Dernière mise à jour le 1er janvier 2023

Contrat de sous-traitant de données

Le présent Contrat de traitement des données (le « Contrat ») fait partie du Contrat-cadre de services (« CCS ») conclu entre ServiceChannel.com, Inc. (ci-après « ServiceChannel ») et le Client (tel que défini dans le CCS) (ci-après le « Client »). Le Client et ServiceChannel sont désignés individuellement comme une « partie » et conjointement comme les « parties ».

CONSIDÉRANT QUE

(i)         Le Client et ServiceChannel ont conclu le Contrat-cadre de services en vertu duquel ServiceChannel fournira les Services au Client.

(ii)        ServiceChannel traitera les Données client (qui peuvent contenir des données à caractère personnel) dans le cadre de la prestation des Services ;

(iii)        Les parties souhaitent maintenant conclure le présent Contrat de traitement qui régit le traitement desdites Données client par ServiceChannel.

EN CONSÉQUENCE, les parties conviennent de ce qui suit :

1. Définitions :

Dans le présent Contrat de traitement, les termes définis dans le CCS ont la même signification lorsqu’ils sont utilisés ici. En outre, les termes suivants auront les significations suivantes :

(a)       « Responsable du traitement », « Personne concernée », « Sous-traitant » et « Catégories particulières de données à caractère personnel » auront la signification qui leur est donnée par les Lois en matière de protection des données, dans chaque cas applicable aux Services fournis par ServiceChannel en vertu du présent Contrat.

(b)       « Affiliés » désigne toute entité qui est contrôlée par, contrôle ou est sous contrôle commun avec ServiceChannel.

(c)       « Entreprise », « Prestataire de services » et « Consommateur » ont la même signification que celle donnée dans le CCPA, le Code civil californien § 1798.140.

(d)       « CCPA » désigne la Loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), le Code civil californien § 1798.100 et seq., ses règlements définitifs associés et leurs successeurs.

(e)       « Consommateur » a la signification qui lui est attribuée à l’article 1798.140(i) du CCPA.

(f)       « Client » désigne le Client qui a signé le Contrat-cadre de services.

(g)       « Données à caractère personnel du Client » désigne les Données à caractère personnel fournies par le Client à ServiceChannel.

(h)       « Lois en matière de protection des données » désigne (i) le Règlement 2016/679 (Règlement général sur la protection des données) (le « RGPD de l’UE ») ; (ii) le RGPD de l’UE tel qu’inscrit dans le droit du Royaume-Uni en vertu de la section 3 de la Loi de 2018 de l’Union européenne (retrait) du Royaume-Uni (le « RGPD du Royaume-Uni ») ; (iii) la Directive européenne sur la vie privée et les communications électroniques (Directive 2002/58/CE) ; et (iv) toutes les lois nationales applicables en matière de protection des données promulguées en vertu de, conformément à ou qui s’appliquent en conjonction avec l’un des points (i), (ii) ou (iii) ; dans chaque cas telles que modifiées ou remplacées de temps à autre ;

(i)        « Données à caractère personnel » et « Informations personnelles » ont la signification qui leur est attribuée en vertu de la législation en matière de protection des données et de l’article 1798.140(v), et seq. du CCPA, et incluent toute information relative à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

(j)        « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (« Traiter », « Traite » et « Traité(e) » auront la même signification).

(k)       « Transfert restreint » désigne : (i) lorsque le RGPD de l’UE s’applique, un transfert de données à caractère personnel de l’Espace économique européen vers un pays en dehors de l’Espace économique européen qui n’est pas soumis à une détermination d’adéquation par la Commission européenne ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de données à caractère personnel du Royaume-Uni vers tout autre pays qui n’est pas soumis à des réglementations d’adéquation en vertu de la section 17A de la Loi de 2018 britannique sur la protection des données (United Kingdom Data Protection Act) ;

(l)        « Vente » ou « Vendre » ont la signification qui leur est attribuée à l’article 1798.140(ad) du Code civil californien à la date de signature du présent Contrat et tel qu’amendé le cas échéant pendant la Durée de validité du présent Contrat.

