Dernière mise à jour: 28 janvier 2025

Contrat de traitement de données

Le présent Contrat de traitement de données (le « CTD ») fait partie des Conditions générales hébergées à l’adresse https://servicechannel.com/terms-and-conditions (le « Contrat ») entre ServiceChannel.com, Inc. (ci-après « ServiceChannel ») et le Prestataire (tel que défini dans le Contrat).  Le Client et ServiceChannel sont désignés individuellement une « partie » et collectivement les « parties ».

CONSIDÉRANT QUE

(i) Le Prestataire et ServiceChannel ont conclu le Contrat-cadre de services en vertu duquel ServiceChannel fournira les Services au Prestataire.

(ii) ServiceChannel traitera le Contenu prestataire (susceptible de comporter des Données à caractère personnel) dans le cadre de la fourniture des Services ;

(iii) En considération de ce qui précède, les parties souhaitent conclure le présent CTD qui régit le traitement par ServiceChannel desdites Données à caractère personnel figurant dans le Contenu prestataire.

EN CONSÉQUENCE, les parties conviennent de ce qui suit :

1. Définitions :

Dans le présent Contrat de traitement, les termes définis dans le Contrat ont la même signification lorsqu’ils sont utilisés ici. En outre, les termes suivants auront les significations suivantes :

(a) « Données administratives » s’entend de ce qui suit : i) les coordonnées et le contenu de la correspondance avec le titulaire du compte principal ou l’administrateur du Client ; ii) les demandes d’assistance soumises par les utilisateurs autorisés du Client en relation avec le Service ;

(b) « Affiliés » désigne toute entité qui est contrôlée, qui contrôle ou est sous contrôle commun avec ServiceChannel ;

(c) « Données anonymes » désigne les données créées à partir des Données à caractère personnel du Prestataire qui i) ne peuvent être utilisées pour déduire des informations sur une personne physique ou être liées à elle d’une autre manière ; ii) ne se rapportent pas d’une autre manière à une personne physique identifiée ou identifiable ;

(d) « CCPA » désigne la Loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), Code civil californien § 1798.100 et suivants, y compris ses règlements d’application et la Loi californienne sur les droits à la vie privée de 2020 (California Privacy Rights Act of 2020) ;

(e) « Finalités du Responsable du traitement » signifie entreprendre des travaux de recherche et développement en interne pour développer, tester, améliorer et modifier la fonctionnalité des produits et services de ServiceChannel ; b) créer des ensembles de Données anonymes pour la formation ou l’évaluation des produits et services de ServiceChannel ; c) administrer la relation de ServiceChannel avec le Prestataire en vertu du Contrat ;

(f) « Prestataire » désigne le Prestataire utilisateur qui a signé le Contrat-cadre de services ;

(g) « Données à caractère personnel prestataire » désigne les Données à caractère personnel figurant dans le Contenu prestataire, tel que décrit plus en détail à l’annexe I du présent CTD ;

(h) « Lois sur la protection des données » renvoie à l’ensemble des lois, règles, règlements et exigences gouvernementales applicables relatifs à la vie privée, la confidentialité ou la sécurité des Données à caractère personnel (qui pourront être modifiées ou autrement mis à jour en tant que de besoin), y compris (sans limitation) le RGPD, le RGPD britannique et les Lois américaines sur la protection des données ;

(i) « Personne concernée » désigne : i) une personne physique à laquelle se rapportent les Données à caractère personnel ; et ii) une personne physique qui est « personne concernée », un « consommateur » ou tout terme équivalent en vertu des Lois sur la protection des données ;

(j) « RGPD » désigne le règlement (UE) 2016/679 (le « RGPD UE ») ou, le cas échéant, le « RGPD britannique » tel que défini à la section 3(10) de la Loi britannique sur la protection des données de 2018 ;

(k) « Données à caractère personnel » s’entend de toutes informations qui : i) concernent, sont liées ou peuvent raisonnablement être liées à une personne physique identifiée ou identifiable ; ou ii) constituent autrement des « données à caractère personnel », « informations à caractère personnel », « informations à caractère personnel » ou des données ou informations définies de manière similaire en vertu des Lois sur la protection des données ;

(l) « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (« Traiter », « Traite » et « Traité(e) » auront la même signification) ;

(m) « Vente » ou « Vendre » a le sens qui lui est donné dans la CCPA ;

(n) « Action » a le sens qui lui est donné dans la CCPA ;

(o) « Atteinte à la sécurité » s’entend d’une atteinte à la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données à caractère personnel du prestataire ;

(p) « Clauses contractuelles types » s’entend des clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil, telles que mises à jour ou remplacées de temps à autre ;

