FR
FR EN DE

Politique de traitement des données

La présente politique de traitement des données (“DPP“) sont applicables entre les parties et sont considérées comme automatiquement incorporées à l'accord. Tous les termes en majuscules utilisés dans le présent PPD ont la même signification que celle qui leur est donnée dans l'Accord, à moins qu'ils ne soient définis ci-dessous. Les termes définis ci-dessous ne s'appliquent qu'au DPP.

Définitions

“Pays adéquat” désigne un pays ou un territoire reconnu par les lois applicables en matière de protection des données comme assurant une protection adéquate des données à caractère personnel.

“Affilié autorisé” désigne toute société affiliée du client qui (a) est directement ou indirectement contrôlée par le client, (b) est soumise aux lois sur la protection des données et (c) est autorisée à utiliser les services conformément à l'accord, mais n'a pas signé l'accord.

“CCPA” désigne la loi californienne de 2018 sur la protection de la vie privée des consommateurs, y compris toutes ses modifications.

“Lois sur la protection des données” désigne toutes les lois et réglementations, y compris les lois et réglementations de l'Union européenne (y compris le GDPR), de l'Espace économique européen, de leurs États membres, de la Suisse, du Royaume-Uni et/ou des autorités fédérales, étatiques ou locales des États-Unis d'Amérique, applicables au traitement des données à caractère personnel dans le cadre de l'Accord.

“GDPR” désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

“Données à caractère personnel” désigne toutes les données traitées par CybelAngel dans le cadre des Services qui sont également des “données personnelles” telles que définies dans le GDPR, le GDPR britannique, et/ou définies comme “informations personnelles” dans le CCPA.

“Violation de données à caractère personnel” désigne toute violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles en possession de CybelAngel ou sous son contrôle, lorsque cette violation est documentée comme provenant uniquement des propres systèmes de CybelAngel et n'est pas liée à une violation qui aurait pu être détectée dans le cadre des services ou des activités commerciales quotidiennes de CybelAngel.

“Clauses contractuelles types (CCN) les dernières clauses contractuelles types approuvées par la Commission européenne pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui ne garantissent pas un niveau adéquat de protection des données.

“traitement”, “responsable du traitement”, “personne concernée”, “autorité de contrôle” et “sous-traitant”.” ont le sens qui leur est attribué dans le GDPR.

“GDPR” (ROYAUME-UNI)”: Le règlement général sur la protection des données du Royaume-Uni après le Brexit.

1. STATUT DES PARTIES

Les Parties reconnaissent et acceptent que le Client est le contrôleur de données et que CybelAngel est le processeur de données en ce qui concerne les Données Personnelles. Chaque partie accepte de se conformer, et s'assurera que chacune de ses filiales se conforme, aux lois sur la protection des données applicables en relation avec les données personnelles. Entre les Parties, le Client est seul responsable de l'obtention, et a obtenu ou obtiendra, tous les consentements, licences et approbations nécessaires au traitement des Données Personnelles dans le cadre de l'utilisation des Services.

2. DESCRIPTION DE LA TRANSFORMATION

2.1. CybelAngel ne traitera les Données Personnelles que dans le but de fournir les Services ou à des fins commerciales liées aux Services tels que définis dans le Contrat (par exemple, la création d'identifiants pour les nouveaux Utilisateurs Autorisés). Si les Lois sur la protection des données exigent que CybelAngel traite les Données Personnelles autrement que comme autorisé par l'Accord, CybelAngel notifiera le Client avant le traitement, à moins que la loi applicable ne l'interdise.

2.2. Le type de données à caractère personnel traitées en vertu de l'accord ainsi que l'objet, la durée, la nature et la finalité du traitement, et les catégories de personnes concernées sont les suivants :

2.2.1. Catégories de personnes concernées

  • les employés du client et de ses filiales
  • les clients, fournisseurs ou autres partenaires commerciaux du client
  • Les personnes dont les identifiants personnels se trouvent dans des sources surveillées (par exemple, les adresses électroniques ou les noms détectés lors de violations).

2.2.2. Catégories de données à caractère personnel traitées

Les catégories typiques de données personnelles traitées dans le cadre des services sont les suivantes :

ContexteExemple de donnéesSource
Détection d'identité et de brècheAdresses électroniques, noms d'utilisateur, mots de passe hachés, adresses IPBases de données de failles, sources du dark web
Protection des domaines et des comptesAdresses électroniques professionnelles, données sur la propriété des domainesWHOIS, recherches sur le web
Suivi des cadres et de la marqueNoms des dirigeants et numéros de téléphone accessibles au publicMédias sociaux et sources ouvertes
Soutien à la clientèle et prestation de servicesInformations de contact (nom, courriel, téléphone), métadonnées d'utilisationInteractions avec la plateforme client

Tous les traitements de données sont conformes aux principes de minimisation des données et de limitation des finalités du GDPR, limités à ce qui est nécessaire à la détection des cybermenaces et à la protection des clients, telles que définies dans l'accord.

2.2.3. Nature du traitement

Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission au responsable du traitement, diffusion ou toute autre forme de mise à disposition du responsable du traitement, rapprochement ou combinaison, restriction, effacement ou destruction.

