Dernière mise à jour : 28 janvier 2025
Contrat de traitement de données
Le présent Contrat de traitement de données (le « CTD ») fait partie du Contrat-cadre de services (« CCS ») conclu entre ServiceChannel.com, Inc. (ci-après dénommée « ServiceChannel ») et le Client (tel que défini dans le CCS). Le Client et ServiceChannel sont désignés individuellement une « partie » et collectivement les « parties ».
CONSIDÉRANT QUE
i) Le client et ServiceChannel ont conclu le Contrat-cadre de services en vertu duquel ServiceChannel fournira les Services au Client.
ii) ServiceChannel traitera les Données client (susceptibles de contenir des Données à caractère personnel) dans le cadre de la fourniture des Services ;
iii) En considération de ce qui précède, les parties souhaitent conclure le présent CTD qui régit le traitement, réalisé par ServiceChannel, desdites Données à caractère personnel figurant dans les Données client.
CECI ÉTANT EXPOSÉ, les parties conviennent de ce qui suit :
1. Définitions :
Les termes définis dans le CCS ont la même signification lorsqu’ils sont utilisés dans le présent Contrat de traitement. En outre, les termes suivants auront les significations suivantes :
a) « Données administratives » s’entend de ce qui suit : i) les coordonnées et le contenu de la correspondance avec le titulaire du compte principal ou l’administrateur de l’Organisation ; ii) les demandes d’assistance soumises par les utilisateurs autorisés de l’Organisation en relation avec le service ;
b) « Société affiliée » désigne toute entité qui est contrôlée par ServiceChannel, contrôle cette dernière ou est sous le contrôle de la même personne que celle-ci ;
c) « CCPA » renvoie à la Loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) Code § 1798.100 et suivants, y compris ses règlements d’application et la loi californienne sur les droits à la vie privée de 2020 (California Privacy Rights Act of 2020) ;
d) « Finalités du Responsable du traitement » signifie entreprendre des travaux de recherche et développement en interne pour développer, tester, améliorer et modifier la fonctionnalité des produits et services de ServiceChannel ; b) créer des ensembles de données anonymes pour la formation ou l’évaluation des produits et services de ServiceChannel ; c) administrer la relation de ServiceChannel avec le Client en vertu du CCS ;
e) « Client » désigne le client qui a signé le Contrat-cadre de services ;
f) « Données à caractère personnel client » s’entend, hors Notations et Évaluations, des Données à caractère personnel figurant dans les Données client, tel que décrit plus en détail à l’annexe I du présent CTD ;
g) « Lois sur la protection des données » renvoie à l’ensemble des lois, règles, règlements et exigences gouvernementales applicables relatifs à la vie privée, la confidentialité ou la sécurité des Données à caractère personnel (telles qu’ils pourront être modifiés ou autrement mis à jour en tant que de besoin), y compris (sans limitation) le RGPD, le RGPD anglais et les Lois américaines sur la protection des données ;
h) « Personne concernée » désigne : i) une personne physique à laquelle se rapportent les données à caractère personnel ; et ii) une personne physique qui est une « personne concernée », un « consommateur » ou tout terme équivalent en vertu des Lois sur la protection des données ;
i) « RGPD » désigne le Règlement (UE) 2016/679 (le « RGPD UE ») ou, le cas échéant, le « RGPD britannique » tel que défini à la section 3(10) de la Loi britannique sur la protection des données de 2018 ;
j) « Données à caractère personnel » s’entend de toutes informations qui : i) concernent, sont liées ou peuvent raisonnablement être liées à une personne physique identifiée ou identifiable ; ou ii) constituent autrement « données à caractère personnel », « informations à caractère personnel », « informations à caractère personnel » ou des données ou informations définies de manière similaire en vertu des Lois sur la protection des données ;
k) « Traitement » s’entend de toute opération ou de tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (« Traitement », « Traiter », « Traite » et « Traitée) » auront la même signification) ;
l) « Notations et Évaluations » a le sens qui lui est donné à la Section 0 ;
m) « Vente » ou « Vendre » a le sens qui lui est donné dans le CCPA ;
n) « Action » a le sens qui lui est donné dans la CCPA ;
o) « Atteinte à la sécurité » s’entend d’une atteinte à la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données à caractère personnel client ;
p) « Clauses contractuelles types » s’entend des clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil, telles que mises à jour ou remplacées de temps à autre ;
