent DPA ne doit être interprétée comme prévalant sur toute clause contraire des CCS, à moins qu'une disposition du présent DPA ne prévoie des garanties supplémentaires en plus de celles contenues dans la clause contradictoire des CCS, auquel cas la disposition du présent DPA sera considérée comme complétant et complétant cette clause SCC et n'étant pas en conflit avec celle-ci. Eton reconnaît avoir eu l'occasion de revoir les CCT applicables.

9,3 SCCS contrôleur-processeur. Aux fins des CCT du responsable du traitement au processeur : (i) la loi applicable à la clause 9 est la loi de la juridiction dans laquelle se trouve l'exportateur de données ; (ii) la clause d'indemnisation illustrative des CCT du responsable du traitement sera réputée ne pas s'appliquer en vertu de cette section ; et (iii) sauf accord contraire des parties, les annexes 1 (section A) et 2 du présent DPA s'appliqueront et seront considérés comme les annexes 1 et 2 des SCCs du contrôleur à processeur.

9,4 Mécanismes alternatifs de transfert de données. Les mécanismes de transfert, autres que ceux décrits dans les sections 9.1 à 9.3 ci-dessus et approuvés en vertu des lois sur la protection des données, peuvent être invoqués le cas échéant. Les parties conviennent de déployer des efforts raisonnables pour mettre en place ces mécanismes alternatifs, le cas échéant, et de modifier le présent DPA si nécessaire afin de garantir la conformité des mécanismes de transfert en cas de modification de la législation sur la protection des données. En particulier, si les CCT sont modifiées, remplacées ou abrogées par la Commission européenne ou en vertu des lois sur la protection des données, les parties travailleront ensemble de bonne foi pour conclure une version mise à jour des CCT ou négocieront de bonne foi une solution permettant un transfert international de données personnelles conformément aux lois sur la protection des données.

9,5 Transfert international des données personnelles des clients d'Eton à des tiers. Eton ne transférera pas les données personnelles des clients, en interne ou à des sous-traitants, depuis une juridiction qui restreint le transfert international de données personnelles vers des zones situées en dehors de cette juridiction sans l'approbation préalable du client et uniquement après avoir pris des mesures, de manière continue, pour garantir que ce transfert est conforme aux lois sur la protection des données. Si Eton découvre ou a des raisons de croire que des données personnelles du client ont été ou sont traitées dans une juridiction sans la mise en œuvre d'un accord de transfert de données nécessaire, Eton signera rapidement un tel accord de transfert et en informera rapidement le Client.

9,6 Transfert de données personnelles en dehors de Singapour : Eton ne transférera pas les données personnelles du client vers un lieu situé en dehors de Singapour sans le consentement écrit préalable du client. Le client donne son consentement, Eton fournira un engagement écrit au client selon lequel les données personnelles du client transférées en dehors de Singapour seront protégées selon des normes comparables à celles prévues par la PDPA. Si Eton transfère les données personnelles du client à un tiers ou à un sous-traitant, Eton obtiendra le même engagement écrit auprès de ce tiers ou sous-traitant. 

9,7 Évaluations des transferts internationaux. Eton effectuera et tiendra à jour pendant toute la durée de la DPA une évaluation internationale des transferts de données démontrant sa conformité aux termes de cette DPA, et le cas échéant aux CCS, en ce qui concerne les opérations de traitement spécifiques, y compris par ses filiales et ses sous-traitants, les catégories de données personnelles des personnes concernées et les catégories de données personnelles des clients traitées dans le cadre de cette DPA, et mettra cette évaluation à la disposition du client sur demande. Eton confirme qu'elle surveillera à tout moment sa capacité à effectuer des transferts internationaux de données personnelles des clients et maintiendra son évaluation des transferts de données internationaux. Eton coopérera avec le Client et lui fournira une assistance raisonnable en ce qui concerne la fourniture d'une telle évaluation à une autorité de surveillance.