(m)      « Partager » a la signification qui lui est attribuée à l’article 1798.140(ah) du Code civil californien à la date de signature du présent Contrat et tel qu’amendé le cas échéant pendant la Durée de validité du présent Contrat.

(n)       « Violation de la sécurité » a la même signification que la « violation de données à caractère personnel » telle que définie en vertu des Lois en matière de protection des données ou comme décrit en vertu du Code civil californien § 1798.150 du CCPA.

(o)       « clauses contractuelles types » désigne : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la Décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (« CCT de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, l’« Addendum international de transfert de données aux clauses contractuelles types de la Commission européenne » émis par le Commissaire à l’information en vertu de la section 119A(1) de la Loi de 2018 sur la protection des données (Data Protection Act) (« Addendum du Royaume-Uni »).

(p)       « Sous-traitant ultérieur » désigne toute entité extérieure engagée par ServiceChannel pour traiter les Informations personnelles pour le compte du Client ou afin de fournir les services spécifiés dans le Contrat.

2. Relation des parties et conformité à la loi

2.1         Le Client (le Responsable du traitement) nomme ServiceChannel en tant que Sous-traitant pour traiter les Données à caractère personnel contenues dans les Données client aux fins décrites dans le présent Contrat (ou autrement convenues par écrit par les parties) (la « Finalité autorisée »). Le Client reconnaît que ServiceChannel et ses sous-traitants ultérieurs peuvent utiliser les Données client à des fins d’amélioration du produit, de sécurité et de lutte contre la fraude.

2.2         Chaque partie se conformera aux obligations qui lui sont applicables en vertu des Lois applicables en matière de protection des données. Si ServiceChannel apprend que le traitement pour la Finalité autorisée enfreint la Loi applicable en matière de protection des données, il en informera rapidement le Client.

2.3         ServiceChannel déclare et garantit qu’il est un « Prestataire de services » aux fins des Services qu’il fournit au Client en vertu du Contrat, selon la signification donnée à ce terme à l’article 1798.140(ag) du Code civil californien à la date de signature du présent Contrat et tel qu’amendé le cas échéant pendant la Durée de validité du présent Contrat.

2.4         ServiceChannel déclare et garantit être une entreprise individuelle, une société de personnes, une société à responsabilité limitée, une société de capitaux, une association ou toute autre entité juridique qui est organisée ou exploitée pour le profit ou le bénéfice financier de ses actionnaires ou autres propriétaires.

3. Traitement des Données à caractère personnel du Client

3.1         Dans le cadre de son utilisation ou de la réception des Services, le Client traitera les Données à caractère personnel du Client conformément aux exigences des Lois en matière de protection des données et le Client veillera à ce que ses instructions pour le Traitement des Données à caractère personnel du Client soient conformes aux Lois en matière de protection des données. Le Client sera seul responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel du Client et des moyens par lesquels le Client a obtenu les Données à caractère personnel du Client.

3.2         Pendant la Durée du CCS, ServiceChannel traitera les Données à caractère personnel du Client uniquement pour le compte et conformément au CCS et aux instructions documentées du Client. Le Client demande à ServiceChannel de traiter les Données à caractère personnel du Client aux fins suivantes : (i) Traitement conformément au CCS et à toute commande applicable ; et (ii) Traitement pour se conformer aux autres instructions raisonnables fournies par le Client lorsque ces instructions sont conformes aux conditions du CCS. ServiceChannel informera immédiatement le Client s’il n’est pas en mesure de suivre ces instructions.

3.3         Dans la mesure où le Client divulgue les Informations personnelles d’un Consommateur à ServiceChannel, ServiceChannel traitera ces Informations personnelles uniquement pour le compte du Client et conformément au présent Contrat.

3.4         ServiceChannel certifie qu’il ne conserve, n’utilise et ne divulgue pas les Informations personnelles d’un Consommateur à d’autres fins que l’objectif commercial spécifique à l’exécution des Services énoncés dans le CCS, sauf dans la mesure autorisée au Prestataire de services en vertu du CCPA.