q) « Sous-traitant ultérieur » renvoie à toute entité extérieure engagée par ServiceChannel pour traiter les Renseignements personnels pour le compte du client ou afin de fournir les services visés au Contrat ;
r) « Addendum britannique » s’entend du modèle d’addendum, version B.1.0, publié par le Commissaire à l’information britannique en vertu du S119A (1) de la Loi britannique sur la protection des données de 2018 et présenté au Parlement britannique le 2 février 2022, tel que révisé conformément à la section 18 de l’Addendum britannique ;
s) « Lois américaines sur la protection des données » renvoie à l’ensemble des lois, règlements et exigences gouvernementales fédéraux et étatiques applicables, relatifs à la protection des données, le Traitement des Données à caractère personnel, la confidentialité et/ou la protection des données en vigueur en tant que de besoin aux États-Unis, y compris (sans limitation) : le CCPA, la loi Virginia Consumer Data Protection Act, Code de Virginie Titre 59.1 Chapitre 52 § 59.1-571 et suivants, le Colorado Privacy Act, Loi révisée du Colorado Titre 6 Article 1 Partie 13 § 6-1-1301 et suivants, la loi sur la protection de la vie privée des consommateurs de l’Utah, Code de l’Utah § 13-6-101 et suivants, Projet de loi 6 du Sénat du Connecticut, une loi relative à la confidentialité des données à caractère personnel et au suivi en ligne (au fur et à mesure de l’adoption et de l’enregistrement de cette loi) ;
t) « Données d’utilisation » s’entend des informations de diagnostic, d’utilisation et de performance collectées par ServiceChannel en relation avec l’utilisation des Services par le Client et ses utilisateurs autorisés ; et
u) Les termes « Responsable du traitement », « Sous-traitant », « Entreprise » et « Fournisseur de services » ont la signification qui leur est donnée dans les Lois sur la protection des données.
2. Relation des parties et conformité à la loi
2.1 Le Client :
a) désigne ServiceChannel pour traiter les Données à caractère personnel client en tant que Sous-traitant ou Fournisseur de services ;
b) reconnaît et convient que ServiceChannel peut :
i) utiliser les données administratives et les données d’utilisation aux fins du Responsable du traitement et qu’aux fins du RGPD, il le fait en tant que Responsable du traitement.
ii) recueillir et afficher les observations et commentaires adressés à ServiceChannel par les utilisateurs autorisés du Client en relation avec les fournisseurs de services engagés par le Client (« Notations et évaluations »)et qu’aux fins des Lois sur la protection des données, il le fait en tant que Responsable du traitement ou Entreprise.
2.2 Chaque partie se pliera aux obligations qui lui sont applicables en vertu des Lois sur la protection des données et fournira le même niveau de protection de la vie privée que celui imposé par les Lois sur la protection des données.
2.3 Le client devra s’assurer que ses instructions pour le Traitement des Données à caractère personnel client sont conformes aux Lois sur la protection des données. Le Client sera seul responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel client et des moyens par lesquels le Client a obtenu les Données à caractère personnel client.
2.4 ServiceChannel devra informer dans les meilleurs délais le Client si ServiceChannel parvient à la conclusion qu’elle ne peut plus remplir ses obligations en vertu des Lois sur la protection des données.
2.5 Le Client pourra prendre des mesures raisonnables et appropriées pour :
a) s’assurer que ServiceChannel utilise les Données à caractère personnel client d’une manière conforme aux obligations du Client en vertu des Lois sur la protection des données ; et
b) sur préavis raisonnable, mettre fin à toute utilisation non autorisée des Données à caractère personnel client et y remédier.
3. Traitement des Données à caractère personnel client
3.1 ServiceChannel ne traitera les Données à caractère personnel client que pour le compte et conformément au CCS, au présent CTD et (à l’exception de tout traitement pour les finalités du Responsable du traitement) aux instructions documentées du Client. Le Client demande à ServiceChannel de traiter les Données à caractère personnel client aux fins suivantes : i) Traitement conformément au CCS et à tout ordre applicable ; et ii) Traitement pour se plier aux autres instructions raisonnables communiquées par le Client lorsque ces instructions sont conformes aux conditions du CCS. ServiceChannel devra informer sans délai le Client si elle n’est pas en mesure de suivre ces instructions ou si, à son avis, une instruction du Client enfreint les Lois sur la protection des données.