9,8 Coûts liés aux transferts internationaux de données personnelles vers des pays tiers. Sauf disposition contraire, chaque partie supportera les coûts occasionnés par toute action ou mesure prise par elle en vertu de la présente section.


 

10. Divers

10.1 Norme de protection. Le présent DPA remplace toute disposition du Contrat de services dans la mesure où cette disposition concerne la confidentialité, la sécurité ou la protection des données personnelles ; à condition toutefois qu'en cas de conflit entre le présent DPA et le Contrat de services, Eton se conformera aux obligations qui offrent le plus de protection aux données personnelles des clients.

10,2 Loi applicable. Le présent DPA et toutes les réclamations ou causes d'action (qu'elles soient contractuelles ou délictuelles) qui peuvent être fondées sur, découler de ou s'y rapporter de quelque manière que ce soit, seront régis et interprétés conformément aux lois identifiées dans le Contrat de services, sauf dans la mesure où les lois sur la protection des données exigent le contraire. Dans ce cas, et dans la mesure requise, le présent DPA sera régi conformément à ces lois sur la protection des données et, le cas échéant, sera soumis à la juridiction de l'exportateur de données concerné qui a exporté les données personnelles.

10,3 Modifications apportées à la législation sur la protection des données. Eton conclura tout autre accord raisonnablement demandé par le Client à des fins de conformité avec les lois sur la protection des données. En cas de conflit entre le présent DPA et tout autre accord écrit de confidentialité, de sécurité ou de protection des données, cet accord écrit supplémentaire prévaudra en ce qui concerne le traitement des données personnelles auquel il s'applique.

10,4 Intégralité de l'accord/Amendements. Ce DPA comprend l'intégralité de l'accord entre le Client et Eton en ce qui concerne l'objet des présentes, et il n'existe aucun autre accord, accord, condition ou représentation, oral ou écrit, explicite ou implicite, concernant l'objet des présentes, qui ne soit fusionné dans ce DPA ou remplacé par celui-ci. Aucune modification du présent DPA ne sera valide à moins d'être faite par écrit et signée par les représentants autorisés de toutes les parties.

10,5 Bénéficiaires tiers. Dans la mesure où le présent DPA bénéficie et/ou concerne les affiliés du client, ces affiliés seront des tiers bénéficiaires de ce DPA à toutes fins, y compris, mais sans s'y limiter, l'application des dispositions des présentes.

10,6 Contreparts/Signature électronique. Ce DPA peut être exécuté en plusieurs exemplaires, chacun étant considéré comme un original, mais constituant tous ensemble un seul et même instrument. Ce DPA ou toute autre contrepartie peut être échangé électroniquement ou stocké électroniquement sous forme de photocopie (par exemple au format .pdf). Les parties conviennent que ces copies échangées ou stockées électroniquement seront exécutoires en tant que documents originaux. Les parties consentent par la présente à l'utilisation de signatures électroniques et/ou numériques pour l'exécution du présent DPA et conviennent en outre que l'utilisation de signatures électroniques et/ou numériques sera contraignante, exécutoire et recevable comme preuve dans tout litige concernant ce DPA.

Le client et Eton, chacun par l'intermédiaire de son représentant dûment autorisé, acceptent les termes et conditions du présent DPA à la date d'entrée en vigueur.

 

Annexe 1 Calendrier de traitement

Les données personnelles des clients suivantes peuvent être transférées et traitées aux fins ci-dessous. Le cas échéant, cette annexe fait partie des CCT, qui sont réputées signées par les parties au moment de la signature du Contrat de services. Le cas échéant, la section A ci-dessous fait partie des SCCs Contrôleur à Processeur.

Exportateur de données: L'exportateur de données fait référence individuellement et collectivement au Client et à ses filiales (tels que définis dans le Contrat de services applicable), établis dans l'Espace économique européen (EEE), en Suisse et au Royaume-Uni.

Importateur de données: L'importateur de données est Eton s'il est établi en dehors de l'EEE, de la Suisse et du Royaume-Uni. Eton sera également considéré comme importateur de données lorsque des données personnelles sont transférées de l'EEE ou de la Suisse vers le Royaume-Uni.