(q) « Sous-traitant ultérieur » renvoie à toute entité extérieure engagée par ServiceChannel pour traiter les Renseignements personnels pour le compte du Prestataire ou afin de fournir les services visés au Contrat ;

(r) « Addendum britannique » s’entend du modèle d’addendum, version B.1.0, publié par le Commissaire à l’information britannique en vertu du S119A (1) de la Loi britannique sur la protection des données de 2018 et présenté au Parlement britannique le 2 février 2022, tel que révisé conformément à la section 18 de l’Addendum britannique ;

(s) « Lois américaines sur la protection des données » renvoie à l’ensemble des lois, règlements et exigences gouvernementales fédérales et étatiques applicables, relatifs à la protection des données, le Traitement des Données à caractère personnel, la confidentialité et/ou la protection des données en vigueur en tant que de besoin aux États-Unis, y compris (sans limitation) : la CCPA, la loi de Virginie sur la protection des données des consommateurs, Code de Virginie, Titre 59.1, Chapitre 52, § 59.1-571 et suivants, la loi du Colorado sur la protection de la vie privée, Loi révisée du Colorado, Titre 6, Article 1, Partie 13, § 6-1-1301 et suivants, la loi de l’Utah sur la protection de la vie privée des consommateurs, Code de l’Utah, § 13-6-101 et suivants, Projet de loi 6 du Sénat du Connecticut, une loi relative à la confidentialité des données à caractère personnel et au suivi en ligne (tel que cette loi est présentée et promulguée) ;

(t) « Données d’utilisation » s’entend des informations de diagnostic, d’utilisation et de performance collectées par ServiceChannel en relation avec l’utilisation des Services par le Prestataire et ses utilisateurs autorisés ; et

(u) Les termes « Responsable du traitement », « Sous-traitant », « Entreprise » et « Fournisseur de services » ont la signification qui leur est donnée dans les Lois sur la protection des données.

2. Relation des parties et conformité à la loi

2.1 Le Prestataire :

(a) nomme ServiceChannel pour traiter les Données à caractère personnel prestataire en tant que Sous-traitant ou Fournisseur de services ;

(b) reconnaît et convient que ServiceChannel peut :

(i) utiliser les Données administratives et les Données d’utilisation aux fins du Responsable du traitement et qu’aux fins du RGPD, il le fait en tant que Responsable du traitement ;

(ii) utiliser les Données à caractère personnel des Prestataires pour créer des Données anonymes et que, aux fins du RGPD, il le fait en tant que Responsable du traitement.

2.2 Chaque partie se pliera aux obligations qui lui sont applicables en vertu des Lois sur la protection des données et fournira le même niveau de protection de la vie privée que celui imposé par les Lois sur la protection des données.

2.3 Le Prestataire devra s’assurer que ses instructions pour le Traitement des Données à caractère personnel prestataire sont conformes aux Lois sur la protection des données. Le Prestataire sera seul responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel prestataire et des moyens par lesquels il aura obtenu ces données.

2.4 ServiceChannel devra informer dans les meilleurs délais le Prestataire si elle parvient à la conclusion qu’elle ne peut plus remplir ses obligations en vertu des Lois sur la protection des données.

2.5 Le Prestataire pourra prendre des mesures raisonnables et appropriées pour :

(a) s’assurer que ServiceChannel utilise les Données à caractère personnel prestataire d’une manière conforme aux obligations du Prestataire en vertu des Lois sur la protection des données ; et

(b) sur préavis raisonnable, mettre fin à toute utilisation non autorisée des Données à caractère personnel prestataire et y remédier.

3. Traitement des Données à caractère personnel prestataire

3.1 ServiceChannel ne traitera les Données à caractère personnel prestataire que pour le compte et conformément au Contrat, le présent CTD et (à l’exception de tout traitement pour les finalités du Responsable du traitement) aux instructions documentées du Prestataire. Le Prestataire demande à ServiceChannel de traiter les Données à caractère personnel prestataire aux fins suivantes : i) un Traitement conformément au Contrat et à toute ordonnance applicable ; et ii) un Traitement pour se plier aux autres instructions raisonnables communiquées par le Prestataire lorsque ces instructions sont conformes aux conditions du Contrat. ServiceChannel devra informer sans délai le Prestataire si elle n’est pas en mesure de suivre ces instructions ou si, à son avis, une instruction du Prestataire enfreint les Lois sur la protection des données.