3.2 ServiceChannel doit s’abtenir de :
a) Vendre ou partager les Données à caractère personnel client ;
b) conserver, utiliser ou divulguer les Données à caractère personnel client à des fins autres que la finalité commerciale spécifique de fourniture des services visés au CCS ou dans les limites autorisées par les lois sur la protection des données ;
c) conserver, utiliser ou divulguer les Données à caractère personnel client en dehors de la relation commerciale directe entre les parties ; et
d) combiner les Données à caractère personnel client à des données à caractère personnel qu’il reçoit de, ou au nom d’une ou plusieurs autres personnes, ou qu’il recueille dans le cadre de ses propres échanges avec la personne concernée, à moins que cela ne soit expressément autorisé par les lois sur la protection des données et effectué conformément à celles-ci.
3.3. Le Client garantit et s’engage à ce que les Données à caractère personnel client ne comportent aucun des éléments suivants :
(a) Données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou convictions philosophiques, l’appartenance syndicale, les condamnations pénales et toute autre catégorie particulière de Données à caractère personnel identifiées aux articles 9 ou 10 du RGPD ou de Données à caractère personnel qui sont autrement des Données à caractère personnel sensibles en vertu du Droit applicable en matière de protection des données ;
b) les identifiants ou modèles biométriques ;
c) les renseignements financiers (y compris, sans s’y limiter, les informations de facturation et les données d’authentification sensibles ou de titulaires de carte, telles que ces termes sont définis en vertu de la Norme de sécurité des données du secteur des cartes de paiement) ;
d) les informations financières personnellement identifiables, telles que définies par et soumises à la loi Gramm-Leach-Bliley Financial Modernization Act de 1999 ;
e) les numéros d’identification nationaux (y compris, sans s’y limiter, les numéros de sécurité sociale, les numéros d’assurance sociale, les numéros de permis de conduire ou de passeport ou autres numéros d’identification émis par le gouvernement) ;
f) les informations relatives aux personnes âgées de moins de 13 ans ;
g) les dossiers scolaires, tels que définis par la loi Family Educational Rights and Privacy Act de 1974 ;
h) les informations protégées sur la santé, telles que définies par la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) et soumises à cette loi.
4. Confidentialité du traitement/personnel de ServiceChannel
4.1 ServiceChannel devra veiller à ce que toute personne qu’elle autorise à traiter les Données à caractère personnel client (une « Personne autorisée ») protège les Données à caractère personnel client conformément aux obligations de confidentialité de ServiceChannel en vertu du présent Contrat.
4.2 ServiceChannel devra veiller à ce que son personnel engagé dans le Traitement des Données à caractère personnel client soit informé de la nature confidentielle des Données à caractère personnel client et soit soumis à des obligations de confidentialité.
4.3 ServiceChannel devra s’assurer que l’accès aux Données à caractère personnel client est limité au personnel qui a besoin d’un tel accès pour fournir les Services.
5. Gestion et notification en matière de gestion des atteintes à la sécurité
5.1 ServiceChannel devra mettre en œuvre des mesures techniques et organisationnelles appropriées pour la protection de la sécurité, de la confidentialité et de l’intégrité des Données à caractère personnel client, comme indiqué à l’annexe II.
5.2 Si ServiceChannel prend connaissance d’une Atteinte à la sécurité, ServiceChannel devra rapidement : i) informer le Client de l’Atteinte à la sécurité dans les délais requis par les lois applicables en matière de protection des données ; ii) enquêter sur l’Atteinte à la sécurité et communiquer au Client des informations sur l’Atteinte à la sécurité ; et iii) prendre des mesures raisonnables pour atténuer les effets tout dommage découlant de l’Atteinte à la sécurité.
5.3 ServiceChannel devra, à la demande du Client, fournir à ce dernier une assistance raisonnable pour l’exécution par le Client de ses obligations en vertu des Lois sur la protection des données en relation avec une Atteinte à la sécurité notifiée au client par ServiceChannel.
5.4 ServiceChannel n’est nullement tenue d’informer le Client de toute tentative infructueuse d’obtenir un accès non autorisé aux Données à caractère personnel client ni à tout équipement ou installation de ServiceChannel conservant les Données à caractère personnel client, y compris, sans limitation, les pings et autres attaques de diffusion sur les pare-feu ou les serveurs périphériques, les balayages de port, les tentatives de connexion infructueuses, les attaques par déni de service, ou tout incident semblable.
