FR
FR EN DE

Politique de traitement des données

La présente politique de traitement des données ("DPP") sont applicables entre les parties et sont considérées comme automatiquement incorporées à l'accord. Tous les termes en majuscules utilisés dans le présent PPD ont la même signification que celle qui leur est donnée dans l'Accord, à moins qu'ils ne soient définis ci-dessous. Les termes définis ci-dessous ne s'appliquent qu'au DPP.

Définitions

"Pays adéquatOn entend par "pays" un pays ou un territoire reconnu par les lois applicables en matière de protection des données comme offrant une protection adéquate des données à caractère personnel.

"Affilié autoriséOn entend par "société affiliée" toute société affiliée du client qui (a) est directement ou indirectement contrôlée par le client, (b) est soumise aux lois sur la protection des données et (c) est autorisée à utiliser les services conformément à l'accord, mais n'a pas signé l'accord.

"CCPA"La loi californienne de 2018 sur la protection de la vie privée des consommateurs, y compris toutes les modifications qui y sont apportées. 

"Lois sur la protection des données" désigne toutes les lois et réglementations, y compris les lois et réglementations de l'Union européenne (y compris le GDPR), de l'Espace économique européen, de leurs États membres, de la Suisse, du Royaume-Uni et/ou des autorités fédérales, étatiques ou locales des États-Unis d'Amérique, applicables au traitement des données à caractère personnel dans le cadre de l'Accord.

"GDPR", le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

"Données personnelles" désigne toute donnée traitée par CybelAngel dans le cadre des Services qui est également une " donnée personnelle " telle que définie dans le GDPR et/ou définie comme " information personnelle " dans le CCPA.

"Violation de données personnellesOn entend par "violation de la sécurité" toute violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles en possession de CybelAngel ou sous son contrôle, lorsque cette violation est documentée comme provenant uniquement des propres systèmes de CybelAngel et n'est pas liée à une violation qui aurait pu être détectée dans le cadre des services ou des activités commerciales quotidiennes de CybelAngel. 

"Clauses contractuelles types"Les clauses contractuelles types approuvées par la Commission européenne (4 juin 2021) pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui ne garantissent pas un niveau adéquat de protection des données.

"traitement", "responsable du traitement des données", "personne concernée", "autorité de contrôle" et "responsable du traitement des données"ont le sens qui leur est attribué dans le GDPR.

  1. Statut des parties

Les Parties reconnaissent et acceptent que le Client est le contrôleur de données et que CybelAngel est le processeur de données en ce qui concerne les Données Personnelles. Chaque partie accepte de se conformer, et s'assurera que chacune de ses filiales se conforme, aux lois sur la protection des données applicables en relation avec les données personnelles. Entre les Parties, le Client est seul responsable de l'obtention, et a obtenu ou obtiendra, tous les consentements, licences et approbations nécessaires au traitement des Données Personnelles dans le cadre de l'utilisation des Services.

  1. Description du traitement

2.1. CybelAngel ne traitera les Données Personnelles que dans le but de fournir les Services ou à des fins commerciales liées aux Services tels que définis dans le Contrat (par exemple, la création d'identifiants pour les nouveaux Utilisateurs Autorisés). Si les Lois sur la protection des données exigent que CybelAngel traite les Données Personnelles autrement que comme autorisé par l'Accord, CybelAngel notifiera le Client avant le traitement, à moins que la loi applicable ne l'interdise.

2.2. Le type de données à caractère personnel traitées en vertu de l'accord ainsi que l'objet, la durée, la nature et la finalité du traitement, et les catégories de personnes concernées sont les suivants :

2.2.2. Nature du traitement

Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission au responsable du traitement, diffusion ou toute autre forme de mise à disposition du responsable du traitement, rapprochement ou combinaison, restriction, effacement ou destruction.

2.2.3. Finalité(s) du traitement des données

La finalité du traitement est de garantir l'informatique du contrôleur et de ses affiliés, en s'efforçant de prévenir et de détecter les fuites de données sur Internet. 