3.5         ServiceChannel certifie qu’il ne combine pas les Informations personnelles qu’il reçoit du Client, ou en son nom, avec les Informations personnelles qu’il reçoit d’autres personnes, ou en leur nom, ou qu’il collecte dans le cadre de son interaction avec le Client, à moins que cela ne soit expressément autorisé par le CCPA et effectué conformément à celui-ci.

3.6         Le Sous-traitant s’engage à ne pas vendre ni communiquer les Informations personnelles d’un Consommateur pour quelque raison que ce soit. Le Client ne doit pas fournir de Données sensibles à ServiceChannel.

4. Confidentialité du traitement/personnel de ServiceChannel

4.1         ServiceChannel veillera à ce que toute personne qu’elle autorise à traiter les Données à caractère personnel du Client (une « Personne autorisée ») protège les Données à caractère personnel du Client conformément aux obligations de confidentialité de ServiceChannel en vertu du présent Contrat.

4.2         ServiceChannel veillera à ce que son personnel engagé dans le Traitement des Données à caractère personnel du Client soit informé de la nature confidentielle des Données à caractère personnel du Client et soit soumis à des obligations de confidentialité.

4.3         ServiceChannel s’assurera que l’accès aux Données à caractère personnel du Client est limité au personnel qui a besoin d’un tel accès pour exécuter les Services.

4.4         ServiceChannel nommera un délégué à la protection des données lorsque cette nomination est requise par les Lois en matière de protection des données.

5. Gestion et notification de la sécurité/d’une violation

5.1         ServiceChannel mettra en œuvre des mesures techniques et organisationnelles appropriées pour la protection de la sécurité, de la confidentialité et de l’intégrité des Données à caractère personnel du Client, comme indiqué à l’Annexe II, afin de protéger les Données à caractère personnel du Client contre une Violation de la sécurité.

5.2         Si ServiceChannel prend connaissance d’une Violation de la sécurité, ServiceChannel : (i) informera rapidement le Client de la Violation de la sécurité ; (ii) enquêtera sur la Violation de la sécurité et fournira au Client des informations sur la Violation de la sécurité ; et (iii) prendra des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de la Violation de la sécurité.

5.3         Le Client convient qu’une tentative infructueuse de Violation de la sécurité ne sera pas soumise à la présente clause 5. Une tentative infructueuse de Violation de la sécurité est une tentative qui n’entraîne pas d’accès non autorisé aux Données à caractère personnel du Client ou à l’un des équipements ou installations de ServiceChannel stockant les Données à caractère personnel du Client, et peut inclure notamment des pings et autres attaques de diffusion sur les pare-feu ou les serveurs périphériques, des analyses de port, des tentatives de connexion infructueuses, des attaques par déni de service ou des incidents similaires.

5.4         La ou les notification(s) de Violations de sécurité, le cas échéant, seront envoyées à un ou plusieurs contacts commerciaux, techniques ou administratifs du Client par tout moyen choisi par ServiceChannel, y compris par e-mail. Il est de la seule responsabilité du Client de s’assurer qu’il conserve des coordonnées exactes sur les systèmes d’assistance de ServiceChannel à tout moment.

6. Sous-traitants ultérieurs

6.1         Le Client reconnaît et convient que (i) les Affiliés de ServiceChannel peuvent être retenus en tant que Sous-traitants ultérieurs ; et (ii) ServiceChannel peut engager des Sous-traitants ultérieurs tiers dans le cadre de la prestation des Services. Ces Sous-traitants ultérieurs seront autorisés à obtenir des Données à caractère personnel du Client uniquement pour fournir les services que ServiceChannel leur a demandé de fournir, et il leur est interdit d’utiliser les Données à caractère personnel du Client à toute autre fin. ServiceChannel conclura un accord écrit avec chaque Sous-traitant ultérieur qui impose au Sous-traitant ultérieur des obligations substantiellement similaires à celles imposées à ServiceChannel en vertu du présent Contrat. ServiceChannel demeure entièrement responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur en vertu de son contrat avec ServiceChannel.