3.2 ServiceChannel doit s’abstenir de :

(a) vendre ou partager les Données à caractère personnel prestataire ;

(b) conserver, utiliser ou divulguer les Données à caractère personnel prestataire à des fins autres que la finalité commerciale spécifique de prestations des Services visés au Contrat ou dans les limites autorisées par les Lois sur la protection des données ;

(c) conserver, utiliser ou divulguer les Données à caractère personnel prestataire en dehors de la relation commerciale directe entre les parties ; et

(d) combiner les Données à caractère personnel prestataire à des Données à caractère personnel qu’il reçoit de, ou au nom d’une ou plusieurs autres personnes, ou qu’il recueille dans le cadre de ses propres échanges avec la Personne concernée, à moins que cela ne soit expressément autorisé par les Lois sur la protection des données et effectué conformément à celles-ci.

3.3 Le Prestataire garantit et s’engage à ce que les Données à caractère personnel prestataire ne comportent aucun des éléments suivants :

(a) les Données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou convictions philosophiques, l’appartenance syndicale, les condamnations pénales et toute autre catégorie particulière de Données à caractère personnel identifiées aux articles 9 ou 10 du RGPD ou de Données à caractère personnel qui sont autrement sensibles en vertu des Lois applicables sur la protection des données ;

(b) les identifiants ou modèles biométriques ;

(c) les renseignements financiers (y compris, notamment, les informations de facturation et les données d’authentification sensibles ou de titulaires de carte, telles que ces termes sont définis en vertu de la Norme de sécurité des données du secteur des cartes de paiement) ;

(d) les informations financières personnellement identifiables, telles que définies par et soumises à la loi Gramm-Leach-Bliley Financial Modernization Act de 1999 ;

(e) les numéros d’identification nationaux (y compris, notamment, les numéros de sécurité sociale, les numéros d’assurance sociale, les numéros de permis de conduire ou de passeport ou autres numéros d’identification émis par l’administration) ;

(f) les informations relatives aux personnes âgées de moins de 13 ans ;

(g) les dossiers scolaires, tels que définis par la loi sur les droits et la protection de la famille en matière d’éducation de 1974 (Family Educational Rights and Privacy Act) ;

(h) les informations protégées sur la santé, telles que définies par la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) et soumises à cette loi.

4. Confidentialité du traitement/personnel de ServiceChannel

4.1 ServiceChannel devra veiller à ce que toute personne qu’elle autorise à traiter les Données à caractère personnel prestataire (une « Personne autorisée ») protège les Données à caractère personnel prestataire conformément aux obligations de confidentialité de ServiceChannel en vertu du présent Contrat.

4.2 ServiceChannel devra veiller à ce que son personnel engagé dans le Traitement des Données à caractère personnel prestataire soit informé de la nature confidentielle des Données à caractère personnel prestataire et soit soumis à des obligations de confidentialité.

4.3 ServiceChannel devra s’assurer que l’accès aux Données à caractère personnel prestataire est limité au personnel qui a besoin d’un tel accès pour prester les Services.

5. Gestion et notification en matière de gestion des atteintes à la sécurité

5.1 ServiceChannel devra mettre en œuvre des mesures techniques et organisationnelles appropriées pour la protection de la sécurité, de la confidentialité et de l’intégrité des Données à caractère personnel prestataire, comme indiqué à l’annexe II.

5.2 Si ServiceChannel prend connaissance d’une Atteinte à la sécurité, ServiceChannel devra : i) informer dans les meilleurs délais le Prestataire de l’Atteinte à la sécurité dans les délais requis par les Lois applicables sur la protection des données ; ii) enquêter sur l’Atteinte à la sécurité et communiquer au Prestataire des informations sur l’Atteinte à la sécurité ; et iii) prendre des mesures raisonnables pour atténuer les effets tout dommage découlant de l’Atteinte à la sécurité.

5.3 ServiceChannel devra, à la demande du Prestataire, fournir à ce dernier une assistance raisonnable pour l’exécution par le Prestataire de ses obligations en vertu des Lois sur la protection des données en relation avec une Atteinte à la sécurité notifiée au Prestataire par ServiceChannel.

5.4 ServiceChannel n’est nullement tenue d’informer le Prestataire des tentatives infructueuses d’obtenir un accès non autorisé aux Données à caractère personnel prestataire ou à des équipements ou installations de ServiceChannel conservant les Données à caractère personnel prestataire, y compris, notamment, les pings et autres attaques de diffusion sur les pare-feu ou les serveurs périphériques, les balayages de port, les tentatives de connexion infructueuses, les attaques par déni de service, ou tout incident semblable.

5.5 La ou les notification(s) d’Atteintes à la sécurité, le cas échéant, seront envoyées à un ou plusieurs contacts commerciaux, techniques ou administratifs du Prestataire par tout moyen choisi par ServiceChannel, y compris par e-mail. Il est de l’entière responsabilité du Prestataire de s’assurer qu’il conserve des coordonnées exactes sur les systèmes d’assistance de ServiceChannel à tout moment.