5.5. La ou les notification(s) d’Atteintes à la sécurité, le cas échéant, seront envoyées à un ou plusieurs contacts commerciaux, techniques ou administratifs du Client par tout moyen choisi par ServiceChannel, y compris par e-mail. Il est de l’entière responsabilité du Client de s’assurer qu’il conserve des coordonnées exactes sur les systèmes d’assistance de ServiceChannel à tout moment.
5.6 La notification ou la réponse de ServiceChannel à toute Atteinte à la sécurité en vertu du présent article 5 ne doit pas être interprétée comme une reconnaissance par ServiceChannel de toute faute ou responsabilité en ce qui concerne l’atteinte à la sécurité.
6. Sous-traitant ultérieur
6.1 Le Client reconnaît et accepte que i) ServiceChannel pourra nommer des Sociétés affiliées en tant que Sous-traitants ultérieurs; et ii) qu’elle pourra engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des services. Ces Sous-traitants ultérieurs seront autorisés à obtenir des Données à caractère personnel client uniquement pour prester les services sur demande de ServiceChannel, et il leur est interdit d’utiliser les Données à caractère personnel client à toute autre finalité. ServiceChannel devra conclure un accord écrit imposant au Sous-traitant ultérieur des obligations en matière de protection des données qui sont substantiellement similaires à celles imposées à ServiceChannel par le présent Contrat. ServiceChannel demeure entièrement responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur en vertu de son contrat passé avec ServiceChannel.
6.2 ServiceChannel pourra continuer à utiliser les Sous-traitants ultérieurs déjà engagés par ServiceChannel ou toute Société affiliée à ServiceChannel à la date du présent Contrat, tel qu’énuméré à l’adresse https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel devra informer le Client par écrit au préalable de la nomination de tout nouveau Sous-traitant ultérieur, y compris de tous les renseignements relatifs au Traitement à entreprendre par le Sous-traitant ultérieur. Si, dans les 10 jours suivant la réception d’un tel avis, le Client notifie ServiceChannel par écrit de toute objection (pour des motifs raisonnables) à la nomination proposée, ServiceChannel ne devra pas nommer le Sous-traitant ultérieur proposé tant que des mesures raisonnables n’auront pas été prises pour répondre aux objections soulevées par le Client et que ce dernier n’aura pas reçu une explication raisonnable par écrit des mesures prises. Le Client reconnaît que, dans certains cas, il pourra ne pas être en mesure de fournir l’ensemble des Services sans recourir au nouveau Sous-traitant.
7. Transferts restreints
7.1 Les parties conviennent que lorsque le transfert des Données à caractère personnel du Client vers ServiceChannel est un Transfert restreint, il sera soumis aux clauses contractuelles types appropriées comme suit :
(a) en ce qui concerne les Données à caractère personnel du Client qui sont protégées par le RGPD de l’UE, les clauses contractuelles types (CCT) de l’UE s’appliqueront comme suit :
(i) le module deux s’appliquera ;
(ii) à la clause 7, la clause d’adhésion facultative s’appliquera ;
(iii) à la clause 9, l’option 2 s’appliquera, et le délai de notification préalable des changements de sous-traitant ultérieur sera celui énoncé dans la clause 6.3 du présent Contrat ;
(iv) à la clause 11, la formulation facultative ne s’appliquera pas ;
(v) à la clause 17, l’option 1 s’appliquera, et les CCT de l’UE seront régies par le droit irlandais ;
(vi) à la clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;
(vii) l’Annexe I des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe I du présent Contrat ;
(viii) l’Annexe II des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe II du présent Contrat ; et
(b) en ce qui concerne les Données à caractère personnel du Client qui sont protégées par le RGPD du Royaume-Uni, l’Addendum du Royaume-Uni s’appliquera comme suit :
(i) Les CCT de l’UE, complétées comme indiqué ci-dessus à la clause 7.1(a) du présent Contrat s’appliqueront également aux transferts desdites Données à caractère personnel du Client, sous réserve de la sous-clause
(ii) ci-dessous ;
(ii) Les tableaux 1 à 3 de l’Addendum du Royaume-Uni seront réputés complétés avec les informations pertinentes des CCT de l’UE, complétées comme indiqué ci-dessus, et les options « aucune des parties » seront réputées vérifiées dans le tableau 4. La date de début de l’Addendum du Royaume-Uni (tel qu’indiqué dans le tableau 1) sera la date du présent Contrat ; et
(c) dans le cas où une disposition du présent Contrat contredit, directement ou indirectement, les Clauses contractuelles types, les Clauses contractuelles types prévaudront.