2.2.4. Durée du traitement des données

Le traitement des données est effectué pendant la durée de l'accord. 

2.2.5. Période de conservation des données

Les données à caractère personnel seront conservées par le sous-traitant pendant une durée maximale de six (6) mois après la résiliation de tous les contrats de services fournis au responsable du traitement par le sous-traitant. 

2.2.6. Catégories de personnes concernées

Les employés du contrôleur, les clients et prospects, les fournisseurs ainsi que toute personne liée à l'entreprise du contrôleur ou à son activité.

  1. Droits et obligations du sous-traitant

3.1. Le sous-traitant ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, à moins qu'il ne soit tenu de le faire en vertu du droit de l'Union ou de l'État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette exigence légale avant le traitement, à moins que la loi ne l'interdise pour des motifs importants d'intérêt public. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions sont toujours documentées. 

Aux fins du paragraphe ci-dessus, l'Accord, le présent PPD et l'utilisation des Services par le Client constituent les instructions écrites du Client à CybelAngel en ce qui concerne le traitement des Données à caractère personnel.

3.2. En tenant compte de la nature du traitement et des informations dont dispose CybelAngel, CybelAngel assistera le Client lorsque cela est raisonnablement demandé en ce qui concerne les obligations du Client en vertu des Lois sur la protection des données en ce qui concerne (i) les évaluations de l'impact sur la protection des données (comme ce terme est défini dans le GDPR), (ii) les notifications à l'autorité de surveillance en vertu des Lois sur la protection des données et (iii) les consultations préalables avec les autorités de surveillance.

3.3. CybelAngel déploiera des efforts commercialement raisonnables pour aider le Client à répondre aux demandes des personnes concernées qui cherchent à exercer leurs droits en vertu de la Loi sur la protection des données et dont les Données à caractère personnel sont en possession de CybelAngel ou sous son contrôle. CybelAngel notifiera au Client les demandes des personnes concernées par les données qui le concernent après leur réception par CybelAngel au plus tard dans les cinq (5) jours ouvrables, à moins que la loi applicable n'en dispose autrement. 

  1. Mesures techniques et organisationnelles

En tenant compte (i) des pratiques industrielles courantes, (ii) des coûts de mise en œuvre et (iii) de la nature, de la portée, du contexte et des finalités du traitement, CybelAngel met en œuvre les mesures techniques et organisationnelles appropriées, telles que définies à l'annexe 1, afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement des données à caractère personnel, y compris en ce qui concerne la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel en possession de CybelAngel ou sous son contrôle, ou l'accès à ces données, de manière accidentelle ou illicite. 

  1. Violations de données à caractère personnel

CybelAngel notifiera au Client toute violation de données personnelles au plus tard soixante-douze (72) heures après en avoir pris connaissance. CybelAngel fournira au Client une coopération, une assistance et des informations commercialement raisonnables en rapport avec une telle violation de données personnelles, y compris, dans la mesure où CybelAngel en a connaissance, (i) la nature de la violation de données personnelles, (ii) les catégories et le nombre approximatif de personnes concernées, (iii) les catégories et le nombre approximatif d'enregistrements de données personnelles affectés, et (iv) les mesures déjà prises ou prévues par CybelAngel pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer les effets négatifs possibles. Sauf si la loi applicable l'oblige à divulguer des informations sur une violation de données à caractère personnel, CybelAngel ne divulguera aucune information sur une violation de données à caractère personnel et traitera toutes ces informations comme des informations confidentielles. 