Plus précisément, les opérations de traitement comprennent

  • Collecte, organisation et analyse des ressources numériques et des indicateurs de renseignements sur les menaces
  • Correspondance entre les données exposées et les entités surveillées par le client
  • Génération d'alertes et notification au client
  • Interactions de soutien (analyse des incidents, assistance au démontage, rapports)

2.2.4. Finalité(s) du traitement des données

La finalité du traitement est de garantir l'informatique du contrôleur et de ses affiliés, en s'efforçant de prévenir et de détecter les fuites de données sur Internet.

2.2.5. Durée du traitement des données

Le traitement des données est effectué pendant la durée de l'accord.

2.2.6. Période de conservation des données

Les données à caractère personnel seront conservées par le sous-traitant pendant une durée maximale de six (6) mois après la résiliation de tous les contrats de services fournis au responsable du traitement par le sous-traitant. Les données de détection opérationnelle font généralement l'objet d'une rotation ou sont rendues anonymes une fois que l'objectif de l'enquête est atteint.

3. DROITS ET OBLIGATIONS DU SOUS-TRAITANT

3.1. Le sous-traitant ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, à moins qu'il ne soit tenu de le faire en vertu du droit de l'Union ou de l'État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette exigence légale avant le traitement, à moins que la loi ne l'interdise pour des motifs importants d'intérêt public. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions sont toujours documentées.

Aux fins du paragraphe ci-dessus, l'Accord, le présent PPD et l'utilisation des Services par le Client constituent les instructions écrites du Client à CybelAngel en ce qui concerne le traitement des Données à caractère personnel.

3.1.1. Pour plus de clarté, les instructions documentées du Client à CybelAngel consistent en ce qui suit :

(a) Instructions contractuelles: La portée, la nature, la finalité et la durée du traitement, telles qu'elles sont définies dans la présente DPP, section 2.2, et dans l'accord ;

(b) Instructions opérationnelles: Les critères de recherche (mots-clés, identifiants de données et paramètres de recherche) fournis par le Client par le biais des Services, qui spécifient les Données Personnelles que CybelAngel doit rechercher et traiter ;

(c) Instructions permanentes: Toute instruction supplémentaire écrite ou électronique fournie par le Client pendant la durée du Contrat concernant le traitement des Données Personnelles. Le Client reconnaît qu'en signant le présent Contrat, en fournissant des Critères de recherche et en utilisant les Services, il donne des instructions documentées à CybelAngel au sens de l'article 28(3)(a) du RGPD.

3.1.2. Traitement de l'IA et autorisation des sous-traitants :

Le Client reconnaît que les Services de CybelAngel intègrent des capacités basées sur l'IA (y compris le résumé automatisé du contenu, l'enrichissement, l'automatisation des tâches, l'analyse et les traductions) en tant que composants intégraux des Services. En signant cet Accord et en acceptant la liste des sous-traitants en ANNEXE II, le Client fournit des instructions documentées autorisant l'utilisation par CybelAngel de fournisseurs de services d'IA tiers pour traiter les Données Personnelles conformément aux garanties spécifiées dans le présent Accord. Le Client reconnaît que :

(a) Traitement de l'IA et de l'apprentissage automatique - Les services font appel aux fournisseurs d'IA énumérés à l'ANNEXE II pour l'analyse de contenu, le résumé, l'enrichissement, l'automatisation des tâches et les capacités de traduction, dans la limite de ce qui est nécessaire pour fournir les services ;

(b) Analyse de la plate-forme - Les services font appel à des fournisseurs de services d'analyse (identifiés à l'ANNEXE II) pour optimiser les algorithmes de détection, réduire les faux positifs et améliorer les performances de la plateforme en fonction de l'environnement et des modes d'utilisation du client ;

(c) Pas d'utilisation de la formation - Les accords de CybelAngel avec les sous-traitants de l'IA interdisent l'utilisation des Données Personnelles du Client pour la formation au modèle ou l'amélioration des services de tiers non liés à la fourniture des Services au Client.

Objection Droit : Si le client s'oppose à l'utilisation d'un sous-traitant ultérieur (y compris les fournisseurs d'IA) pour des raisons de protection des données, il peut exercer ses droits d'opposition conformément à la section 6.1.

3.2. En tenant compte de la nature du traitement et des informations dont dispose CybelAngel, CybelAngel assistera le Client lorsque cela est raisonnablement demandé en ce qui concerne les obligations du Client en vertu des Lois sur la protection des données en ce qui concerne (i) les évaluations de l'impact sur la protection des données (comme ce terme est défini dans le GDPR), (ii) les notifications à l'autorité de surveillance en vertu des Lois sur la protection des données et (iii) les consultations préalables avec les autorités de surveillance.

3.3. CybelAngel déploiera des efforts commercialement raisonnables pour aider le Client à répondre aux demandes des personnes concernées qui cherchent à exercer leurs droits en vertu de la Loi sur la protection des données et dont les Données à caractère personnel sont en possession de CybelAngel ou sous son contrôle. CybelAngel notifiera au Client les demandes des personnes concernées par les données qui le concernent après leur réception par CybelAngel au plus tard dans les cinq (5) jours ouvrables, à moins que la loi applicable n'en dispose autrement.