7.2 Dans le cas où l’Addendum du Royaume-Uni applicable ou les CCT de l’UE sont remplacés par de nouvelles clauses contractuelles types, les parties conviennent que ces nouvelles clauses contractuelles types s’appliqueront automatiquement au transfert des Données à caractère personnel du Client du ServiceChannel et seront réputées achevées sur une base mutatis mutandis comme décrit à la clause 7.1 ci-dessus.
8. Coopération et droits des Personnes concernées
8.1 ServiceChannel devra, dans la mesure autorisée par la loi, informer dans les meilleurs délais le Client s’il reçoit une demande d’une Personne concernée d’exercer ses droits en vertu du RGPD, ou de toute demande du consommateur d’exercer ses droits en vertu des Lois sur la protection des consommateurs. ServiceChannel ne répondra à aucune demande de la Personne concernée sans avoir obtenu au préalable l’autorisation écrite du Client, hormis pour confirmer que la demande concerne le Client.
8.2 Dans la mesure où le Client, dans son utilisation ou sa réception des Services, n’a pas la capacité de rectifier, modifier, restreindre, bloquer ou supprimer les Données à caractère personnel client, comme l’imposent les Lois en matière de protection des données, ServiceChannel devra déployer des efforts raisonnables sur le plan commercial pour se plier aux demandes raisonnables du client afin de faciliter l’accomplissement de telles formalités dans la mesure prévue par le droit autorisant ServiceChannel à le faire.
8.3 ServiceChannel devra collaborer raisonnablement avec le Client (aux frais de celui-ci) dans le cadre de toute analyse d’impact relative à la protection des données qui peut être imposée en vertu de la Loi en matière de protection des données.
9. Résiliation, effacement ou restitution de Données
9.1 Le présent Contrat sera résilié de plein droit à l’effacement ou à l’anonymisation par ServiceChannel de toutes les Données à caractère personnel client.
9.2 À la résiliation ou à l’expiration du CCS, ServiceChannel devra :
a) si le Client le demande dans les trente (30) jours suivant l’expiration du CCS (le « Délai de conservation ») fournir une copie de toutes les Données à caractère personnel client sous le format couramment utilisé demandé par le Client, ou fournir une fonctionnalité d’accès en libre-service permettant au client de télécharger lesdites Données à caractère personnel client ;
b) à l’expiration du Délai de conservation, supprimer toutes les copies des Données à caractère personnel client traitées par ServiceChannel ou l’un de ses Sous-traitants ultérieurs, autres que :
i) toutes Données d’administration ou Données d’utilisation traitées aux fins du Responsable du traitement ou toutes Données à caractère personnel client que ServiceChannel est tenue de conserver en vertu du droit applicable ; ou
ii) Données à caractère personnel client archivées sur des systèmes de sauvegarde, que ServiceChannel doit isoler et protéger en toute sécurité de tout Traitement ultérieur, hormis dans la mesure imposée par ladite loi jusqu’à ce que l’effacement soit possible.
10. Audit
10.1 Le Client pourra vérifier la conformité de ServiceChannel au présent CTD. Les parties conviennent que tous ces audits seront menés :
a) pas plus d’une fois par an, sauf si des audits plus fréquents sont imposés dans un souci de conformité aux Lois sur la protection des données ou si une autorité de contrôle compétente sur le Traitement des Données à caractère personnel client l’impose ;
b) sur préavis raisonnable adressé à ServiceChannel ;
c) uniquement pendant les heures ouvrables habituelles de ServiceChannel ; et
d) d’une manière qui ne perturbe pas substantiellement les affaires ou activités de ServiceChannel.
10.2 En ce qui concerne les audits effectués en vertu du paragraphe 10.1 :
a) Le Client pourra engager un auditeur tiers pour mener l’audit en son nom, sauf que ServiceChannel pourra raisonnablement s’opposer à l’engagement de l’auditeur tiers si ledit auditeur tiers est un concurrent de ServiceChannel ;
b) ServiceChannel ne sera pas tenu de faciliter ou d’aider à un audit, sauf si et jusqu’à ce que les parties aient convenu par écrit de la portée et du calendrier de cet audit et des taux de remboursement en vertu du paragraphe 10.3.