  1. Sous-transformation

6.1 Le Client consent à ce que CybelAngel utilise les sous-traitants inclus dans la liste des sous-traitants (fournie au contrôleur sur demande) pour fournir les Services, et à ce que CybelAngel divulgue et fournisse des Données Personnelles à ces sous-traitants. La liste des sous-traitants à la date d'exécution de l'Accord est autorisée par le Client. Les points de contact principaux du Client seront notifiés par écrit par CybelAngel avant que de nouveaux sous-traitants ne soient désignés par des changements dans la liste des sous-traitants. En tout état de cause, la liste des sous-traitants mise à jour sera considérée comme autorisée par le Client, à moins qu'il ne fournisse une objection écrite raisonnable à [email protected] pour des raisons liées au GDPR dans les trente (30) jours ouvrables suivant la notification de la modification de la liste des sous-traitants. Dans ce cas, si les parties ne trouvent pas de solution de bonne foi au problème en question, le Client peut, comme seul recours, résilier l'Accord applicable en ce qui concerne uniquement les Services qui ne peuvent pas être fournis par CybelAngel sans l'utilisation du sous-processeur objecté en fournissant une notification écrite à CybelAngel, à condition que tous les montants dus en vertu de l'Accord avant la date de résiliation en ce qui concerne le Traitement en question soient dûment payés à CybelAngel. Le Client n'aura aucune autre réclamation à l'encontre de CybelAngel en raison (i) de l'utilisation passée de sous-traitants approuvés avant la date de l'objection ou (ii) de la résiliation de l'Accord (y compris, sans limitation, la demande de remboursement) dans la situation décrite dans le présent paragraphe.

6.2 CybelAngel exigera de ses sous-traitants qu'ils se conforment à des conditions qui ne sont pas substantiellement moins protectrices des Données Personnelles que celles imposées à CybelAngel par les présentes, dans la mesure où elles sont raisonnablement applicables aux services fournis par ces sous-traitants. CybelAngel sera responsable de toute violation de ses obligations en vertu du présent PPD causée par un acte ou une omission d'un sous-traitant ultérieur. 

  1. Audits

Le Client peut exercer son droit d'audit en vertu des Lois sur la protection des données ; à condition que (i) le Client puisse effectuer un (1) audit par an pour son propre compte et à ses propres frais uniquement, (ii) le Client fournisse à CybelAngel un préavis écrit de quinze (15) jours ouvrables pour tout audit, (iii) la durée maximale de tout audit soit de cinq (5) jours ouvrables (tels que définis en France), (iv) chaque audit soit effectué uniquement pendant les heures d'ouverture de CybelAngel et (v) CybelAngel approuve le choix d'un auditeur tiers désigné par le Client dans le cas où le Client n'effectue pas l'audit lui-même. Aucun audit ne peut interférer avec le fonctionnement des outils ou de l'infrastructure de CybelAngel.  

  1. Transferts de données

Cette section 8 s'applique à tout traitement par CybelAngel ou ses sous-traitants de toute donnée personnelle soumise au GDPR.

8.1 CybelAngel ne divulguera ni ne transférera les Données Personnelles à un tiers (i) sans l'autorisation écrite préalable du Client, (ii) comme le permet l'Accord, (iii) lorsque cette divulgation ou ce transfert est requis par toute loi, réglementation ou autorité publique applicable ou (iv) en vertu de l'article 6.1.

8.2 Le Client reconnaît que la fourniture des Services dans le cadre de l'Accord peut nécessiter le traitement de Données Personnelles par des sous-traitants dans des pays en dehors de l'EEE. Si CybelAngel transfère des Données Personnelles à un sous-traitant (y compris tout Affilié de CybelAngel qui agit en tant que sous-traitant) lorsque ce sous-traitant traitera des Données Personnelles en dehors de l'EEE (autrement qu'exclusivement dans un Pays Adéquat), alors CybelAngel s'assurera qu'un mécanisme pour atteindre l'adéquation en ce qui concerne ce traitement est en place, tel que (i) l'exécution de Clauses Contractuelles Standard (basées sur le Module 2 Transfert Contrôleur à Sous-traitant) entre CybelAngel et un soustraitant ou (ii) toute autre garantie approuvée pour les transferts de données (telle que reconnue par les Lois sur la Protection des Données).

8.3 CybelAngel ne divulguera ni ne transférera les Données Personnelles à un tiers (i) sans l'autorisation écrite préalable du Client, (ii) comme le permet l'Accord, (iii) lorsque cette divulgation ou ce transfert est requis par toute loi, réglementation ou autorité publique applicable ou (iv) en vertu de l'article 6.1.