Section A (Traitement des données personnelles des clients)

Objet: L'exportateur de données peut transférer les données personnelles du client à l'importateur de données dans le cadre du service et/ou du produit fourni par Eton dans le cadre du contrat de services.

Durée du traitement: Pendant la durée du contrat de services.

Sujets des données: Les données personnelles du client transférées peuvent concerner les catégories suivantes de personnes concernées (veuillez préciser) :

  • Les vendeurs et fournisseurs tiers, y compris les conseillers, les consultants, les experts professionnels et les contacts marketing (qui sont des personnes physiques) et leurs employés.
  • D'autres personnes concernées peuvent être décrites dans une déclaration ou un travail, un bon de commande ou un formulaire de commande en vertu du Contrat de services.

Catégories de données: Les données personnelles du client transférées peuvent concerner les catégories de données suivantes (ou un sous-ensemble de) (veuillez préciser) :

  • Noms et coordonnées (y compris l'adresse du domicile et de l'entreprise)
  • Informations d'identification financière et gouvernementale
  • Informations bancaires
  • Des catégories de données supplémentaires peuvent être décrites dans une déclaration ou un travail, un bon de commande ou un formulaire de commande en vertu du Contrat de services.

Catégories spéciales de données (le cas échéant): Les données personnelles du client transférées peuvent concerner les catégories spéciales de données suivantes (veuillez préciser) :

  • Rien ne s'y attendait.

Nature et finalité du traitement et des opérations de traitement: Les données personnelles du client transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) :

L'importateur de données traitera les données personnelles des clients de l'exportateur de données conformément au contrat de services dans le cadre de la fourniture de ses services et/ou produits. Cela peut inclure toute opération telle que le transfert de données et toute collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition de toute autre manière, alignement ou combinaison, restriction, effacement ou destruction des données personnelles du client (que ce soit par des moyens automatisés ou non).

 

 

Annexe 2

Mesures de sécurité

Ce qui suit détaille les mesures de sécurité administratives, physiques, techniques et organisationnelles d'Eton en ce qui concerne le traitement des données personnelles. Le cas échéant, cette annexe fait partie des clauses contractuelles types et est réputée signée par les parties lors de la signature du contrat de services.

Eton a mis en place plusieurs niveaux de contrôle alignés sur le SSAE SOC 2 Type 2 pour protéger les actifs informationnels.

Gens

  • Sensibilisation à la cybersécurité et hygiène
  • Vérification des antécédents (criminalité, études, emploi antérieur, vérification de solvabilité, pour n'en nommer que quelques-uns)
  • Manuel de l'employé
  • Newsletters et e-mails pour renforcer la sensibilisation à la cybersécurité.

Procédé

  • Politique et procédures de sécurité de l'information
  • Politique d'utilisation acceptable
  • Procédure disciplinaire en cas de manquement
  • Politique de gestion du changement
  • Politique de réponse aux incidents
  • Pratiques BCP et DR
  • Politique de gestion des tiers (fournisseurs)
  • Politique de classification des données
  • Accès aux données selon le principe du moindre privilège :
  • Ce qu'il faut faire
  • Droit de savoir
  • Politique Clear Desk Clear Screen.

Technique

  • Contrôles d'accès physiques
  • Contrôles d'accès basés sur les rôles avec définition granulaire des rôles.
  • Chiffrement des données au repos, en cours de traitement et en transit
  • Chiffrement des ordinateurs portables à l'aide du cryptage Windows Bit Locker.
  • Accès à distance complet via VPN
  • Protection réseau multicouche à l'aide de routeurs, de serveurs proxy, de pare-feu L7 et de WAF
  • Système de détection d'intrusion
  • Surveillance des journaux, détection des incidents et réponse
  • Politique de renforcement des appareils.
  • Sauvegarde et restauration
  • Centre de sécurité Azure
  • Azure Key Vault
  • Gestion des correctifs
  • Anti-malware et moteur antivirus