6.2         ServiceChannel peut continuer à avoir recours aux Sous-traitants ultérieurs déjà engagés par ServiceChannel ou tout Affilié de ServiceChannel à la date du présent Contrat.

6.3         ServiceChannel informera le Client par écrit au préalable de la nomination de tout nouveau Sous-traitant ultérieur, y compris tous les détails du Traitement à entreprendre par le Sous-traitant ultérieur. Si, dans les 10 jours suivant la réception de cet avis, le Client notifie ServiceChannel par écrit de toute objection (pour des motifs raisonnables) à la nomination proposée, ServiceChannel ne nommera pas ce Sous-traitant ultérieur proposé tant que des mesures raisonnables n’auront pas été prises pour répondre aux objections soulevées par le Client et que le Client n’aura pas reçu une explication écrite raisonnable des mesures prises.

6.4         ServiceChannel ne devra pas participer (ni permettre à un Sous-traitant ultérieur de participer) à d’autres Transferts restreints de Données à caractère personnel du Client (que ce soit en tant qu’exportateur ou importateur des Données à caractère personnel du Client) à moins que le Transfert restreint ne soit effectué en totale conformité avec les Lois en matière de protection des données et conformément aux clauses contractuelles types mises en œuvre entre l’exportateur et l’importateur des Données à caractère personnel du Client.

7. Transferts restreints

7.1         Les parties conviennent que lorsque le transfert des Données à caractère personnel du Client vers ServiceChannel est un Transfert restreint, il sera soumis aux clauses contractuelles types appropriées comme suit :

(a)         en ce qui concerne les Données à caractère personnel du Client qui sont protégées par le RGPD de l’UE, les CCT de l’UE s’appliqueront comme suit :

(i)     Le module deux s’appliquera ;

(ii)    à la clause 7, la clause d’adhésion facultative s’appliquera ;

(iii)   à la clause 9, l’option 2 s’appliquera, et le délai de notification préalable des changements de sous-traitant ultérieur sera celui énoncé dans la clause 6.3 du présent Contrat ;

(iv)   à la clause 11, la formulation facultative ne s’appliquera pas ;

(v)    à la clause 17, l’option 1 s’appliquera, et les CCT de l’UE seront régies par le droit irlandais ;

(vi)   à la clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;

(vii)  l’Annexe I des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe I du présent Contrat ;

(viii)  l’Annexe II des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe II du présent Contrat ; et

(b)         en ce qui concerne les Données à caractère personnel du Client qui sont protégées par le RGPD du Royaume-Uni, l’Addendum du Royaume-Uni s’appliquera comme suit :

(i)          Les CCT de l’UE, complétées comme indiqué ci-dessus à la clause 7.1(a) du présent Contrat s’appliqueront également aux transferts desdites Données à caractère personnel du Client, sous réserve de la sous-clause (ii) ci-dessous ;

(ii)         Les tableaux 1 à 3 de l’Addendum du Royaume-Uni seront réputés complétés avec les informations pertinentes des CCT de l’UE, complétées comme indiqué ci-dessus, et les options « aucune des parties » seront réputées vérifiées dans le tableau 4. La date de début de l’Addendum du Royaume-Uni (tel qu’indiqué dans le tableau 1) sera la date du présent Contrat ; et

(c)         dans le cas où une disposition du présent Contrat contredit, directement ou indirectement, les Clauses contractuelles types, les Clauses contractuelles types prévaudront.

7.2         Dans le cas où l’Addendum du Royaume-Uni applicable ou les CCT de l’UE sont remplacés par de nouvelles clauses contractuelles types, les parties conviennent que ces nouvelles clauses contractuelles types s’appliqueront automatiquement au transfert des Données à caractère personnel du Client du ServiceChannel et seront réputées achevées sur une base mutatis mutandis comme décrit à la clause 7.1 ci-dessus.