4. MESURES TECHNIQUES ET ORGANISATIONNELLES

En tenant compte (i) des pratiques industrielles courantes, (ii) des coûts de mise en œuvre et (iii) de la nature, de la portée, du contexte et des finalités du traitement, CybelAngel met en œuvre les mesures techniques et organisationnelles appropriées, telles que définies à l'annexe 1, afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement des données à caractère personnel, y compris en ce qui concerne la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel en possession de CybelAngel ou sous son contrôle, ou l'accès à ces données, de manière accidentelle ou illicite.

5. VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

CybelAngel notifiera au Client toute violation de données personnelles au plus tard soixante-douze (72) heures après en avoir pris connaissance. CybelAngel fournira au Client une coopération, une assistance et des informations commercialement raisonnables en rapport avec une telle violation de données personnelles, y compris, dans la mesure où CybelAngel en a connaissance, (i) la nature de la violation de données personnelles, (ii) les catégories et le nombre approximatif de personnes concernées, (iii) les catégories et le nombre approximatif d'enregistrements de données personnelles affectés, et (iv) les mesures déjà prises ou prévues par CybelAngel pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer les effets négatifs possibles. Sauf si la loi applicable l'oblige à divulguer des informations sur une violation de données à caractère personnel, CybelAngel ne divulguera aucune information sur une violation de données à caractère personnel et traitera toutes ces informations comme des informations confidentielles.

6. SOUS-TRAITEMENT

6.1 Le Client consent à ce que CybelAngel utilise les sous-traitants inclus dans la liste des sous-traitants (jointe en Annexe II) pour fournir les Services, et à ce que CybelAngel divulgue et fournisse des Données Personnelles à ces sous-traitants. La liste des sous-traitants à la date d'exécution de l'Accord est autorisée par le Client. Les points de contact principaux du Client seront notifiés par écrit par CybelAngel avant que de nouveaux sous-traitants ne soient désignés par des changements dans la liste des sous-traitants. En tout état de cause, la liste des sous-traitants mise à jour sera considérée comme autorisée par le Client, à moins qu'il ne fournisse une objection raisonnable par écrit à CybelAngel. [email protected] pour des raisons liées au GDPR dans les trente (30) jours ouvrables suivant la notification du changement dans la liste des sous-traitants. Dans ce cas, si les parties ne trouvent pas de solution de bonne foi au problème en question, le client peut, comme seul recours, résilier l'accord applicable en ce qui concerne uniquement les services qui ne peuvent pas être fournis par CybelAngel sans l'utilisation du sous-processeur contesté en fournissant une notification écrite à CybelAngel, à condition que tous les montants dus en vertu de l'accord avant la date de résiliation en ce qui concerne le traitement en question soient dûment payés à CybelAngel. Le Client n'aura aucune autre réclamation à l'encontre de CybelAngel en raison (i) de l'utilisation passée de sous-traitants approuvés avant la date de l'objection ou (ii) de la résiliation de l'Accord (y compris, sans limitation, la demande de remboursement) dans la situation décrite dans le présent paragraphe.

6.2 CybelAngel s'assurera que ses sous-traitants sont liés par des obligations contractuelles fournissant un niveau de protection des Données Personnelles substantiellement similaire à celui exigé dans le cadre de ce PPD. CybelAngel reste responsable de l'exécution des obligations de ses sous-traitants, mais ne s'engage pas à permettre ou à faciliter les audits de ses sous-traitants par le Client ou tout autre tiers.

7. AUDITS

En vertu des lois applicables en matière de protection des données, le Client peut effectuer un (1) audit par an pour son propre compte et à ses propres frais, sous réserve que le Client fournisse à CybelAngel un préavis écrit de quinze (15) jours ouvrables pour tout audit. La durée maximale d'un audit est de cinq (5) jours ouvrables (tels que définis en France) et ne peut être effectué que pendant les heures d'ouverture de CybelAngel. CybelAngel se réserve le droit d'approuver le choix d'un auditeur tiers désigné par le Client dans le cas où le Client n'effectue pas l'audit lui-même et peut rejeter un tel auditeur à sa discrétion raisonnable. La portée, la méthode et le calendrier de tout audit doivent être convenus mutuellement à l'avance et ne doivent pas interférer de manière déraisonnable avec les opérations commerciales, les outils ou l'infrastructure de CybelAngel, et tous les audits doivent être limités dans leur portée aux systèmes et à l'infrastructure de CybelAngel responsables du traitement des données du Client en vertu des présentes. Le Client accepte d'utiliser les certifications de tiers et les rapports d'audit (par exemple, SOC 2, ISO) mis à disposition par CybelAngel au lieu de demander un audit lorsque cela est possible.

8. TRANSFERTS DE DONNÉES

Cette section 8 s'applique à tout traitement par CybelAngel ou ses sous-traitants de toute donnée personnelle soumise au GDPR.