10.3 Le Client devra rembourser ServiceChannel au titre de tout temps passé pour un tel audit selon les proportions convenues par les parties. Avant le début d’un tel audit, le Client et ServiceChannel devront convenir mutuellement du périmètre, du calendrier et de la durée de l’audit en plus de la part de remboursement que le Client devra supporter. Toutes les proportions de remboursement doivent être raisonnables, en tenant compte des ressources dépensées par ServiceChannel. Le Client devra informer dans les meilleurs délais ServiceChannel des informations concernant tout défaut de conformité constaté à l’occasion d’un audit.
10.4 Le Client reconnaît que ServiceChannel est régulièrement soumise à audit par des auditeurs tiers indépendants par rapport à la norme SSAE 18 SOC 1. ServiceChannel devra fournir au Client sur demande, ou pourra fournir au Client en réponse à toute demande d’audit, une copie résumée de son ou ses rapports d’audit au Client, qui seront soumis aux dispositions de confidentialité du CCS. Si un audit demandé par le Client est traité dans le rapport d’audit remis par ServiceChannel, le Client accepte ledit rapport au lieu de mener un audit physique des contrôles couverts par le rapport concerné.
11. Limitation de responsabilité
Le CTD est soumis aux limitations et exclusions de responsabilité du CCS.
12. Parties au présent Contrat
Sauf indication contraire stipulée dans les Clauses contractuelles types, rien dans le présent CTD ne confère d’avantages ou de droits à toute personne ou entité autre que les parties au présent CTD.
13. Effet juridique
Le présent CTD complète et fait partie du CCS.
14. Généralités
14.1 Le présent CTD sera régi et interprété à tous égards conformément au droit applicable et aux dispositions du pays indiqué dans le CCS, à condition qu’en cas de conflit entre le CCS et le CTD en ce qui concerne le traitement des Données à caractère personnel, le présent CTD prévale.
14.2 Le présent Contrat pourra être signé en plusieurs exemplaires, chacun d’entre eux constituant un original et tous attestant du même accord convenu entre les parties.
14.3 Hormis dans la mesure énoncée dans le présent CTD, le CCS demeurera pleinement applicable et produira tous ses effets.
ANNEXE I
A. LISTE DES PARTIES
| Nom | Adresse | Nom, fonction et coordonnées de la personne de contact | Activités en rapport avec les données transférées | Rôle | |
| Exportateur de données | Client (tel qu’identifié dans le CCS) | Tel qu’identifié dans le CCS | Tel qu’identifié dans le CCS | Réception des Prestations | Responsable du traitement |
| Importateur de données | ServiceChannel.com, Inc. | 30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615, États-Unis | Brian Chase, Directeur juridique, [email protected] | Fourniture des Services | Sous-traitant (de données) |
B. DESCRIPTION DU TRANSFERT
| Personnes concernées | Catégories de données à caractère personnel | Données à caractère personnel sensibles | Fréquence de transfert | Nature et finalité du traitement | Délai de conservation |
| Utilisateurs autorisés du client | Nom, adresse e-mail, adresse professionnelle, identifiants d’accès. | Aucune | Continu | Accorder l’accès aux Services aux utilisateurs autorisés du Client. | Tant que le Client autorise l’utilisateur à recevoir les Services. |
| Utilisateurs autorisés du client | Nom, adresse e-mail, numéro de téléphone, adresse professionnelle. | Aucune | Continu | Faciliter le contact entre l’utilisateur autorisé du Client et les personnes engagées par le Client par le biais des Services (les « Prestataires ») | Tant que le Client autorise l’utilisateur à recevoir les Services. |
| Utilisateurs autorisés du client Personnel du Prestataire | Services de gestion des installations demandés par le biais des Services, date et heure de la demande. | Aucune | Continu | Soumission des demandes de services de gestion des installations aux Prestataires. | Pour la durée du CCS. |
| Utilisateurs autorisés du client Personnel du Prestataire | Nom, services de gestion des installations fournis, date et lieu des services fournis. | Aucune | Continu | Tenue à jour des dossiers des services de gestion des installations commandés par le Client et achevés. | Pour la durée du CCS. |
| Personnel du Prestataire | Nom et coordonnées (numéro de téléphone et adresse électronique) soumis par les utilisateurs autorisés du Client. | Aucune | Continu | Faciliter le contact entre l’utilisateur autorisé du Client et ses principaux contacts chez les Prestataires. | Pour la durée du CCS. |
| Utilisateurs autorisés du client | Demandes d’assistance | Aucune | Continu | Fournir une assistance technique. | Pour la durée du CCS. |