8. Coopération et droits des Personnes concernées

8.1         Dans la mesure où le Client, dans son utilisation ou sa réception des Services, n’a pas la capacité de rectifier, modifier, restreindre, bloquer ou supprimer les Données à caractère personnel du Client, comme l’exigent les Lois en matière de protection des données, ServiceChannel déploiera des efforts commercialement raisonnables pour se conformer aux demandes raisonnables du Client afin de faciliter ces actions dans la mesure où ServiceChannel est légalement autorisé à le faire.

8.2         ServiceChannel devra, dans la mesure autorisée par la loi, informer rapidement le Client s’il reçoit une demande d’une Personne concernée d’exercer ses droits en vertu du RGPD, ou de toute demande du consommateur d’exercer ses droits en vertu de la Loi californienne sur la protection des consommateurs (California Consumer Protection Act). ServiceChannel ne répondra à aucune demande de la Personne concernée sans le consentement écrit préalable du Client, sauf pour confirmer que la demande concerne le Client. ServiceChannel fournira au Client une coopération et une assistance commercialement raisonnables en ce qui concerne le traitement de la demande d’une Personne concernée, dans la mesure où la loi l’autorise et dans la mesure où le Client n’a pas accès à ces Données à caractère personnel du Client par le biais de son utilisation ou de la réception des Services.

9. Résiliation, effacement ou restitution des Données

9.1         Le présent Contrat prendra fin automatiquement à la résiliation ou à l’expiration du CCS.

9.2         À la résiliation ou à l’expiration du CCS, ServiceChannel détruira (au choix du Client) ou restituera au Client, dans la mesure du possible, toutes les Données à caractère personnel en sa possession ou sous son contrôle conformément aux politiques de conservation des données de ServiceChannel qui respectent les exigences des Lois en matière de protection des données, et d’une manière conforme aux dispositions du Contrat. Cette exigence ne s’appliquera pas non plus dans la mesure où ServiceChannel est tenu par la loi applicable de conserver tout ou partie des Données à caractère personnel, ou aux Données à caractère personnel qu’il a archivées sur des systèmes de sauvegarde, auquel cas ServiceChannel isolera et protégera de manière sécurisée contre tout traitement ultérieur, sauf dans la mesure requise par ladite loi jusqu’à ce que la suppression soit possible.

10. Audit

10.1       Le Client reconnaît que ServiceChannel est régulièrement audité par des auditeurs tiers indépendants par rapport à la norme SSAE 18 SOC 1 et SOC 2. Sur demande, ServiceChannel fournira au Client une copie récapitulative de son/ses rapport(s) d’audit, qui sera soumise aux dispositions de confidentialité du CCS.

10.2       Toute demande de ServiceChannel quant à la fourniture d’une assistance dans le cadre d’un audit est considérée comme un service distinct si cette assistance à l’audit nécessite l’utilisation de ressources différentes de celles requises par la loi ou en plus de celles-ci. Le Client remboursera ServiceChannel pour tout temps passé pour un tel audit aux taux convenus par les parties. Avant le début d’un tel audit, le Client et ServiceChannel conviendront mutuellement de la portée, du calendrier et de la durée de l’audit en plus du taux de remboursement dont le Client sera responsable. Tous les taux de remboursement doivent être raisonnables, en tenant compte des ressources dépensées par ServiceChannel. Le Client informera rapidement ServiceChannel des informations concernant toute non-conformité découverte au cours d’un audit.

10.3       ServiceChannel coopérera raisonnablement avec le Client (aux frais du Client) dans le cadre de toute analyse d’impact relative à la protection des données qui peut être requise en vertu de la Loi applicable en matière de protection des données.

11. Limitation de responsabilité

Le présent Contrat est soumis aux limitations et exclusions de responsabilité du CCS.

12. Parties au présent Contrat

Aucune disposition contenue dans le présent Contrat ne confère d’avantages ou de droits à toute personne ou entité autre que les parties au présent Contrat.

13. Effet juridique

Le présent Contrat ne deviendra juridiquement contraignant entre le Client et ServiceChannel qu’une fois signé par les deux parties. Si ce document a été signé électroniquement par l’une ou l’autre des parties, cette signature aura le même effet juridique qu’une signature manuscrite.