8.1 CybelAngel ne divulguera ni ne transférera les Données Personnelles à un tiers (i) sans l'autorisation écrite préalable du Client, (ii) comme le permet l'Accord, (iii) lorsque cette divulgation ou ce transfert est requis par toute loi, réglementation ou autorité publique applicable ou (iv) en vertu de l'article 6.1.

8.2 Le Client reconnaît que la fourniture des Services dans le cadre de l'Accord peut nécessiter le traitement de Données Personnelles par des sous-traitants dans des pays en dehors de l'EEE. Si CybelAngel transfère des Données Personnelles à un sous-traitant (y compris tout Affilié de CybelAngel qui agit en tant que sous-traitant) lorsque ce sous-traitant traitera des Données Personnelles en dehors de l'EEE (autrement qu'exclusivement dans un Pays Adéquat), alors CybelAngel s'assurera qu'un mécanisme pour atteindre l'adéquation en ce qui concerne ce traitement est en place, tel que (i) l'exécution de Clauses Contractuelles Standard (basées sur le Module 2 Transfert du Contrôleur au Processeur) entre CybelAngel et un sous-traitant ; (ii) la certification EU-U.S. (le cas échéant pour les sous-traitants basés aux États-Unis) ; (iii) la certification du cadre de protection des données de l'UE et des États-Unis (le cas échéant pour les sous(iii) l'extension britannique du cadre de protection des données UE-États-Unis (le cas échéant pour les transferts de données personnelles au Royaume-Uni) ; ou (iv) toute autre garantie approuvée pour les transferts de données, telle que reconnue par les lois sur la protection des données.

9. AFFILIÉS AUTORISÉS

9.1 En signant l'accord, le client accepte par la présente le PPD en son nom propre et au nom et pour le compte de ses affiliés autorisés. Chaque affilié autorisé accepte d'être lié par les obligations du client en vertu de la présente DPP et, dans la mesure où cela est applicable, de l'accord.

9.2 Le Client qui est la partie contractante de l'Accord restera responsable de la coordination de toute communication relative aux Données Personnelles avec CybelAngel et sera autorisé à faire et à recevoir toute communication relative aux Données Personnelles au nom de ses Affiliés Autorisés.

9.3 Lorsqu'un affilié autorisé devient partie à l'accord avec CybelAngel, il sera, dans la mesure requise par les lois sur la protection des données applicables et conformément aux dispositions des présentes, habilité à exercer les droits et à demander des réparations sous réserve de ce qui suit :

9.3.1 Sauf si les lois sur la protection des données applicables exigent que l'affilié autorisé exerce un droit ou cherche à obtenir une réparation contre CybelAngel directement par lui-même, conformément aux dispositions des présentes, les parties conviennent que (i) seul le client qui est la partie contractante du contrat exercera un tel droit ou cherchera à obtenir une telle réparation au nom de l'affilié autorisé, et (ii) le client qui est la partie contractante du contrat exercera de tels droits en vertu des dispositions des présentes, non pas séparément pour chaque affilié autorisé individuellement, mais de manière combinée pour lui-même et tous ses affiliés autorisés ensemble.

9.3.2 Le Client qui est la partie contractante de l'Accord prendra, lors de tout audit des procédures relatives à la protection des Données Personnelles, toutes les mesures raisonnables pour limiter l'impact sur CybelAngel et ses sous-traitants en combinant, dans la mesure du possible, toutes les demandes d'audit de lui-même et de tous ses Affiliés Autorisés en un seul audit.

10. LIMITATION DE LA RESPONSABILITÉ

La responsabilité de chaque partie et de tous ses affiliés, prise dans son ensemble, découlant de ou liée aux dispositions des présentes, que ce soit en vertu d'un contrat, d'un délit ou de toute autre théorie de responsabilité, est soumise à la Section 10 (Limitation de responsabilité) de l'Accord, et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de tous ses affiliés dans le cadre de l'Accord. Pour éviter toute ambiguïté, la responsabilité totale de CybelAngel et de ses affiliés pour toutes les réclamations du client et de tous les affiliés autorisés ne sera pas comprise comme s'appliquant individuellement et solidairement au client et/ou à tout affilié autorisé qui est une partie contractuelle à un tel DPP.

11. ORDRE DE PRÉSÉANCE

Le présent PPD est sans préjudice des droits et obligations des parties en vertu de l'accord, qui restera pleinement en vigueur. En cas de conflit entre les termes des présentes et les termes de l'Accord, les termes du présent PPD prévaudront dans la mesure où l'objet concerne le traitement des données à caractère personnel.

12. DIVERS

Toutes les communications et notifications en vertu des dispositions des présentes sont envoyées par le responsable du traitement au délégué à la protection des données du sous-traitant, à l'adresse suivante

Nom : CybelAngel SAS
Adresse : 51 rue Le Peletier, 75009 Paris, France
Nom, fonction et coordonnées de la personne de contact :

Heather Kuch
Délégué à la protection des données
[email protected]

ANNEXE I

DES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

A. Contrôle d'accès physique

Les personnes non autorisées doivent se voir refuser l'accès aux équipements de traitement des données avec lesquels les données à caractère personnel sont traitées ou utilisées.