5.6 La notification ou la réponse de ServiceChannel à toute Atteinte à la sécurité en vertu du présent article 5 ne doit pas être interprétée comme une reconnaissance par ServiceChannel d’une faute ou d’une responsabilité en ce qui concerne l’atteinte à la sécurité.

6. Sous-traitant ultérieur

6.1 Le Prestataire reconnaît et accepte que i) ServiceChannel pourra nommer des Sociétés affiliées en tant que Sous-traitants ultérieurs ; et ii) qu’elle pourra engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services. Ces Sous-traitants ultérieurs seront autorisés à obtenir des Données à caractère personnel prestataire uniquement pour prester les services sur demande de ServiceChannel, et il leur est interdit d’utiliser les Données à caractère personnel prestataire à toute autre finalité. ServiceChannel devra conclure un accord écrit imposant au Sous-traitant ultérieur des obligations en matière de protection des données qui sont substantiellement similaires à celles imposées à ServiceChannel par le présent Contrat. ServiceChannel demeure entièrement responsable envers le Prestataire de l’exécution des obligations du Sous-traitant ultérieur en vertu de son contrat passé avec ServiceChannel.

6.2 ServiceChannel pourra continuer à utiliser les Sous-traitants ultérieurs déjà engagés par ServiceChannel ou toute Société affiliée à ServiceChannel à la date du présent Contrat, tel qu’énuméré à l’adresse https://bit.ly/SC_Subprocessors.

6.3 ServiceChannel devra informer le Prestataire par écrit au préalable de la nomination de tout nouveau Sous-traitant ultérieur, y compris de tous les détails relatifs au Traitement à entreprendre par le Sous-traitant ultérieur. Si, dans les 10 jours suivant la réception d’un tel avis, le Prestataire notifie ServiceChannel par écrit de toute objection (pour des motifs raisonnables) à la nomination proposée, ServiceChannel ne devra pas nommer le Sous-traitant ultérieur proposé tant que des mesures raisonnables n’auront pas été prises pour répondre aux objections soulevées par le Prestataire et que ce dernier n’aura pas reçu une explication raisonnable par écrit des mesures prises. Le Client reconnaît que, dans certains cas, il pourra ne pas être en mesure de fournir l’ensemble des Services sans recourir au nouveau Sous-traitant.

7. Transferts restreints

7.1 Les parties conviennent que lorsque le transfert des Données à caractère personnel du Client vers ServiceChannel est un Transfert restreint, il sera soumis aux clauses contractuelles types appropriées comme suit :

a) en ce qui concerne les Données à caractère personnel du Client qui sont protégées par le RGPD de l’UE, les clauses contractuelles types (CCT) de l’UE s’appliqueront comme suit :

i) le Module Deux s’appliquera ;

ii) à la clause 7, la clause d’adhésion facultative s’appliquera ;

iii) à la clause 9, l’option 2 s’appliquera, et le délai de notification préalable des changements de sous-traitant ultérieur sera celui énoncé dans la clause 6.3 du présent Contrat ;

iv) à la clause 11, la formulation facultative ne s’appliquera pas ;

v) à la clause 17, l’option 1 s’appliquera, et les CCT de l’UE seront régies par le droit irlandais ;

vi) à la clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;

vii) l’annexe I des CCT de l’UE sera réputée complétée avec les informations énoncées à l’annexe I du présent Contrat ;

viii) l’annexe II des CCT de l’UE sera réputée complétée avec les informations énoncées à l’annexe II du présent Contrat ; et

b) en ce qui concerne les Données à caractère personnel du Client qui sont protégées par le RGPD britannique, l’Addendum britannique s’appliquera comme suit :

i) les CCT de l’UE, complétées comme indiqué ci-dessus à la clause 7.1(a) du présent Contrat s’appliqueront également aux transferts desdites Données à caractère personnel du Client, sous réserve de la sous-clause

ii) ci-dessous ;

ii) les tableaux 1 à 3 de l’Addendum britannique seront réputés complétés avec les informations pertinentes des CCT de l’UE, complétées comme indiqué ci-dessus, et les options « aucune des parties » seront réputées vérifiées dans le tableau 4. La date de début de l’Addendum britannique (tel qu’indiqué dans le tableau 1) sera la date du présent Contrat ; et

c) dans le cas où une disposition du présent Contrat contredit, directement ou indirectement, les Clauses contractuelles types, les Clauses contractuelles types prévaudront.