14. Dispositions générales

14.1       Le présent Contrat sera régi et interprété à tous égards conformément au droit applicable et aux dispositions du pays indiqué dans le CCS, à condition qu’en cas de conflit entre le Contrat et le présent Contrat en ce qui concerne le traitement des Données à caractère personnel, le présent Contrat prévale.

14.2       Le présent Contrat peut être signé en plusieurs exemplaires, chacun d’entre eux étant un original et tous attestant du même accord entre les parties.

14.3       Sauf dans la mesure énoncée dans le présent Contrat, le CCS demeurera pleinement applicable.

 

ANNEXE I
A.  LISTE DES PARTIES
Exportateur(s) de données : [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]

Nom :	Conformément au CCS
Adresse :	Conformément au CCS
Nom, fonction et coordonnées de la personne de contact :	Conformément au CCS
Activités en rapport avec les données transférées au titre des présentes clauses :	Envoi de données à caractère personnel à ServiceChannel conformément au CCS
Signature et date :	Conformément à la signature du CCS
Rôle (responsable du traitement/sous-traitant) :	Responsable du traitement

Importateur(s) de données :[Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données]

Nom :	ServiceChannel.com, Inc.
Adresse :	6200 Stoneridge Mall Road, Suite 450, Pleasanton, CA 94588
Nom, fonction et coordonnées de la personne de contact :	Brian Chase, Directeur juridique, bchase@servicechannel.com
Activités en rapport avec les données transférées au titre des présentes clauses :	Réception et traitement ultérieur des données à caractère personnel du Client conformément au CCS
Signature et date :	Conformément à la signature du CCS
Rôle (responsable du traitement/sous-traitant) :	Sous-traitant

B.  DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées	Personnel du Client Personnes engagées par le Client via la plateforme de ServiceChannel
Catégories de données à caractère personnel transférées	Personnel du Client : nom, adresse, adresse e-mail, numéro de téléphone, données de journal (par ex., adresse IP, identifiant de l’appareil, emplacement de l’appareil, cookies), détails des services de gestion des installations fournis (date, heure, emplacement, services, commentaires, avis, frais) Personnes engagées par le Client via la plateforme ServiceChannel : nom, adresse, adresse e-mail, numéro de téléphone, données de journal (par ex., adresse IP, identifiant de l’appareil, emplacement de l’appareil, cookies), détails des services de gestion des installations fournis (date, heure, emplacement, services, commentaires, avis, frais)
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.	Aucune
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).	Continue en fonction de l’utilisation par le Client de la plateforme ServiceChannel.
Nature du traitement	ServiceChannel exploite une solution de gestion des installations indépendante basée sur le cloud pour permettre à ses clients d’approvisionner, d’obtenir, de gérer et de payer plus efficacement les services de réparation et de maintenance de techniciens internes et fournis par des sous-traitants tiers, permettant ainsi à leurs organisations d’améliorer leur image de marque d’entreprise, de générer des économies significatives, d’améliorer la conformité et d’atténuer les risques opérationnels. La plateforme ServiceChannel combine des applications web et mobiles de gestion des ordres de travail avec un moteur d’analyse de pointe pour une solution complète de gestion des installations de la source au règlement. ServiceChannel aide les clients à tenir les sous-traitants externes, les fournisseurs et les autres partenaires tiers responsables des services qu’ils ont fournis ou qu’ils ont accepté de fournir. La plateforme fournit des données impartiales et indépendantes sur les performances des sous-traitants tiers.
Finalité(s) du transfert et du traitement ultérieur des données	La prestation de services en vertu du CCS.
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée	La durée du traitement sera la même que la durée de la prestation de services en vertu du CCS.
Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement	Lorsque ServiceChannel engage des sous-traitants ultérieurs, il le fera conformément aux conditions des CCT de l’UE. La finalité, la nature et la durée des activités de traitement effectuées par le sous-traitant ultérieur ne dépasseront pas la finalité, la nature et la durée des activités de traitement décrites dans la présente Annexe.