Le sous-traitant prend les mesures de contrôle d'accès physique suivantes, dans la mesure où les données à caractère personnel sont traitées dans les locaux/bâtiments du sous-traitant. L'accès à ces données à caractère personnel en dehors de ces locaux/bâtiments n'est pas autorisé :

  1. Restriction des droits d'accès aux immeubles de bureaux, aux centres de données et aux salles de serveurs au minimum nécessaire.
  2. Contrôle efficace des droits d'accès grâce à un système de verrouillage adéquat (par exemple, clé de sécurité avec gestion documentée des clés, systèmes de verrouillage électronique avec gestion documentée des autorisations).
  3. Des processus complets et entièrement documentés doivent être mis en place pour l'obtention, la modification et le retrait de l'autorisation d'accès.
  4. Examen régulier et documenté des autorisations d'accès accordées à ce jour.
  5. Mesures raisonnables de prévention et de détection des accès et tentatives d'accès non autorisés (par exemple, examen régulier de la protection anti-effraction des portes, portails et fenêtres, systèmes d'alarme, vidéosurveillance, gardes de sécurité, patrouilles de sécurité).
  6. Règles écrites à l'intention des employés et des visiteurs concernant les mesures de sécurité de l'accès technique.

B. Contrôle d'accès logique aux systèmes

L'utilisation par des personnes non autorisées des systèmes de traitement des données à caractère personnel doit être empêchée.

Le sous-traitant prend les mesures suivantes pour contrôler l'accès aux systèmes et réseaux dans lesquels des données à caractère personnel sont traitées ou par lesquels il est possible d'accéder à des données à caractère personnel :

  1. Limitation des droits d'accès aux systèmes informatiques et aux réseaux non publics au minimum nécessaire.
  2. Contrôle efficace de l'authentification, de l'autorisation et de la comptabilité grâce à des identifications d'utilisateurs personnalisées et uniques et à un processus d'authentification sécurisé.
  3. Lors de l'utilisation de mots de passe pour l'authentification, des règles doivent être adoptées pour garantir la qualité des mots de passe en termes de longueur, de complexité et de fréquence de changement. Des méthodes de test technique doivent être mises en œuvre pour garantir la qualité des mots de passe.
  4. Lors de l'utilisation de méthodes à clé asymétrique (par exemple, certificats, méthodes à clé privée-publique) pour l'authentification, il convient de veiller à ce que les clés secrètes (privées) soient toujours protégées par un mot de passe (phrase de passe). Les exigences du paragraphe 3 ci-dessus doivent être respectées.
  5. Des examens complets de tous les comptes doivent être effectués régulièrement et l'accès doit être supprimé s'il n'est pas nécessaire à intervalles réguliers.
  6. Examen régulier et documenté des autorisations d'accès logique accordées à ce jour.
  7. Des mesures appropriées doivent être prises pour sécuriser l'infrastructure du réseau (par exemple, sécurité des ports du réseau IEEE 802.1X, systèmes de détection d'intrusion, utilisation de l'authentification à deux facteurs pour l'accès à distance, séparation des réseaux, filtrage du contenu, protocoles de réseau cryptés, etc.)
  8. Des règles écrites à l'intention des employés concernant les mesures de sécurité susmentionnées et l'utilisation sûre des mots de passe.
  9. Assurer l'installation immédiate des mises à jour/patchs de sécurité critiques/ou importants :
    • dans les systèmes d'exploitation des contrôleurs,
    • dans les systèmes d'exploitation des serveurs, qui sont accessibles via les réseaux publics (par exemple, le serveur web) ;
    • dans les programmes d'application (y compris le navigateur, les plugins, le lecteur PDF, etc.
    • dans l'infrastructure de sécurité (antivirus, pare-feu, systèmes IDS, filtres de contenu, routeurs, etc.) dans les 48 heures suivant la publication par le fabricant, ainsi que dans les systèmes d'exploitation des serveurs internes dans la semaine suivant la publication par le fabricant.

C. Contrôle de l'accès aux données à caractère personnel

Seules les personnes autorisées à utiliser un système de traitement des données personnelles peuvent accéder aux données personnelles, sous réserve de leur autorisation d'accès, et les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage.

Lorsque le sous-traitant est responsable de l'autorisation d'accès aux données à caractère personnel, il prend les mesures suivantes pour contrôler l'accès :

  1. Limitation de l'autorisation d'accès aux données à caractère personnel au minimum requis.
  2. Contrôle efficace de l'autorisation d'accès grâce à un concept adéquat de droits et de rôles.
  3. Une procédure complète et entièrement documentée d'autorisation d'accès, de modification, de copie et de retrait des données à caractère personnel doit être mise en place.
  4. Des examens réguliers et documentés des autorisations d'accès attribuées à ce jour.
  5. Des mesures raisonnables doivent être prises pour protéger les équipements terminaux, les serveurs et les autres éléments d'infrastructure contre les accès non autorisés (par exemple, concept de protection antivirus à plusieurs niveaux, filtrage du contenu, pare-feu d'application, systèmes de détection d'intrusion, pare-feu de bureau, durcissement du système, cryptage du contenu).
  6. Cryptage des supports de données à caractère personnel - aligné sur l'état actuel de la technologie - algorithmes à appliquer pour la protection des appareils mobiles (ordinateurs portables, tablettes, smartphones, etc.) et des supports de données à caractère personnel (disques durs externes, clés USB, cartes mémoires, etc.)
  7. l'enregistrement des accès aux données à caractère personnel par tous les utilisateurs, y compris les administrateurs.
  8. Mesures de sécurité technique pour les interfaces d'exportation et d'importation (matériel et application).

Lorsque le sous-traitant n'est pas responsable de l'autorisation d'accès aux données à caractère personnel, il est tenu de coopérer au contrôle d'accès :

  1. Une procédure complète et entièrement documentée pour la demande, la modification et le retrait des autorisations d'accès dans leur domaine de responsabilité.
  2. Examen régulier et documenté des autorisations d'accès attribuées à ce jour, dans la mesure du possible.
  3. Notification immédiate au contrôleur si les autorisations d'accès existantes ne sont plus nécessaires.

D. Contrôle de la transmission

Le sous-traitant fournit les données à caractère personnel à traiter dans le cadre d'une procédure de transmission à définir dans un contrat/une commande. Les résultats du traitement seront également transmis au responsable du traitement selon une procédure de transmission définie. La méthode de transmission ainsi que les mesures de sécurité de la transmission (contrôle de la transmission) doivent être définies conformément aux exigences ; en particulier, l'utilisation d'une technologie de cryptage de pointe doit être prévue.

Il doit être garanti que les données à caractère personnel ne sont pas lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert électronique ou pendant le transport ou le stockage sur des supports de données à caractère personnel, et qu'il est possible de vérifier et d'établir à quels endroits un transfert de données à caractère personnel au moyen d'équipements de transmission de données est prévu.

Le sous-traitant prend les mesures suivantes pour contrôler la transmission, dans la mesure où les données à caractère personnel sont reçues, transférées ou transportées par le sous-traitant :

  1. Des mesures appropriées pour sécuriser l'infrastructure du réseau (par exemple, sécurité des ports du réseau IEEE 802.1X, systèmes de détection d'intrusion, utilisation de l'authentification à deux facteurs pour l'accès à distance, séparation des réseaux, filtrage du contenu, protocoles de réseau cryptés, etc.
  2. Cryptage des supports de données personnelles avec - selon l'état actuel de la technologie - des algorithmes à classer comme sûrs pour la protection des appareils mobiles (ordinateurs portables, tablettes, smartphones, etc.) et des supports de données (disques durs externes, clés USB, cartes mémoire, etc.).
  3. Utilisation de protocoles de communication cryptés (tels que les protocoles basés sur TLS).
  4. Mécanismes d'inspection permettant d'identifier les terminaux distants pendant les transmissions.
  5. Ajustement des sommes de contrôle avec les données à caractère personnel reçues.
  6. Règles écrites à l'intention des employés concernant la manipulation et la sécurité des appareils mobiles et des supports de données.

E. Contrôle de la saisie des données

Il convient de veiller à ce qu'il soit possible de contrôler et de vérifier ultérieurement si et par qui les données à caractère personnel peuvent être consultées, modifiées ou supprimées des systèmes de traitement des données.

Le sous-traitant prend les mesures suivantes pour contrôler l'accès à ses systèmes qui servent au traitement des données ou pour permettre ou fournir l'accès à ces systèmes :

  1. Création et révision - stockage sécurisé des protocoles de processus.
  2. Sécurisation des fichiers journaux de sauvegarde contre la falsification.
  3. Enregistrement et analyse des échecs de connexion.
  4. Veiller à ce qu'aucun compte de groupe (y compris les administrateurs ou root) ne puisse être utilisé.

F. Contrôle du traitement des données

Il est nécessaire de s'assurer que toute donnée à caractère personnel traitée ne peut l'être que conformément aux instructions du responsable du traitement.

Le sous-traitant met en œuvre des processus et une documentation pour le traitement des données :

  1. la sélection des (sous-)traitants en vertu de la législation sur la protection des données et les aspects techniques ;
  2. assurer l'inspection préliminaire statutaire prescrite des (sous-)traitants conformément à la législation sur la protection des données ;
  3. veiller à ce que les responsables opérationnels de la protection des données reçoivent des instructions en temps utile lors de l'introduction de nouvelles procédures de traitement des données à caractère personnel ou de la modification des procédures existantes ;
  4. les obligations de toutes les personnes responsables du traitement des données à caractère personnel de préserver le secret des données conformément à la législation sur la protection des données ;
  5. la vérification régulière de l'exactitude de l'application des programmes de traitement des données par lesquels les données à caractère personnel sont traitées ;
  6. veiller à ce que les personnes chargées du traitement des données se familiarisent avec la législation pertinente en matière de protection des données ;
  7. le maintien de la qualification du délégué opérationnel à la protection des données (s'il a été désigné) ;
  8. garantir la notification au responsable du traitement dans un délai raisonnable en cas d'acquisition illégale de la connaissance de données à caractère personnel ; et
  9. assurer la correction, le verrouillage et l'effacement immédiats des données à caractère personnel sur instruction du responsable du traitement.

G. Contrôle de la disponibilité

Il convient de veiller à ce que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle.

Le transformateur met en œuvre les mesures suivantes pour contrôler la disponibilité :

  1. Exploitation et entretien régulier des systèmes d'alarme incendie dans les salles de serveurs, les centres de données et les espaces d'infrastructures critiques.
  2. Créer des sauvegardes quotidiennes et veiller à la mise en œuvre d'une capacité de reprise après sinistre robuste et résiliente.
  3. Assurer un stockage de secours dans un compartiment coupe-feu séparé.
  4. Examen et test réguliers de l'intégrité des sauvegardes.
  5. Procédures et documentation pour la récupération des systèmes et des données à caractère personnel.

H. Contrôle des crédits

Il convient de veiller à ce que les données à caractère personnel collectées à des fins différentes puissent être traitées séparément.

Le sous-traitant prend les mesures suivantes pour séparer les données à caractère personnel, pour autant qu'elles relèvent de son domaine de responsabilité :

  1. Séparation logique et/ou physique des systèmes d'essai, de développement et de production.
  2. Séparation des contrôleurs au sein des systèmes de traitement et aux interfaces.
  3. Garantir le maintien de l'identifiabilité des données à caractère personnel.

I. Conservation et suppression des données à caractère personnel

Les données à caractère personnel ne sont conservées que pendant la durée nécessaire et sont supprimées lorsque le traitement est terminé.

Le sous-traitant prend les mesures suivantes pour garantir la suppression des données à caractère personnel, pour autant qu'elles relèvent de son domaine de responsabilité :

  1. Garantir l'effacement permanent des données à la demande du responsable du traitement.
  2. Processus, outils et documentation pour une suppression sécurisée de telle sorte que la récupération des données ne soit pas possible en utilisant l'état actuel de la technologie.
  3. Lignes directrices à l'intention des employés sur la manière et le moment où les données doivent être supprimées.

G. Certifications

CybelAngel est titulaire d'une certification SOC 2 TYPE I. La preuve de ce certificat peut être fournie au contrôleur sur demande.

ANNEXE II

Liste des sous-traitants de CYBELANGEL auxquels une partie des données personnelles de notre client peut être transférée