7.2 Dans le cas où l’Addendum britannique applicable ou les CCT de l’UE sont remplacés par de nouvelles clauses contractuelles types, les parties conviennent que ces nouvelles clauses contractuelles types s’appliqueront automatiquement au transfert des Données à caractère personnel du Client du ServiceChannel et seront réputées achevées sur une base mutatis mutandis comme décrit à la clause 7.1 ci-dessus.

8. Coopération et droits des Personnes concernées

8.1 ServiceChannel devra, dans la mesure autorisée par la loi, informer dans les meilleurs délais le Prestataire s’il reçoit une demande d’une Personne concernée d’exercer ses droits en vertu des Lois sur la protection des données. ServiceChannel ne répondra à aucune demande de la Personne concernée sans avoir obtenu au préalable l’autorisation écrite du Prestataire, hormis pour confirmer que la demande concerne le Prestataire.

8.2 Dans la mesure où le Prestataire, dans son utilisation ou sa réception des Services, n’a pas la capacité de rectifier, modifier, restreindre, bloquer ou supprimer les Données à caractère personnel prestataire, comme l’imposent les Lois sur la protection des données, ServiceChannel devra déployer des efforts raisonnables sur le plan commercial pour se plier aux demandes raisonnables du Prestataire afin de faciliter l’accomplissement de telles formalités dans la mesure prévue par le droit autorisant ServiceChannel à le faire.

8.3 ServiceChannel devra collaborer raisonnablement avec le Prestataire (aux frais de celui-ci) dans le cadre de toute analyse d’impact relative à la protection des données qui peut être imposée en vertu des Lois sur la protection des données.

9. Données dépersonnalisées

9.1 En ce qui concerne les Données anonymisées créées par ServiceChannel, ServiceChannel devra :

(a) prendre des mesures raisonnables pour s’assurer que les informations ne peuvent être associées à une Personne concernée ;

(b) s’engager publiquement à traiter ces Données anonymisées uniquement sous une forme dépersonnalisée et à ne pas tenter de réidentifier l’information ; et

(c) obliger contractuellement tout destinataire des Données anonymisées à se conformer aux exigences susmentionnées en vertu des Lois sur la protection des données.

10. Résiliation, effacement ou restitution de Données

10.1 Le présent Contrat sera résilié de plein droit à l’effacement ou à l’anonymisation par ServiceChannel de toutes les Données à caractère personnel prestataire.

10.2 À la résiliation ou à l’expiration du Contrat, ServiceChannel devra

(a) , si le Prestataire le demande dans les trente (30) jours suivant l’expiration du Contrat (le « Délai de conservation »), fournir une copie de toutes les Données à caractère personnel du Prestataire sous le format couramment utilisé demandé par le Prestataire, ou fournir une fonctionnalité d’accès en libre-service permettant au Prestataire de télécharger lesdites Données à caractère personnel du Prestataire ;

(b) à l’expiration du Délai de conservation, supprimer toutes les copies des Données à caractère personnel prestataire traitées par ServiceChannel ou l’un de ses Sous-traitants ultérieurs, autres que :

(i) des Données d’administration ou Données d’utilisation traitées aux fins du Responsable du traitement ou des Données à caractère personnel prestataire que ServiceChannel est tenue de conserver en vertu du droit applicable ; ou

(ii) les Données à caractère personnel prestataire archivées sur des systèmes de sauvegarde, que ServiceChannel doit isoler et protéger en toute sécurité de tout Traitement ultérieur, hormis dans la mesure imposée par ladite loi jusqu’à ce que l’effacement soit possible.

11. Audit

11.1 Le Prestataire pourra vérifier la conformité de ServiceChannel au présent CTD. Les parties conviennent que tous ces audits seront menés :

(a) pas plus d’une fois par an, sauf si des audits plus fréquents sont imposés dans un souci de conformité aux Lois sur la protection des données ou si une autorité de contrôle compétente sur le Traitement des Données à caractère personnel prestataire l’impose ;

(b) sur préavis raisonnable adressé à ServiceChannel ;

(c) uniquement pendant les heures ouvrables habituelles de ServiceChannel ; et

(d) d’une manière qui ne perturbe pas substantiellement les affaires ou activités de ServiceChannel.

11.2 En ce qui concerne les audits effectués en vertu de l’article 10.1 :

(a) le Prestataire pourra engager un auditeur tiers pour mener l’audit en son nom, sauf que ServiceChannel pourra raisonnablement s’opposer à l’engagement de l’auditeur tiers si ledit auditeur tiers est un concurrent de ServiceChannel ;

(b) ServiceChannel ne sera pas tenue de faciliter ou d’aider à un audit, sauf si et jusqu’à ce que les parties aient convenu par écrit de la portée et du calendrier de cet audit et des taux de remboursement en vertu de l’article 10.3.

11.3 Le Prestataire devra rembourser ServiceChannel au titre de tout temps passé pour un tel audit selon les proportions convenues par les parties. Avant le début d’un tel audit, le Prestataire et ServiceChannel devront convenir mutuellement du périmètre, du calendrier et de la durée de l’audit en plus de la part de remboursement que le Prestataire devra supporter. Toutes les proportions de remboursement doivent être raisonnables, en tenant compte des ressources dépensées par ServiceChannel. Le Prestataire devra informer dans les meilleurs délais ServiceChannel des informations concernant tout défaut de conformité constaté à l’occasion d’un audit.

11.4 Le Prestataire reconnaît que ServiceChannel est régulièrement soumise à audit par des auditeurs tiers indépendants par rapport à la norme SSAE 18 SOC 1.  ServiceChannel devra fournir au Prestataire sur demande, ou pourra fournir au Prestataire en réponse à toute demande d’audit, une copie résumée de son ou ses rapports d’audit au Prestataire, qui seront soumis aux dispositions de confidentialité du Contrat. Si un audit demandé par le Prestataire est traité dans le rapport d’audit remis par ServiceChannel, le Prestataire accepte ledit rapport au lieu de mener un audit physique des contrôles couverts par le rapport concerné.

12. Limitation de responsabilité

Le présent CTD est soumis aux limitations et exclusions de responsabilité du Contrat.

13. Parties au présent Contrat

Sauf indication contraire stipulée dans les Clauses contractuelles types, rien dans le présent CTD ne confère d’avantages ou de droits à toute personne ou entité autre que les parties au présent CTD.

14. Effet juridique

Le présent CTD complète et fait partie du Contrat.

15. Généralités

15.1 Le présent CTD sera régi et interprété à tous égards conformément au droit applicable et aux dispositions du pays indiqué dans le Contrat, à condition qu’en cas de conflit entre le Contrat et le CTD en ce qui concerne le traitement des Données à caractère personnel, le présent CTD prévale.

15.2 Le présent Contrat peut être signé en plusieurs exemplaires, chacun d’entre eux étant un original et tous attestant du même accord entre les parties.

15.3 Sauf disposition contraire du présent CTD, le Contrat demeurera pleinement applicable et produira tous ses effets.

ANNEXE I

A.   LISTE DES PARTIES

	Nom	Adresse	Nom, fonction et coordonnées de la personne de contact	Activités en rapport avec les données transférées	Rôle
Exportateur de données	Prestataire (tel que fourni lors de l’inscription aux Services)	Comme prévu lors de l’inscription aux Services	Comme prévu lors de l’inscription aux Services	Réception des Services	Responsable du traitement
Importateur de données	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615, États-Unis	Brian Chase, Directeur juridique, [email protected]	Fourniture des Services	Sous-traitant (de données)

B.   DESCRIPTION DU TRANSFERT

Personnes concernées	Catégories de données à caractère personnel	Données à caractère personnel sensibles	Fréquence de transfert	Nature et finalité du traitement	Délai de conservation
Utilisateurs finaux du prestataire	Nom, adresse e-mail, rôle chez le Prestataire, accréditations.	Aucune	Continu	Accorder l’accès aux Services aux Utilisateurs finaux.	Aussi longtemps que le Prestataire autorise l’Utilisateur final à accéder aux Services.
Utilisateurs finaux du Prestataire	Nom, numéro de téléphone, services de gestion des installations à fournir.	Aucune	Continu	Faciliter le contact entre les Utilisateurs finaux et les Clients pour l’exécution des Contrats d’achat.	Aussi longtemps que le Prestataire autorise l’Utilisateur final à accéder aux Services.
Utilisateurs finaux du Prestataire	Nom, géolocalisation précise, heure d’arrivée, heure de départ.	Aucune	Continu	Fournir des informations au Client concernant la fourniture de services de gestion des installations en vertu d’un Contrat d’achat.	Pendant la durée du Contrat.
Utilisateurs finaux du Prestataire	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis.	Aucune	Continu	Faciliter le calcul des montants exigibles en vertu du Contrat d’achat.	Pendant la durée du Contrat.
Utilisateurs finaux du Prestataire Utilisateurs autorisés des Clients demandant des services de gestion des installations	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis.	Aucune	Continu	Soumission des factures en vertu des Contrats d’achat au client.	Pendant la durée du Contrat.
Utilisateurs finaux du Prestataire Utilisateurs autorisés des Clients demandant des services de gestion des installations	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis.	Aucune	Continu	Tenir à jour les registres de transactions des services fournis par le Prestataire en vertu des Contrats d’achat.	Pendant la durée du Contrat.
Utilisateurs finaux du Prestataire	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis, géolocalisation précise.	Aucune	Continu	Faciliter la gestion des Utilisateurs finaux du Prestataire, y compris la planification et la dotation en personnel.	Pendant la durée du Contrat.
Points de contact clés chez le Prestataire	Nom, adresse e-mail, numéro de téléphone.	Aucune	Continu	Promouvoir les services du Prestataire via le Catalogue.	Tant que la personne reste un point de contact clé, et en tout état de cause pas plus longtemps que la durée du Contrat.
Utilisateurs finaux du Prestataire	Demandes d’assistance soumises par l’Utilisateur final.	Aucune	Continu	Fournir une assistance technique.	Pendant la durée du Contrat.
Utilisateurs finaux du Prestataire	Données de connexion relatives à l’utilisation des Services par l’Utilisateur final.	Aucune	Continu	Fournir un accès aux Services.	Pendant toute la durée de la session de navigation de l’Utilisateur final.

Sous-traitants ultérieurs

Tel que décrit sur https://bit.ly/SC_Subprocessors

C.   AUTORITÉ DE CONTRÔLE COMPÉTENTE

Commissaire irlandais à la protection des donnéesANNEXE II

Mesures de sécurité

ServiceChannel demeurera à tout moment responsable des mesures suivantes de sécurité de transfert raisonnables sur le plan commercial :

MESURES DE SÉCURITÉ DES TRANSFERTS	MESURES MISES EN ŒUVRE
Mesures de pseudonymisation et de chiffrement des données à caractère personnel	Pseudonymisation • masquage des caractères • permutation • k-anonymat Chiffrement • Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou supérieur) sur chaque interface de connexion, à l’aide d’algorithmes et de certificats standard du secteur. • Chiffrement des données au repos à l’aide de l’algorithme AES-256 standard du secteur
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement	Confidentialité • Réseau privé virtuel (VPN) • Authentification multifacteur (AMF) • Système de droits différenciés basé sur des groupes de sécurité et des listes de contrôle d’accès. • Transmission sécurisée des informations d’identification à l’aide de TLS 1.2 (ou supérieur) • Les mots de passe nécessitent une complexité minimale définie. Les mots de passe initiaux doivent être modifiés après la première connexion. • Verrouillage automatique du compte • Directives pour le traitement des mots de passe • Contrôles d’accès à l’infrastructure hébergée par le fournisseur de services cloud • Gestion des droits d’accès y compris concept d’autorisation, mise en œuvre des restrictions d’accès, mise en œuvre du principe du « besoin de savoir », gestion des droits d’accès individuels. • Accords de formation et de confidentialité pour le personnel interne et le personnel externe • Séparation du réseau • Séparation des responsabilités et des devoirs • Restreindre l’accès aux données à caractère personnel aux parties impliquées dans le traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Intégrité • Interconnexions réseau sécurisées assurées par des pares-feux, etc. • Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel • Authentification de journalisation et accès au système logique surveillé • Enregistrement de l’accès aux données, y compris, sans s’y limiter, l’accès, la modification, la saisie et la suppression des données • Documentation des droits d’entrée de données et des entrées liées à la sécurité de journalisation • Pare-feu d’application Web (WAF) Disponibilité et résilience • Les Données prestataire sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité. • Protection des supports de sauvegarde stockés
Mesures visant à garantir la capacité à restaurer la disponibilité et l’accès aux Données à caractère personnel en temps opportun en cas d’incident physique ou technique	• Planification de la continuité et plan de reprise après sinistre• Processus de reprise après sinistre pour restaurer les données et les processus • Objectif de temps de reprise (RTO) • Objectif du point de reprise (RPO) • Temps d’arrêt maximum tolérable (MTD) • Mesures de gestion des capacités pour surveiller la consommation des ressources des systèmes ainsi que la planification des besoins futurs en ressources. • Procédures de gestion et de signalement des incidents (gestion des incidents), y compris la détection et la réaction aux incidents de sécurité potentiels. • Les données de production sont sauvegardées toutes les heures sous forme incrémentielle et quotidiennement sous forme de sauvegarde complète. Toutes les sauvegardes sont conservées de manière redondante et sous forme chiffrée (AES-256).
Processus pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement	• Test des équipements d’urgence• Documentation des interfaces et des champs de données à caractère personnel • Audits internes et externes • Contrôles de sécurité (par ex. tests de pénétration) effectués par des parties externes • Audits SOC 1 et 2 • Analyse comparative et tests réguliers conformes aux normes du secteur, par ex. contrôles SANS Top 20 pour la sécurité Internet, directives NIST, etc.
Mesures d’identification et d’autorisation des utilisateurs	• Interconnexions réseau sécurisées assurées par VPN, MFA, pare-feu, etc.• Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel • Authentification de journalisation et accès au système surveillé • L’accès aux données nécessaires à l’exécution de la tâche particulière est assuré au sein des systèmes et applications par un rôle correspondant et un concept d’autorisation conformément au principe du « besoin de savoir ». • Pare-feu d’application Web (WAF)