C.  AUTORITÉ DE CONTRÔLE COMPÉTENTE

Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13 :

L’autorité de contrôle du pays dans lequel se trouve l’établissement principal ou l’établissement unique du responsable du traitement.

 

 

ANNEXE II
Mesures de sécurité
ServiceChannel demeurera à tout moment responsable des mesures de sécurité de transfert commercialement raisonnables suivantes :

MESURES DE SÉCURITÉ DES TRANSFERTS	MESURES MISES EN ŒUVRE
Mesures de pseudonymisation et de chiffrement des données à caractère personnel	Pseudonymisation masquage des caractères permutation k-anonymat Chiffrement Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou supérieur) sur chaque interface de connexion, à l’aide d’algorithmes et de certificats standard du secteur. Chiffrement des données au repos à l’aide de l’algorithme AES-256 standard du secteur
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement	Confidentialité Réseau privé virtuel (VPN) Authentification multifacteur (AMF) Système de droits différenciés basé sur des groupes de sécurité et des listes de contrôle d’accès. Transmission sécurisée des informations d’identification à l’aide de TLS 1.2 (ou supérieur) Les mots de passe nécessitent une complexité minimale définie. Les mots de passe initiaux doivent être modifiés après la première connexion. Verrouillage automatique du compte Directives pour le traitement des mots de passe Contrôles d’accès à l’infrastructure hébergée par le fournisseur de services cloud Gestion des droits d’accès y compris concept d’autorisation, mise en œuvre des restrictions d’accès, mise en œuvre du principe du « besoin de savoir », gestion des droits d’accès individuels. Accords de formation et de confidentialité pour le personnel interne et le personnel externe Séparation du réseau Séparation des responsabilités et des devoirs Restreindre l’accès aux données à caractère personnel aux parties impliquées dans le traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Intégrité Interconnexions réseau sécurisées assurées par des pare-feu, etc. Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel Authentification de journalisation et accès au système logique surveillé Enregistrement de l’accès aux données, y compris, mais sans s’y limiter, l’accès, la modification, la saisie et la suppression des données Documentation des droits d’entrée de données et des entrées liées à la sécurité de journalisation Pare-feu d’application Web (WAF) Disponibilité et résilience Les Données client sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité. Protection des supports de sauvegarde stockés
Mesures visant à garantir la capacité à restaurer la disponibilité et l’accès aux Données à caractère personnel en temps opportun en cas d’incident physique ou technique	Planification de la continuité et plan de reprise après sinistre Processus de reprise après sinistre pour restaurer les données et les processus Objectif de temps de reprise (RTO) Objectif du point de reprise (RPO) Temps d’arrêt maximum tolérable (MTD) Mesures de gestion des capacités pour surveiller la consommation des ressources des systèmes ainsi que la planification des besoins futurs en ressources. Procédures de gestion et de signalement des incidents (gestion des incidents), y compris la détection et la réaction aux incidents de sécurité potentiels. Les données de production sont sauvegardées toutes les heures sous forme incrémentielle et quotidiennement sous forme de sauvegarde complète. Toutes les sauvegardes sont conservées de manière redondante et sous forme chiffrée (AES-256).
Processus pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement	Test des équipements d’urgence Documentation des interfaces et des champs de données à caractère personnel Audits internes et externes Contrôles de sécurité (par ex. tests de pénétration) effectués par des parties externes Audits SOC 1 et 2 Analyse comparative et tests réguliers conformes aux normes du secteur, par ex. contrôles SANS Top 20 pour la sécurité Internet, directives NIST, etc.
Mesures d’identification et d’autorisation des utilisateurs	Interconnexions réseau sécurisées assurées par VPN, MFA, pare-feu, etc. Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel Authentification de journalisation et accès au système surveillé L’accès aux données nécessaires à l’exécution de la tâche particulière est assuré au sein des systèmes et applications par un rôle correspondant et un concept d’autorisation conformément au principe du « besoin de savoir ». Pare-feu d’application Web (WAF)