| Utilisateurs autorisés du client | Données de journal | Aucune | Continu | Fournir un accès aux Services. | Pendant la durée de la session de navigation de l’utilisateur autorisé. |
Sous-traitants ultérieurs
Tel que décrit sur https://bit.ly/SC_Subprocessors
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Commissaire irlandais à la protection des données
ANNEXE II
Mesures de sécurité
ServiceChannel demeurera à tout moment responsable des mesures suivantes de sécurité de transfert raisonnables sur le plan commercial :
| MESURES DE SÉCURITÉ DES TRANSFERTS | MESURES MISES EN ŒUVRE |
| Mesures de pseudonymisation et de chiffrement des données à caractère personnel | Pseudonymisation • masquage des caractères • permutation • k-anonymat Chiffrement • Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou supérieur) sur chaque interface de connexion, à l’aide d’algorithmes et de certificats standard du secteur. • Chiffrement des données au repos à l’aide de l’algorithme AES-256 standard du secteur |
| Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement | Confidentialité • Réseau privé virtuel (VPN) • Authentification multifacteur (AMF) • Système de droits différenciés basé sur des groupes de sécurité et des listes de contrôle d’accès. • Transmission sécurisée des informations d’identification à l’aide de TLS 1.2 (ou supérieur) • Les mots de passe nécessitent une complexité minimale définie. Les mots de passe initiaux doivent être modifiés après la première connexion. • Verrouillage automatique du compte • Directives pour le traitement des mots de passe • Contrôles d’accès à l’infrastructure hébergée par le fournisseur de services cloud • Gestion des droits d’accès y compris concept d’autorisation, mise en œuvre des restrictions d’accès, mise en œuvre du principe du « besoin de savoir », gestion des droits d’accès individuels. • Accords de formation et de confidentialité pour le personnel interne et le personnel externe • Séparation du réseau • Séparation des responsabilités et des devoirs • Restreindre l’accès aux données à caractère personnel aux parties impliquées dans le traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Intégrité • Interconnexions réseau sécurisées assurées par des pare-feu, etc. • Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel • Authentification de journalisation et accès au système logique surveillé • Enregistrement de l’accès aux données, y compris, sans s’y limiter, l’accès, la modification, la saisie et la suppression des données • Documentation des droits d’entrée de données et des entrées liées à la sécurité de journalisation • Pare-feu d’application Web (WAF) Disponibilité et résilience • Les Données prestataire sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité. • Protection des supports de sauvegarde stockés |
| Mesures visant à garantir la capacité à restaurer la disponibilité et l’accès aux Données à caractère personnel en temps opportun en cas d’incident physique ou technique | • Planification de la continuité et plan de reprise après sinistre• Processus de reprise après sinistre pour restaurer les données et les processus • Objectif de temps de reprise (RTO) • Objectif du point de reprise (RPO) • Temps d’arrêt maximum tolérable (MTD) • Mesures de gestion des capacités pour surveiller la consommation des ressources des systèmes ainsi que la planification des besoins futurs en ressources. • Procédures de gestion et de signalement des incidents (gestion des incidents), y compris la détection et la réaction aux incidents de sécurité potentiels. • Les données de production sont sauvegardées toutes les heures sous forme incrémentielle et quotidiennement sous forme de sauvegarde complète. Toutes les sauvegardes sont conservées de manière redondante et sous forme chiffrée (AES-256). |
| Processus pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement | • Test des équipements d’urgence• Documentation des interfaces et des champs de données à caractère personnel • Audits internes et externes • Contrôles de sécurité (par ex. tests de pénétration) effectués par des parties externes • Audits SOC 1 et 2 • Analyse comparative et tests réguliers conformes aux normes du secteur, par ex. contrôles SANS Top 20 pour la sécurité Internet, directives NIST, etc. |
| Mesures d’identification et d’autorisation des utilisateurs | • Interconnexions réseau sécurisées assurées par VPN, MFA, pare-feu, etc.• Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel • Authentification de journalisation et accès au système surveillé • L’accès aux données nécessaires à l’exécution de la tâche particulière est assuré au sein des systèmes et applications par un rôle correspondant et un concept d’autorisation conformément au principe du « besoin de savoir ». • Pare-feu d’application Web (WAF) |