Mesures de protection des Données pendant la transmission	• Accès à distance au réseau via tunnel VPN et chiffrement de bout en bout• Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou supérieur)
Mesures de protection des Données pendant le stockage	• Entrées système enregistrées via les fichiers journaux• Listes de contrôle d’accès (ACL) • Authentification multifacteur (AMF)
Mesures visant à assurer la sécurité physique des lieux où les Données à caractère personnel sont traitées	• Subdivision de l’installation en zones individuelles avec différentes autorisations d’accès ;• Protection physique de l’accès (par ex. portes en acier, salles sans fenêtre ou fenêtres sécurisées) ; • Système de contrôle d’accès électronique pour protéger les zones de sécurité ; • Surveillance de l’installation par des services de sécurité et journalisation des accès à l’installation ; • Surveillance vidéo de toutes les zones de sécurité pertinentes pour la sécurité, telles que les entrées, les sorties de secours et les salles de serveurs ; • Cession centrale et révocation des autorisations d’accès ; • Identification de tous les visiteurs par vérification de leur carte d’identité et enregistrement (un journal des visiteurs est tenu) ; • Identification obligatoire dans les zones de sécurité pour tous les employés et visiteurs ; • Les visiteurs doivent être accompagnés par les employés à tout moment.
Mesures pour assurer l’enregistrement des événements	• Enregistrement à distance• Chaîne de hachage • Réplication • Système central de gestion des événements et des informations de sécurité (SIEM)
Mesures pour assurer la configuration du système, y compris la configuration par défaut	• Politique et procédures de contrôle d’accès• Identification de la configuration de référence • Planification et gestion de la configuration • Gestion des changements de configuration • Comptabilité de l’état de configuration • Vérification de la configuration et audits • Gestion des appareils mobiles
Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique	• Personne dédiée et identifiée pour superviser le programme de sécurité et de conformité des informations de la société• Audit SOC 1 et 2
Mesures de certification/assurance des processus et des produits	• Certifications de sécurité de l’information ou de gestion de la qualité telles que SSAE 18 Type 2 SOC 1 et SSAE18 Type 2 SOC2
Mesures pour garantir la minimisation des données	• Obstacles technologiques à la liaison non autorisée de sources de données indépendantes.• Limitation du niveau de détail utilisé dans le traitement des données à caractère personnel : par exemple, par le biais de techniques telles que le k-anonymat et l’obscurcissement. • Suppression des métadonnées générées au cours de certains processus qui ne sont pas nécessaires pour l’objectif poursuivi.
Mesures pour assurer la qualité des données	• Processus d’exercice des droits à la protection des données (droit de modifier et de mettre à jour les informations)• Documentation claire des exigences pour toutes les conditions et tous les scénarios de données • Restreindre l’accès aux données à caractère personnel aux parties impliquées dans le traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Profilage et contrôle rigoureux des données entrantes • Conception du pipeline de données pour éviter les doublons de données • Équipe assurance qualité • Application de l’intégrité des données
Mesures pour assurer une conservation limitée des données	• L’existence de calendriers et de politiques de conservation clairs• Test d’efficacité
Mesures pour assurer la responsabilité	• Attribuer la responsabilité de garantir la confidentialité de l’utilisateur final tout au long du cycle de vie du produit et par le biais des processus commerciaux applicables.• Les analyses d’impact relatives à la protection des données font partie intégrante de toute nouvelle initiative de traitement. • Documenter toutes les décisions qui sont adoptées au sein de l’organisation dans une perspective de « réflexion sur la conception de la vie privée ».
Mesures pour permettre la portabilité des données et assurer l’effacement	• Processus documentés en lien avec l’exercice par les utilisateurs de leurs droits à la vie privée (par ex. droit à l’effacement ou droit à la portabilité des données)• Utilisation de formats ouverts tels que CSV, XML ou JSON.
Restrictions ou garanties appliquées pour les données sensibles (le cas échéant)	• Le chiffrement ou le hachage de données de catégorie particulière, bien que n’étant pas une exigence légale explicite, doit être la norme

English     Deutsch     Español     Français (France)     中文(简体)     Slovenščina     Italiano     Magyar