  1. Affiliés autorisés

9.1 En signant l'accord, le client accepte par la présente le PPD en son nom propre et au nom et pour le compte de ses affiliés autorisés. Chaque affilié autorisé accepte d'être lié par les obligations du client en vertu de la présente DPP et, dans la mesure où cela est applicable, de l'accord. 

9.2 Le Client qui est la partie contractante de l'Accord restera responsable de la coordination de toute communication relative aux Données Personnelles avec CybelAngel et sera autorisé à faire et à recevoir toute communication relative aux Données Personnelles au nom de ses Affiliés Autorisés.

9.3 Lorsqu'un affilié autorisé devient partie à l'accord avec CybelAngel, il sera, dans la mesure requise par les lois sur la protection des données applicables et conformément aux dispositions des présentes, habilité à exercer les droits et à demander des réparations sous réserve de ce qui suit :

9.3.1 Sauf si les lois sur la protection des données applicables exigent que l'affilié autorisé exerce un droit ou cherche à obtenir une réparation contre CybelAngel directement par lui-même, conformément aux dispositions des présentes, les parties conviennent que (i) seul le client qui est la partie contractante du contrat exercera un tel droit ou cherchera à obtenir une telle réparation au nom de l'affilié autorisé, et (ii) le client qui est la partie contractante du contrat exercera de tels droits en vertu des dispositions des présentes, non pas séparément pour chaque affilié autorisé individuellement, mais de manière combinée pour lui-même et tous ses affiliés autorisés ensemble.

9.3.2 Le Client qui est la partie contractante de l'Accord prendra, lors de tout audit des procédures relatives à la protection des Données Personnelles, toutes les mesures raisonnables pour limiter l'impact sur CybelAngel et ses sous-traitants en combinant, dans la mesure du possible, toutes les demandes d'audit de lui-même et de tous ses Affiliés Autorisés en un seul audit.

  1. Limitation de la responsabilité

La responsabilité de chaque partie et de tous ses affiliés, prise dans son ensemble, découlant de ou liée aux dispositions des présentes, que ce soit en vertu d'un contrat, d'un délit ou de toute autre théorie de responsabilité, est soumise à la Section 10 (Limitation de responsabilité) de l'Accord, et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de tous ses affiliés dans le cadre de l'Accord. Pour éviter toute ambiguïté, la responsabilité totale de CybelAngel et de ses affiliés pour toutes les réclamations du client et de tous les affiliés autorisés ne sera pas comprise comme s'appliquant individuellement et solidairement au client et/ou à tout affilié autorisé qui est une partie contractuelle à un tel DPP.

  1. Ordre de préséance

Le présent PPD est sans préjudice des droits et obligations des parties en vertu de l'accord, qui restera pleinement en vigueur. En cas de conflit entre les termes des présentes et les termes de l'Accord, les termes du présent PPD prévaudront dans la mesure où l'objet concerne le traitement des données à caractère personnel.

  1. Divers

Toutes les communications et notifications en vertu des dispositions des présentes sont envoyées par le responsable du traitement au délégué à la protection des données du sous-traitant, à l'adresse suivante : : 

Nom : CybelAngel

Adresse : 51 rue Le Peletier, 75009 Paris, France

Nom, fonction et coordonnées de la personne de contact :

Heather Kuch

Délégué à la protection des données

[email protected]

ANNEXE I

DES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

A. Contrôle d'accès physique 

Les personnes non autorisées doivent se voir refuser l'accès aux équipements de traitement des données avec lesquels les données à caractère personnel sont traitées ou utilisées.