Mesures de protection des Données pendant la transmission	Accès à distance au réseau via tunnel VPN et chiffrement de bout en bout Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou version ultérieure)
Mesures de protection des Données pendant le stockage	Entrées système enregistrées via les fichiers journaux Listes de contrôle d’accès (ACL) Authentification multifacteur (AMF)
Mesures visant à assurer la sécurité physique des lieux où les Données à caractère personnel sont traitées	Subdivision de l’installation en zones individuelles avec différentes autorisations d’accès ; Protection physique de l’accès (par ex. portes en acier, salles sans fenêtre ou fenêtres sécurisées) ; Système de contrôle d’accès électronique pour protéger les zones de sécurité ; Surveillance de l’installation par des services de sécurité et journalisation des accès à l’installation ; Surveillance vidéo de toutes les zones de sécurité pertinentes pour la sécurité, telles que les entrées, les sorties de secours et les salles de serveurs ; Cession centrale et révocation des autorisations d’accès ; Identification de tous les visiteurs par vérification de leur carte d’identité et enregistrement (un journal des visiteurs est tenu) ; Identification obligatoire dans les zones de sécurité pour tous les employés et visiteurs ; Les visiteurs doivent être accompagnés par les employés à tout moment.
Mesures pour assurer l’enregistrement des événements	Enregistrement à distance Chaîne de hachage Réplication Système central de gestion des événements et des informations de sécurité (SIEM)
Mesures pour assurer la configuration du système, y compris la configuration par défaut	Politique et procédures de contrôle d’accès Identification de la configuration de référence Planification et gestion de la configuration Gestion des changements de configuration Comptabilité de l’état de configuration Vérification de la configuration et audits Gestion des appareils mobiles
Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique	Personne dédiée et identifiée pour superviser le programme de sécurité et de conformité des informations de la société Audit SOC 1 et 2
Mesures de certification/assurance des processus et des produits	Certifications de sécurité de l’information ou de gestion de la qualité telles que SSAE 18 Type 2 SOC 1 et SSAE18 Type 2 SOC2
Mesures pour garantir la minimisation des données	Obstacles technologiques à la liaison non autorisée de sources de données indépendantes. Limitation du niveau de détail utilisé dans le traitement des données à caractère personnel : par exemple, par le biais de techniques telles que le k-anonymat et l’obscurcissement. Suppression des métadonnées générées au cours de certains processus qui ne sont pas nécessaires pour l’objectif poursuivi.
Mesures pour assurer la qualité des données	Processus d’exercice des droits à la protection des données (droit de modifier et de mettre à jour les informations) Documentation claire des exigences pour toutes les conditions et tous les scénarios de données Restreindre l’accès aux données à caractère personnel aux parties impliquées dans le traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Profilage et contrôle rigoureux des données entrantes Conception du pipeline de données pour éviter les doublons de données Équipe assurance qualité Application de l’intégrité des données
Mesures pour assurer une conservation limitée des données	L’existence de calendriers et de politiques de conservation clairs Test d’efficacité
Mesures pour assurer la responsabilité	Attribuer la responsabilité de garantir la confidentialité de l’utilisateur final tout au long du cycle de vie du produit et par le biais des processus commerciaux applicables. Les analyses d’impact relatives à la protection des données font partie intégrante de toute nouvelle initiative de traitement. Documenter toutes les décisions qui sont adoptées au sein de l’organisation dans une perspective de « réflexion sur la conception de la vie privée ».
Mesures pour permettre la portabilité des données et assurer l’effacement	Processus documentés en lien avec l’exercice par les utilisateurs de leurs droits à la vie privée (par ex. droit à l’effacement ou droit à la portabilité des données) Utilisation de formats ouverts tels que CSV, XML ou JSON.
Restrictions ou garanties appliquées pour les données sensibles (le cas échéant)	Le chiffrement ou le hachage de données de catégorie particulière, bien que n’étant pas une exigence légale explicite, doit être la norme

English             Deutsch                       Español                        Français (France)                      中文(简体)