SOUS-PROCESSEURS CYBELANGEL

Sous-processeurLocalisationNature de la sous-transformationCatégories de données identifiablesGaranties
AMPLITUDE
Amplitude, Inc.
631 Howard Street, étage 5
San Francisco, CA 94105, États-Unis
[email protected]		États-UnisAgrégation et analyse des données télémétriques et d'utilisation anonymisées ou pseudonymisées afin de produire des rapports statistiques et des tableaux de bord permettant d'améliorer la détection et la qualité du service.les informations professionnelles identifiables (adresse électronique, prénom, nom, rôle d'utilisateur de la plate-forme, langue, adresse IP) et les habitudes d'utilisation du service- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II
- ISO 27001
APPCUES
Appcues, Inc.
177 Huntington Ave Ste 1703
Boston, MA 02115, États-Unis
[email protected]		États-UnisNotifications personnalisées dans l'applicationInformations professionnelles identifiables (adresse électronique, prénom, nom, rôle d'utilisateur de la plate-forme, langue)- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II
DATADOG
Datadog, Inc.
620, 8e avenue, étage 45
New York, NY 10018, USA
[email protected]		L'EuropeJournal de bord de la demandeAdresses IP fournies comme mots-clés, informations professionnelles identifiables (adresse électronique)- GDPR
- SOC 2 Type II
FIVETRAN
Fivetran, Inc.
1221 Broadway St Floor 20
Oakland, CA 94612, États-Unis
[email protected]		L'EuropeSynchronisation des donnéesInformations professionnelles identifiables (adresse électronique, prénom, nom, entreprise, poste, langue, téléphone, IPI présentes dans la signature) et toute autre information partagée au cours de l'interaction avec l'équipe d'assistance.- GDPR
- ISO 27001
- SOC 2 Type I & II
- Suppression quasi instantanée
FRESHDESK
Freshworks Inc.
2950 S. Delaware Street
San Mateo, CA 94403, USA
[email protected]		L'EuropeDemande d'assistance techniqueInformations professionnelles identifiables (adresse électronique, IIP présentes dans la signature) et toute autre information partagée lors de l'interaction avec l'équipe d'assistance.- GDPR
- SOC 2 Type II
- ISO 27001
GOOGLE
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irlande
[email protected]		Irlande, Pays-Bas, Finlande, BelgiqueFournisseur d'hébergement, service d'échange de courriels, traitement de l'apprentissage automatique (y compris l'analyse de contenu, le résumé, l'enrichissement et les traductions).tout type d'informations professionnelles ou personnelles identifiables fournies ou détectées lors de l'utilisation du service- GDPR
- ISO 27001
- SOC 2 Type II
HUBSPOT
HubSpot, Inc.
25 First Street, 2e étage
Cambridge, MA 02141, États-Unis		États-UnisAutomatisation du marketing, activation des fonctionnalités, formulaires de consentementInformations professionnelles identifiables (adresse électronique, prénom, nom, entreprise, fonction, langue, téléphone)- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II
MATCHMYEMAIL
RAE Internet, Inc.
30 Cricket Lane
Dobbs Ferry, NY 10522, USA		AllemagneSynchronisation des courriels avec SalesforceInformations professionnelles identifiables (adresse électronique, prénom, nom, entreprise)- GDPR
- SOC 2 Type II
NEO4J
Neo4j, Inc.
111 East 5th Avenue
San Mateo, CA 99401, USA
[email protected]		BelgiqueCarte des actifsles adresses IP fournies comme mots-clés, les adresses électroniques détectées lors de l'utilisation du service- Cadre de protection des données entre l'UE et les États-Unis
- GDPR
- SOC 2 Type II
OKTA (anciennement Auth0)
Okta, Inc.
100 First Street, étage 6
San Francisco, CA 94105, États-Unis
[email protected]		Allemagne, États-UnisAuthentification Informations professionnelles identifiables (courriel, adresse, prénom, nom, numéro de téléphone) Cadre de protection des données entre l'UE et les États-Unis
- Extension au Royaume-Uni
- DPF Suisse-États-Unis
- GDPR
- Clauses contractuelles types
- SOC 2 Type II
OPENAI
OpenAI
1455 3ème rue
San Francisco, CA 94158, États-Unis
[email protected]		États-UnisAutomatisation des tâches ; résumé et enrichissement du contenutout type d'informations professionnelles ou personnelles identifiables fournies ou détectées lors de l'utilisation du service- GDPR
- CCPA
- Clauses contractuelles types
- SOC 2 Type I & III
- ISO 27001
- ISO 27018
SALESFORCE
Salesforce.com EMEA Limited
Village 9, étage 26
110 Bishopsgate
Londres, UK EC2N 4AY
[email protected]		France, AllemagneRelations commerciales, automatisation du marketingInformations professionnelles identifiables (adresse électronique, prénom, nom, entreprise, fonction, langue, téléphone)- GDPR
- ISO 27001
- SOC 2 Type II
SEGMENT
Twilio Inc.
375 Beale Street, Suite 300
San Francisco, CA 94105, États-Unis
[email protected]		États-UnisAgrégation et analyse des données télémétriques et d'utilisation anonymisées ou pseudonymisées afin de produire des rapports statistiques et des tableaux de bord permettant d'améliorer la détection et la qualité du service.Informations professionnelles identifiables (adresse électronique, prénom, nom, rôle d'utilisateur de la plate-forme, langue, adresse IP) et habitudes d'utilisation de la plate-forme.- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II
- ISO 27001
SENDGRID
Twilio Inc.
375 Beale Street, Suite 300
San Francisco, CA 94105, États-Unis
[email protected]		États-UnisCourriels de candidatureInformations professionnelles identifiables (adresse électronique)- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II
- ISO 27001
- ISO 27017
- ISO 27018
SENTINELONE
SentinelOne
444 Castro Street, Suite 400
Mountain View, CA 94041, États-Unis
[email protected]		États-UnisAnalyse antivirusMétadonnées des serveurs téléchargées par les analystes, liste de mots-clés et d'informations professionnelles identifiables (adresse électronique, prénom, nom, rôle de l'utilisateur de la plate-forme, langue, entreprise, poste, téléphone) présentes sur les documents partagés.- Cadre de protection des données entre l'UE et les États-Unis
- SOC 2 Type II
- ISO 27001
TWILIO
Twilio Inc.
375 Beale Street, Suite 300
San Francisco, CA 94105, États-Unis
[email protected]		États-UnisApplication 2FA message texteInformations professionnelles ou personnelles identifiables (numéro de téléphone)- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II
- ISO 27001
- ISO 27017
- ISO 27018
WORKATO
Workato, Inc.
215 rue Castro
Mountain View, CA 94041, États-Unis
[email protected]		L'EuropeConnecteur tiersles informations professionnelles identifiables (adresse électronique) et tout type d'informations personnelles ou identifiables détectées lors de l'utilisation du service- Clauses contractuelles types
- GDPR
- SOC 2 Type II
ZAPIER
Zapier Inc.
548 Market St #62411
San Francisco, CA 94104, États-Unis
[email protected]		États-UnisAutomatisation des tâches, flux de notification et intégration d'outilsInformations professionnelles identifiables (adresse électronique, prénom, nom, entreprise, rôle d'utilisateur de la plate-forme)- Cadre de protection des données entre l'UE et les États-Unis
- Clauses contractuelles types
- SOC 2 Type II

“Le ”rôle de l'utilisateur de la plate-forme" fait référence aux niveaux d'accès de l'utilisateur au sein de la plate-forme CybelAngel (par exemple, administrateur, utilisateur standard), et non aux titres des postes au sein de l'organisation.