Le sous-traitant prend les mesures de contrôle d'accès physique suivantes, dans la mesure où les données à caractère personnel sont traitées dans les locaux/bâtiments du sous-traitant. L'accès à ces données à caractère personnel en dehors de ces locaux/bâtiments n'est pas autorisé :

  1. Restriction des droits d'accès aux immeubles de bureaux, aux centres de données et aux salles de serveurs au minimum nécessaire.
  2. Contrôle efficace des droits d'accès grâce à un système de verrouillage adéquat (par exemple, clé de sécurité avec gestion documentée des clés, systèmes de verrouillage électronique avec gestion documentée des autorisations). 
  3. Des processus complets et entièrement documentés doivent être mis en place pour l'obtention, la modification et le retrait de l'autorisation d'accès.
  4. Examen régulier et documenté des autorisations d'accès accordées à ce jour.
  5. Mesures raisonnables de prévention et de détection des accès et tentatives d'accès non autorisés (par exemple, examen régulier de la protection anti-effraction des portes, portails et fenêtres, systèmes d'alarme, vidéosurveillance, gardes de sécurité, patrouilles de sécurité). 
  6. Règles écrites à l'intention des employés et des visiteurs concernant les mesures de sécurité de l'accès technique.

B. Contrôle d'accès logique aux systèmes

L'utilisation par des personnes non autorisées des systèmes de traitement des données à caractère personnel doit être empêchée.

Le sous-traitant prend les mesures suivantes pour contrôler l'accès aux systèmes et réseaux dans lesquels des données à caractère personnel sont traitées ou par lesquels il est possible d'accéder à des données à caractère personnel :

  1. Limitation des droits d'accès aux systèmes informatiques et aux réseaux non publics au minimum nécessaire.
  2. Contrôle efficace de l'authentification, de l'autorisation et de la comptabilité grâce à des identifications d'utilisateurs personnalisées et uniques et à un processus d'authentification sécurisé.
  3. Lors de l'utilisation de mots de passe pour l'authentification, des règles doivent être adoptées pour garantir la qualité des mots de passe en termes de longueur, de complexité et de fréquence de changement. Des méthodes de test technique doivent être mises en œuvre pour garantir la qualité des mots de passe.
  4. Lors de l'utilisation de méthodes à clé asymétrique (par exemple, certificats, méthodes à clé privée-publique) pour l'authentification, il convient de veiller à ce que les clés secrètes (privées) soient toujours protégées par un mot de passe (phrase de passe). Les exigences du paragraphe 3 ci-dessus doivent être respectées.
  5. Des examens complets de tous les comptes doivent être effectués régulièrement et l'accès doit être supprimé s'il n'est pas nécessaire à intervalles réguliers.
  6. Examen régulier et documenté des autorisations d'accès logique accordées à ce jour.
  7. Des mesures appropriées doivent être prises pour sécuriser l'infrastructure du réseau (par exemple, sécurité des ports du réseau IEEE 802.1X, systèmes de détection d'intrusion, utilisation de l'authentification à deux facteurs pour l'accès à distance, séparation des réseaux, filtrage du contenu, protocoles de réseau cryptés, etc.)
  8. Des règles écrites à l'intention des employés concernant les mesures de sécurité susmentionnées et l'utilisation sûre des mots de passe.
  9. Assurer l'installation immédiate des mises à jour/patchs de sécurité critiques/ou importants :
    1. dans les systèmes d'exploitation des contrôleurs, 
    2. dans les systèmes d'exploitation des serveurs, qui sont accessibles via les réseaux publics (par exemple, le serveur web) ; 
    3. dans les programmes d'application (y compris le navigateur, les plugins, le lecteur PDF, etc.
    4. dans l'infrastructure de sécurité (antivirus, pare-feu, systèmes IDS, filtres de contenu, routeurs, etc.) dans les 48 heures suivant la publication par le fabricant, ainsi que dans les systèmes d'exploitation des serveurs internes dans la semaine suivant la publication par le fabricant.

C. Contrôle de l'accès aux données à caractère personnel

Seules les personnes autorisées à utiliser un système de traitement des données personnelles peuvent accéder aux données personnelles, sous réserve de leur autorisation d'accès, et les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage.

Lorsque le sous-traitant est responsable de l'autorisation d'accès aux données à caractère personnel, il prend les mesures suivantes pour contrôler l'accès :

  1. Limitation de l'autorisation d'accès aux données à caractère personnel au minimum requis.
  2. Contrôle efficace de l'autorisation d'accès grâce à un concept adéquat de droits et de rôles.
  3. Une procédure complète et entièrement documentée d'autorisation d'accès, de modification, de copie et de retrait des données à caractère personnel doit être mise en place.
  4. Des examens réguliers et documentés des autorisations d'accès attribuées à ce jour.
  5. Des mesures raisonnables doivent être prises pour protéger les équipements terminaux, les serveurs et les autres éléments d'infrastructure contre les accès non autorisés (par exemple, concept de protection antivirus à plusieurs niveaux, filtrage du contenu, pare-feu d'application, systèmes de détection d'intrusion, pare-feu de bureau, durcissement du système, cryptage du contenu).
  6. Cryptage des supports de données à caractère personnel - aligné sur l'état actuel de la technologie - algorithmes à appliquer pour la protection des appareils mobiles (ordinateurs portables, tablettes, smartphones, etc.) et des supports de données à caractère personnel (disques durs externes, clés USB, cartes mémoires, etc.)
  7. l'enregistrement des accès aux données à caractère personnel par tous les utilisateurs, y compris les administrateurs.
  8. Mesures de sécurité technique pour les interfaces d'exportation et d'importation (matériel et application).

Lorsque le sous-traitant n'est pas responsable de l'autorisation d'accès aux données à caractère personnel, il est tenu de coopérer au contrôle d'accès :

  1. Une procédure complète et entièrement documentée pour la demande, la modification et le retrait des autorisations d'accès dans leur domaine de responsabilité.
  2. Examen régulier et documenté des autorisations d'accès attribuées à ce jour, dans la mesure du possible.
  3. Notification immédiate au contrôleur si les autorisations d'accès existantes ne sont plus nécessaires.

D. Contrôle de la transmission 

Le sous-traitant fournit les données à caractère personnel à traiter dans le cadre d'une procédure de transmission à définir dans un contrat/une commande. Les résultats du traitement seront également transmis au responsable du traitement selon une procédure de transmission définie. La méthode de transmission ainsi que les mesures de sécurité de la transmission (contrôle de la transmission) doivent être définies conformément aux exigences ; en particulier, l'utilisation d'une technologie de cryptage de pointe doit être prévue.

Il doit être garanti que les données à caractère personnel ne sont pas lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert électronique ou pendant le transport ou le stockage sur des supports de données à caractère personnel, et qu'il est possible de vérifier et d'établir à quels endroits un transfert de données à caractère personnel au moyen d'équipements de transmission de données est prévu.

Le sous-traitant prend les mesures suivantes pour contrôler la transmission, dans la mesure où les données à caractère personnel sont reçues, transférées ou transportées par le sous-traitant :

  1. Des mesures appropriées pour sécuriser l'infrastructure du réseau (par exemple, sécurité des ports du réseau IEEE 802.1X, systèmes de détection d'intrusion, utilisation de l'authentification à deux facteurs pour l'accès à distance, séparation des réseaux, filtrage du contenu, protocoles de réseau cryptés, etc.
  2. Cryptage des supports de données personnelles avec - selon l'état actuel de la technologie - des algorithmes à classer comme sûrs pour la protection des appareils mobiles (ordinateurs portables, tablettes, smartphones, etc.) et des supports de données (disques durs externes, clés USB, cartes mémoire, etc.).
  3. Utilisation de protocoles de communication cryptés (tels que les protocoles basés sur TLS).
  4. Mécanismes d'inspection permettant d'identifier les terminaux distants pendant les transmissions.
  5. Ajustement des sommes de contrôle avec les données à caractère personnel reçues.
  6. Règles écrites à l'intention des employés concernant la manipulation et la sécurité des appareils mobiles et des supports de données.

E. Contrôle de la saisie des données

Il convient de veiller à ce qu'il soit possible de contrôler et de vérifier ultérieurement si et par qui les données à caractère personnel peuvent être consultées, modifiées ou supprimées des systèmes de traitement des données.

Le sous-traitant prend les mesures suivantes pour contrôler l'accès à ses systèmes qui servent au traitement des données ou pour permettre ou fournir l'accès à ces systèmes :

  1. Création et révision - stockage sécurisé des protocoles de processus.
  2. Sécurisation des fichiers journaux de sauvegarde contre la falsification.
  3. Enregistrement et analyse des échecs de connexion.
  4. Veiller à ce qu'aucun compte de groupe (y compris les administrateurs ou root) ne puisse être utilisé.

F. Contrôle du traitement des données

Il est nécessaire de s'assurer que toute donnée à caractère personnel traitée ne peut l'être que conformément aux instructions du responsable du traitement.

Le sous-traitant met en œuvre des processus et une documentation pour le traitement des données :

  1. la sélection des (sous-)traitants en vertu de la législation sur la protection des données et les aspects techniques ;
  2. assurer l'inspection préliminaire statutaire prescrite des (sous-)traitants conformément à la législation sur la protection des données ;
  3. veiller à ce que les responsables opérationnels de la protection des données reçoivent des instructions en temps utile lors de l'introduction de nouvelles procédures de traitement des données à caractère personnel ou de la modification des procédures existantes ;
  4. les obligations de toutes les personnes responsables du traitement des données à caractère personnel de préserver le secret des données conformément à la législation sur la protection des données ;
  5. la vérification régulière de l'exactitude de l'application des programmes de traitement des données par lesquels les données à caractère personnel sont traitées ;
  6. veiller à ce que les personnes chargées du traitement des données se familiarisent avec la législation pertinente en matière de protection des données ;
  7. le maintien de la qualification du délégué opérationnel à la protection des données (s'il a été désigné) ;
  8. garantir la notification au responsable du traitement dans un délai raisonnable en cas d'acquisition illégale de la connaissance de données à caractère personnel ; et
  9. assurer la correction, le verrouillage et l'effacement immédiats des données à caractère personnel sur instruction du responsable du traitement.

G. Contrôle de la disponibilité

Il convient de veiller à ce que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle.

Le transformateur met en œuvre les mesures suivantes pour contrôler la disponibilité :

  1. Exploitation et entretien régulier des systèmes d'alarme incendie dans les salles de serveurs, les centres de données et les espaces d'infrastructures critiques.
  2. Créer des sauvegardes quotidiennes et veiller à la mise en œuvre d'une capacité de reprise après sinistre robuste et résiliente.
  3. Assurer un stockage de secours dans un compartiment coupe-feu séparé. 
  4. Examen et test réguliers de l'intégrité des sauvegardes.
  5. Procédures et documentation pour la récupération des systèmes et des données à caractère personnel.

H. Contrôle des crédits 

Il convient de veiller à ce que les données à caractère personnel collectées à des fins différentes puissent être traitées séparément.

Le sous-traitant prend les mesures suivantes pour séparer les données à caractère personnel, pour autant qu'elles relèvent de son domaine de responsabilité :

  1. Séparation logique et/ou physique des systèmes d'essai, de développement et de production.
  2. Séparation des contrôleurs au sein des systèmes de traitement et aux interfaces.
  3. Garantir le maintien de l'identifiabilité des données à caractère personnel.

I. Conservation et suppression des données à caractère personnel 

Les données à caractère personnel ne sont conservées que pendant la durée nécessaire et sont supprimées lorsque le traitement est terminé. 

Le sous-traitant prend les mesures suivantes pour garantir la suppression des données à caractère personnel, pour autant qu'elles relèvent de son domaine de responsabilité :

  1. Garantir l'effacement permanent des données à la demande du responsable du traitement.
  2. Processus, outils et documentation pour une suppression sécurisée de telle sorte que la récupération des données ne soit pas possible en utilisant l'état actuel de la technologie. 

 3. Des lignes directrices à l'intention des employés sur la manière et le moment où les données doivent être supprimées.

G. Certifications

CybelAngel est titulaire d'une certification SOC 2 TYPE I. La preuve de ce certificat peut être fournie au contrôleur sur demande.