| Mesures de protection des Données pendant la transmission | • Accès à distance au réseau via tunnel VPN et chiffrement de bout en bout• Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou version ultérieure) |
| Mesures de protection des Données pendant le stockage | • Entrées système enregistrées via les fichiers journaux• Listes de contrôle d’accès (ACL) • Authentification multifacteur (AMF) |
| Mesures visant à assurer la sécurité physique des lieux où les Données à caractère personnel sont traitées | • Subdivision de l’installation en zones individuelles avec différentes autorisations d’accès ;• Protection physique de l’accès (par ex. portes en acier, salles sans fenêtre ou fenêtres sécurisées) ; • Système de contrôle d’accès électronique pour protéger les zones de sécurité ; • Surveillance de l’installation par des services de sécurité et journalisation des accès à l’installation ; • Surveillance vidéo de toutes les zones de sécurité pertinentes pour la sécurité, telles que les entrées, les sorties de secours et les salles de serveurs ; • Cession centrale et révocation des autorisations d’accès ; • Identification de tous les visiteurs par vérification de leur carte d’identité et enregistrement (un journal des visiteurs est tenu) ; • Identification obligatoire dans les zones de sécurité pour tous les employés et visiteurs ; • Les visiteurs doivent être accompagnés par les employés à tout moment. |
| Mesures pour assurer l’enregistrement des événements | • Enregistrement à distance• Chaîne de hachage • Réplication • Système central de gestion des événements et des informations de sécurité (SIEM) |
| Mesures pour assurer la configuration du système, y compris la configuration par défaut | • Politique et procédures de contrôle d’accès• Identification de la configuration de référence • Planification et gestion de la configuration • Gestion des changements de configuration • Comptabilité de l’état de configuration • Vérification de la configuration et audits • Gestion des appareils mobiles |
| Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique | • Personne dédiée et identifiée pour superviser le programme de sécurité et de conformité des informations de la société• Audit SOC 1 et 2 |
| Mesures de certification/assurance des processus et des produits | • Certifications de sécurité de l’information ou de gestion de la qualité telles que SSAE 18 Type 2 SOC 1 et SSAE18 Type 2 SOC2 |
| Mesures pour garantir la minimisation des données | • Obstacles technologiques à la liaison non autorisée de sources de données indépendantes.• Limitation du niveau de détail utilisé dans le traitement des données à caractère personnel : par exemple, par le biais de techniques telles que le k-anonymat et l’obscurcissement. • Suppression des métadonnées générées au cours de certains processus qui ne sont pas nécessaires pour l’objectif poursuivi. |
| Mesures pour assurer la qualité des données | • Processus d’exercice des droits à la protection des données (droit de modifier et de mettre à jour les informations)• Documentation claire des exigences pour toutes les conditions et tous les scénarios de données • Restreindre l’accès aux données à caractère personnel aux parties impliquées dans le traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Profilage et contrôle rigoureux des données entrantes • Conception du pipeline de données pour éviter les doublons de données • Équipe assurance qualité • Application de l’intégrité des données |
| Mesures pour assurer une conservation limitée des données | • L’existence de calendriers et de politiques de conservation clairs• Test d’efficacité |
| Mesures pour assurer la responsabilité | • Attribuer la responsabilité de garantir la confidentialité de l’utilisateur final tout au long du cycle de vie du produit et par le biais des processus commerciaux applicables.• Les analyses d’impact relatives à la protection des données font partie intégrante de toute nouvelle initiative de traitement. • Documenter toutes les décisions qui sont adoptées au sein de l’organisation dans une perspective de « réflexion sur la conception de la vie privée ». |
| Mesures pour permettre la portabilité des données et assurer l’effacement | • Processus documentés en lien avec l’exercice par les utilisateurs de leurs droits à la vie privée (par ex. droit à l’effacement ou droit à la portabilité des données)• Utilisation de formats ouverts tels que CSV, XML ou JSON. |
| Restrictions ou garanties appliquées pour les données sensibles (le cas échéant) | • Le chiffrement ou le hachage de données de catégorie particulière, bien que n’étant pas une exigence légale explicite, doit être la norme |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar