Mentions Légales

AVENANT RELATIF AU TRAITEMENT DE DONNEES A CARACTERE PERSONNEL


ENTRE LES SOUSSIGNEES :


La société « CLICK&DON », SARL au capital de 8500 €, dont le siège social est 24 boulevard Marcel Dassault, 64200 Biarrtiz, inscrit au RCS de Bayonne sous le numéro 844 438 838, représentée par M. Bruno HOUPPERMANS


Ci-après dénommée le « Client »


La société « REDBOX COMMUNICATION », SARLau capital de 4000 €, dont le siège social est auBâtiment Izartegi, 165 Allée Fauste d’Elhuyar, Technopole Izarbel, 64210 Bidart, enregistrée au RCS de Bayonnesous le n° 793 962 127, représentée par M. Charles ARRAMON TUCOO et M. Arnaud VIAC.


Ci-après dénommée le « Prestataire »

Ci-après dénommés ensemble ou séparément la ou les « Partie(s) ».

DATE D'ENTREE EN VIGUEUR : INDIQUER LA DATE DE DÉBUT DES PRESTATIONS

Le Prestataire a conclu avec le Client un ou plusieurs contrats (ci-après les « Contrats »), définis en Annexe 3, impliquant le Traitement de Données à caractère personnel. Le présent avenant relatif au Traitement de données à caractère personnel (ci-après l’ « Avenant ») s'applique à tous les Traitements de Données à caractère personnel du Client réalisés par le Prestataire en application des Contrats.

Article 1. Définitions

1.1  Responsable de Traitement : personne physique ou morale, autorité publique, agence ou tout autre organisme déterminant, seul ou conjointement avec d'autres entités, les finalités et moyens du Traitement des Données à caractère personnel. 


1.2  Données à caractère personnel du Client : données à caractère personnel que le Prestataire traite en tant que Sous-traitant au nom du Client dans le cadre de la fourniture des Services. Les Données à caractère personnel du Client incluent les Données à caractère personnel contrôlées par le Client et les Données à caractère personnel traitées par le Client en tant que Sous-traitant au nom d'Autres Responsables de Traitement. 


1.3  Exportateur de données : Responsable de Traitement situé dans un État membre dont les Données à caractère personnel sont transférées à un Importateur de données. 


1.4  Importateur de données : Sous-traitant ultérieur établi dans un pays qui n'est ni un État membre, ni un pays dont la Commission européenne considère que la protection est adéquate. 


1.5  Personne concernée : personne physique identifiée ou identifiable sur laquelle portent les Données à caractère personnel. 


1.6  Lois sur la protection des données : RGPD et toutes les lois et réglementations applicables à la protection des données à caractère personnel dans les États membres. 


1.7  Clauses contractuelles types de la Commission européenne : clauses contractuelles types liées au transfert des Données à caractère personnel vers des Sous-traitants établis dans des pays tiers (Décision de la Commission 2010/87/CE). 


1.8  RGPD : Règlement général sur la protection des données 2016/679. 


1.9  État membre : pays membre de l'Union européenne ou de l'Espace économique européen. 


1.10  Autre Responsable de Traitement : entité autre que le Client, contrôlant les Données à caractère personnel du Client, par exemple les sociétés affiliées du Client ou les clients du Client ainsi que leur clientèle ou leurs sociétés affiliées. 


1.11 Données à caractère personnel : toutes les informations relatives à une personne physique identifiée ou identifiable (« Personne concernée »), soumises au RGPD ou aux lois des pays de l'EEE ne faisant pas partie de l'UE ayant adopté officiellement le RGPD. Une personne physique identifiable peut être identifiée, directement ou indirectement, notamment par référence à un identifiant comme un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

1.12  Violation de Données à caractère personnel : violation de sécurité suspectée ou réelle engendrant une destruction accidentelle ou illégale, une perte, une modification, une divulgation non autorisée ou un accès aux Données à caractère personnel transmises, sauvegardées ou traitées. 


1.13  Traiter ou Traitement : toute opération ou tout ensemble d'opérations réalisé(e) sur les Données à caractère personnel ou sur des ensembles de Données à caractère personnel comme la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la dissémination ou la mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction. 


1.14  Sous-traitant : personne physique ou morale, autorité publique, agence ou tout autre organisme traitant les Données à caractère personnel au nom du Responsable de Traitement.

1.15  Service(s) : services fournis par le Prestataire en application des Contrats. 


1.16  Sous-traitant ultérieur : tout sous-traitant engagé par le Prestataire pour le Traitement des 
Données à caractère personnel du Client, conformément à l’article 8. 


1.17  Autorité de supervision : autorité publique indépendante établie par un État membre en vertu du RGPD. 


1.18  Sociétés affiliées du Prestataire : sociétés contrôlées par le Prestataire, contrôlant le Prestataire ou placées sous un contrôle commun avec le Prestataire. « Contrôler » ou « être contrôlé » s’entend du contrôle direct ou indirect au sens des articles L. 233-1 et suivants du Code de commerce. 


Article 2. Traitement

2.1  Le Prestataire est considéré comme Sous-traitant du Client. 


2.2  L'Annexe 1 définit la nature, la finalité et le domaine du Traitement, 
sa durée, les catégories de Personnes concernées ; et 
les types de Données à caractère personnel traitées. 


2.3  Le Prestataire traitera les Données à caractère personnel du Client dans le seul but de fournir les Services, conformément aux instructions écrites du Client. La portée initiale des instructions du Client relatives au Traitement de ses Données à caractère personnel est définie par les Contrats. Si le Prestataire ne se conforme pas aux instructions du Client, celui-ci peut résilier de plein droit et sans formalité judiciaire le Contrat en cause en le lui notifiant par LRAR. Si le Prestataire estime qu'une instruction du Client viole les Lois sur la protection des données, il en informe le Client dans les meilleurs délais. 


2.4  Le Client est le point de contact unique du Prestataire. De la même façon, le Prestataire s'engage à agir en tant que point de contact unique pour le Client et est seul responsable de la coordination interne, de la revue et de la soumission d'instructions ou de demandes émanant du Client envers les Sous-traitants ultérieurs. 


2.5  Le Prestataire s'engage à respecter toutes les Lois sur la protection des données. 


Article 3. Mesures Techniques et Organisationnelles

3.1 Le Prestataire s'engage à mettre en place et à maintenir pendant la durée des Contrats les mesures techniques et organisationnelles permettant d'assurer un niveau de sécurité adapté au risque. A ce titre, le Prestataire met notamment en œuvre les mesures définies en Annexe 2.

3.2  Si le Client estime qu'il est nécessaire d'apporter des modifications aux mesures techniques et organisationnelles mises en œuvre pour assurer un niveau de sécurité adapté au risque, ces modifications doivent être mises en œuvre par le Prestataire. 


Article 4. Droits et demandes des Personnes concernées

4.1  Si cela n’est pas déjà fait par le Client, le Prestataire doit, au moment de la collecte des données, fournir aux personnes concernées l’information relative aux Traitements qu’il réalise.

4.2  Si cela n’est pas déjà fait par le Client, le sous-traitant doit répondre, au nom et pour le compte du Responsable de Traitement aux demandes des Personnes concernées en cas d’exercice de leurs droits. Le Prestataire s'engage à informer le Client dans les meilleurs délais des demandes émanant des Personnes concernées exerçant leurs droits (rectification, suppression et blocage de données par exemple) adressées directement au Prestataire.

Si le Client est tenu de fournir des informations relatives aux Données à caractère personnel traitées à d'Autres Responsables de Traitement ou tiers (par exemple, les Personnes concernées ou l'Autorité de supervision), le Prestataire lui fournit toutes les informations requises. Si le Client ou d'Autres Responsables de Traitement sont tenus de fournir à une Personne concernée des informations sur le Traitement des Données à caractère personnel traitées, le Prestataire l’aidera à fournir ces informations. 


4.3  Si une Personne concernée engage une action directement contre le Client pour un préjudice subi en lien avec la violation par le Prestataire du présent Avenant ou des Lois sur la protection des données concernant le Traitement des Données à caractère personnel du Client, le Prestataire s'engage à indemniser le Client des coûts, frais, dommages, dépenses ou pertes découlant d'une telle action, et de manière générale de l’intégralité du préjudice subi. 


Article 5. Demandes émanant de Tiers et confidentialité

5.1  Le Prestataire s'engage à ne divulguer les Données à caractère personnel du Client à aucun tiers, sauf si le Client l'y autorise ou si la loi l'exige. Si un gouvernement ou une autorité de supervision exige l'accès aux Données à caractère personnel du Client, le Prestataire est tenu d'en aviser le Client avant leur divulgation, sauf si la loi l'interdit. Si la loi interdit au Prestataire d'aviser le Client, le Prestataire prendra des mesures appropriées pour contester l'interdiction, notamment par le biais d'une action judiciaire. 


5.2  Le Prestataire s’engage à ce que le personnel autorisé à traiter les Données à caractère personnel du Client respecte la confidentialité desdites Données et qu'il ne les traite pas à d'autres fins, sauf sur instructions du Client et/ou d'Autres Responsables de Traitement, ou si la loi applicable l'exige. 


Article 6. Informations et audits

6.1  Le Prestataire est tenu de fournir par écrit toutes informations sur le Traitement des Données à caractère personnel du Client, notamment sur les mesures techniques et organisationnelles mises en œuvre et sur tout Sous-traitant ultérieur. 


6.2  Le Prestataire doit permettre les audits du Client ou d'Autres Responsables de Traitement, y compris dans ses locaux ou ceux des Sous-traitants ultérieurs, et y contribuer, notamment les inspections menées par le Client et/ou d'Autres Responsables de Traitement et les Autorités de supervision concernées ou un autre auditeur légalement mandaté par le Client et/ou d'Autres Responsables de Traitement, afin de prouver que les obligations du Prestataire définies dans le présent Avenant et que les Lois sur la protection des données applicables au Prestataire dans le cadre de la réalisation des Services sont respectées. Le Prestataire peut apporter la preuve de son adhésion à un code de conduite ou à un mécanisme de certification approuvé, ou fournir toute information pouvant servir à démontrer le respect de ses obligations. Les audits seront réalisés durant les heures ouvrables, après notification écrite préalable. Si le Client mandate un autre auditeur, celui-ci i) ne doit pas être un compétiteur direct du Prestataire en ce qui concerne les Services et ii) doit être tenu à une obligation de confidentialité. 


6.3  A la demande du Client, le Prestataire fournira les informations sur les clauses des contrats conclus par lui en lien avec la mise en œuvre de leurs obligations par les Sous-traitants ultérieurs approuvés du Prestataire, notamment, si nécessaire, en lui donnant accès aux documents contractuels appropriés. Le Prestataire veillera à ce que tous les droits d'audit et d'accès aux informations applicables aux Sous-traitants ultérieurs du Prestataire s'appliquent aussi directement au Client et/ou à d'Autres Responsables de Traitement ainsi qu'aux Autorités de supervision concernées. 


Article 7. Restitution ou suppression des Données à caractère personnel du Client


Sauf disposition contraire de la loi applicable, le Prestataire supprimera ou restituera, au choix du Client, les Données à caractère personnel du Client à la résiliation ou l'expiration du Contrat, ou à une date antérieure sur demande du Client. 


Article 8. Sous-traitants ultérieurs

8.1  Le recours à des Sous-traitants ultérieurs (y compris les Sociétés affiliées du Prestataire) par le Prestataire est soumis à l'accord préalable écrit explicite du Client.

8.2  Le Prestataire imposera à tout Sous-traitant ultérieur approuvé - avant que celui-ci ne traite les Données à caractère personnel du Client - des obligations similaires à celles définies dans le présent Avenant, et veillera à ce que les obligations applicables (notamment les droits d'audit et d'accès 
aux informations) puissent être directement appliquées par le Client ou d'Autres Responsables de Traitement aux Sous-traitants ultérieurs du Prestataire.

8.3 Le Prestataire demeure responsable de ses Sous-traitants ultérieurs et de leurs actes et omissions ainsi que de ses propres actes et omissions, et toutes les références aux obligations, actes et omissions du Prestataire dans le présent Avenant seront interprétées comme faisant également référence aux Sous- traitants ultérieurs du Prestataire.

Article 9. Traitement de données transfrontalier

9.1  Le Prestataire s’engage à ne pas procéder à un transfert de données vers un pays tiers ou à une organisation internationale, sauf s’il est tenu de le faire en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis. S’il est tenu de le faire en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il s’engage à informer le Responsable du Traitement de cette obligation avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs d'intérêt public.

Sous réserve de ce qui est prévu ci-dessus, Le Prestataire s’engage à ne pas procéder à un transfert de Données à caractère personnel du Client vers un pays tiers, n’appartenant pas à l’Union européenne, ou vers une organisation internationale, sans accord préalable écrit du Client. Si cet accord est donné, le Prestataire s’engage à :

  • assurer le respect des procédures permettant de se conformer à la Loi sur la protection des données, par exemple dans le cas où une autorisation de la part d’une Autorité de supervision apparaîtrait nécessaire ;

  • obtenir la conclusion d’un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données. Le Prestataire s’engage en particulier, si nécessaire, à signer de tels contrats avec le Client et/ou à obtenir la conclusion de tels contrats par ses Sous-traitants ultérieurs. Pour ce faire, il est convenu entre les Parties que les clauses contractuelles types publiées par la Commission européenne seront utilisées pour encadrer les flux transfrontières de données.

Si le Prestataire est établi dans un pays qui n'est ni un État membre, ni un pays dont la Commission européenne considère que la protection est adéquate, en acceptant le présent Avenant, il conclut avec le Client les Clauses contractuelles types de la Commission européenne. 
Au choix du Client, d'Autres Responsables de Traitement peuvent adhérer aux Clauses contractuelles types de la Commission européenne en tant qu'Exportateurs de données additionnels et le Prestataire déclare à l'avance accepter une telle adhésion. Le Client informera le Prestataire de l'adhésion desdits Exportateurs de données additionnels. 


Le Prestataire, au nom du ou des Importateurs de données, s'engage à accepter l'adhésion des Autres Responsables de Traitement aux Clauses contractuelles types de la Commission européenne en tant qu'Exportateur de données additionnel. Si cela n'est pas possible, le Prestataire fera en sorte que lesdits Importateurs de données acceptent les adhésions. Le Prestataire est tenu d'informer les Importateurs de données de toute adhésion notifiée au Prestataire par le Client. 


Article 10. Violation de Données à caractère personnel

10.1  Le Prestataire informera le Client, dans les meilleurs délais, de tout non-respect présumé des Lois sur la protection des données ou des clauses contractuelles applicables, ou en cas d'interruption grave des opérations ou de toute autre irrégularité dans le Traitement des Données à caractère personnel du Client. Le Prestataire enquêtera rapidement sur tout non-respect et le corrigera dans les plus brefs délais et, sur demande du Client, fournira au Client toutes les informations demandées concernant le non-respect présumé. 


10.2  Le Prestataire s'engage à informer le Client par écrit au plus tard dans les 24 heures dès lors qu'il a connaissance d'une Violation de Données à caractère personnel du Client. Le Prestataire enquêtera rapidement sur la Violation de Données à caractère personnel et assistera raisonnablement le Client afin de respecter les obligations légales applicables (y compris les obligations de notification des Autorités de supervision ou des Personnes concernées) dans les conditions définies ci-dessous. 


Article 11. Assistance et enregistrements

11.1 Le Prestataire s'engage à assister le Client afin de lui permettre i) de respecter ses obligations et/ou celles des Autres Responsables de Traitement, ii) de se conformer aux droits des Personnes concernées, notamment en ce qui concerne la sécurité du Traitement, la notification de Violation de Données à caractère personnel et la réalisation d’analyse d'impact.

11.2 Le Prestataire s'engage à conserver un enregistrement à jour du nom et des coordonnées de chaque Sous-traitant ultérieur des Données à caractère personnel du Client et, le cas échéant, de chaque représentant et délégué à la protection des données des Sous-traitants ultérieurs. Sur demande, le Prestataire s'engage à fournir une copie à jour de cet enregistrement au Client.

Article 12. Généralités

12.1 Chaque fois que le présent Avenant fait référence à un format écrit, le format électronique, tel qu'un e-mail, sera suffisant. 


12.2  Le présent Avenant fait partie intégrante des Contrats. En cas de contradiction entre l’Avenant et un Contrat, l’Avenant prime.

12.3  Si un avenant au présent Avenant est nécessaire au respect des Lois sur la protection des données ou aux obligations définies dans les contrats conclus par le Client avec ses Clients, les Parties collaboreront de bonne foi pour signer rapidement ledit avenant. Si le Prestataire n'est pas en mesure de se conformer aux modifications demandées, le Client pourra, de plein droit, résilier tout ou partie des Contrats en en informant le Prestataire par LRAR. 


12.4  Le Prestataire garantit l'exécution rapide et satisfaisante de ses obligations et responsabilités au titre du présent Avenant et s'engage à prendre en charge tous les frais associés au respect de ses obligations. Le Prestataire est responsable de ses actes et omissions dans le cadre du présent Avenant. 



Pour [___________]


[___________]

[___________]



A [___________]

Le


Pour [___________]


[___________]

[___________]



A [___________]

Le



ANNEXE 1

Description du Traitement

Finalités

Préciser toutes les finalités pour lesquelles les données personnelles sont traitées.




Type de données traitées

Préciser les différents types de données personnelles qui sont traitées par le Prestataire

Nom

Prénom

Date de naissance

Adresse

Ville

Code postal

Adresse mail

Numéro de téléphone

Identifiant unique

Données de géolocalisation

Photo de profil

Personnes concernées par le Traitement

Clients

Prospects

Collaborateurs (incluant les stagiaires, apprentis, intérimaires etc.)

Contacts (auprès d’un tiers, par exemple un prestataire)

Traitements

Préciser toutes les opérations de Traitements réalisées par le sous-traitant.


collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, la divulgation par transmission, dissémination ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.


Durée de conservation des données





ANNEXE 2

Mesures Techniques et Organisationnelles - Principes de sécurité des Données

  1. Protection des données

Les mesures de sécurité utilisées par le Prestataire sont conçues pour protéger les Données à caractère personnel du Client.

Le Client est le seul responsable du Traitement des données à caractère personnel.

Le Prestataire traitera toutes les Données à caractère personnel du Client comme étant confidentielles en ne les divulguant qu'aux employés, sous-traitants et Sous-traitants ultérieurs du Prestataire, et uniquement dans les limites nécessaires à la fourniture des Services. 


Le Prestataire assurera en toute sécurité la purge des supports physiques destinés à être réutilisés avant toute réutilisation et détruira les supports physiques non destinés à être réutilisés. 


  1. Règles de sécurité

Le Prestataire gérera et respectera les politiques et pratiques en matière de sécurité informatique qui font partie intégrante des activités du Prestataire et sont obligatoires pour tous les employés du Prestataire, y compris les intérimaires. 


Le Prestataire passera en revue ses politiques de sécurité informatique au moins une fois par an et les modifiera telles qu'il le juge raisonnable pour maintenir la sécurité des Données à caractère personnel du Client traitées. 


Les employés du Prestataire effectueront annuellement une formation dans les domaines de la sécurité et la confidentialité et certifieront chaque année qu'ils respecteront les politiques du Prestataire en matière d'éthique professionnelle, de confidentialité et de sécurité, telles qu'elles sont exposées dans le code de conduite destiné aux employés du Prestataire. Une formation supplémentaire sur les politiques et processus sera dispensée aux personnes ayant un accès administrateur. 


  1. Incidents de sécurité

Le Prestataire gérera et respectera les politiques de résolution d'incident documentées, conformément aux directives Network and Information Security (NIS) relatives au Traitement des incidents de sécurité informatique, et respectera les dispositions de l’Avenant relatives à la notification de violation de données. 


Le Prestataire enquêtera sur les accès non autorisés et l'utilisation non autorisée des Données à caractère personnel du Client dont le Prestataire viendrait à avoir connaissance (incident de sécurité) et, dans le cadre du Service, le Prestataire définira et exécutera un plan d'intervention approprié. Le Client peut notifier au Prestataire une vulnérabilité ou un incident suspect en soumettant une demande de support technique aux fins d'évaluation par le Prestataire. 


Le Prestataire s'engage à notifier au Client dans les meilleurs délais (et au plus tard dans les 24 heures) un incident de sécurité ou une Violation de Données à caractère personnel connue ou raisonnablement présumée par le Prestataire comme ayant un impact sur le Client. Le Prestataire fournira au Client des informations raisonnablement demandées sur ledit incident de sécurité et sur l'état des activités de résolution et de restauration entreprises par le Prestataire. 


  1. Sécurité physique et contrôle d'entrée

Le Prestataire gérera des dispositifs de contrôle d'entrée physique appropriés, tels que les barrières, les points d'entrée contrôlés par carte, les caméras de surveillance et les bureaux de réception surveillés, afin d'empêcher toute entrée non autorisée dans les installations du Prestataire utilisées pour héberger le Service (centres de données). Les points d'entrée auxiliaires dans les centres de données, tels que les zones de livraison et les plateformes de chargement, seront contrôlés et isolés des ressources informatiques. 


L'accès aux centres de données et aux zones contrôlées au sein des centres de données sera limité par fonction et soumis à l'accord de personnes habilitées. L'utilisation d'un badge d'accès pour entrer dans un centre de données et dans les zones contrôlées sera consignée dans des logs qui seront conservés pendant au moins un an. Le Prestataire révoquera l'accès aux zones contrôlées d'un centre de données a) dès la rupture du contrat de travail d'un employé habilité ou b) lorsque l'employé habilité n'a plus de motif professionnel valable pour y accéder. Le Prestataire se conformera aux procédures formelles de rupture de contrat de travail qui comprennent notamment le retrait de l'employé, dans les plus brefs délais, des listes de contrôle d'accès et la restitution des badges d'accès physique. 


Toute personne ayant dûment reçu l'autorisation temporaire d'accéder aux locaux d'un centre de données ou à une zone contrôlée au sein d'un centre de données sera enregistrée dès son arrivée dans les locaux, doit présenter une preuve d'identité lors de son enregistrement et sera accompagnée par le personnel autorisé. Toute autorisation temporaire d'entrée, y compris les livraisons, sera planifiée d'avance et doit être approuvée par le personnel autorisé. 


Le Prestataire prendra les précautions nécessaires pour protéger l'infrastructure du Service contre les menaces environnementales, tant d'origine naturelle qu'humaine, par exemple température ambiante excessive, incendie, inondation, humidité, vol et vandalisme. 


  1. Contrôle d'accès, d'intervention, de transfert et de séparation

Le Prestataire gérera et documentera l'architecture de sécurité des réseaux utilisés par le ou pour les Services. Le Prestataire passera régulièrement en revue séparément ladite architecture de réseau, y compris les mesures destinées à empêcher les connexions réseau non autorisées aux systèmes, applications et périphériques réseau, afin de garantir la conformité à ses normes en matière de segmentation sécurisée, d'isolement et de protection complète avant l'implémentation. Le Prestataire peut utiliser la technologie de réseau sans fil dans le cadre de la gestion et la prise en charge du Service et des composants associés. Ces réseaux sans fil, le cas échéant, seront chiffrés, nécessiteront une authentification sécurisée et ne donneront pas un accès direct aux réseaux du Service. Les réseaux du Service n'utilisent pas la technologie de réseau sans fil. 


Le Prestataire maintiendra des mesures destinées à séparer logiquement les Données à caractère personnel du Client et à empêcher que ces dernières soient exposées ou accessibles aux personnes non autorisées. 


Le Prestataire chiffrera les Données à caractère personnel du Client non destinées au grand public lorsqu'il transfère les Données à caractère personnel du Client sur les réseaux publics et permettra l'utilisation d'un protocole cryptographique, tel que HTTPS, SFTP et FTPS, pour le transfert sécurisé des Données à caractère personnel du Client à destination et en provenance des réseaux publics. 


Afin de garantir un niveau de sécurité adapté au risque, le Prestataire chiffrera si nécessaire les Données à caractère personnel du Client stockées. Si le Service inclut la gestion de clés cryptographiques, le Prestataire maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la restauration, la sauvegarde, la destruction, l'accès et l'utilisation sécurisés des clés. 


Si le Prestataire requiert l'accès aux Données à caractère personnel du Client, le Prestataire restreindra et limitera cet accès au niveau minimum requis pour la fourniture et la prise en charge du Service. Ledit accès, y compris l'accès administrateur aux composants sous-jacents (accès privilégié) sera individuel, basé sur les rôles et soumis à l'accord et la validation régulière du personnel autorisé du Prestataire conformément aux principes de séparation des tâches. Le Prestataire mettra en place des mesures permettant d'identifier et de supprimer les comptes redondants et inactifs dotés de l'accès privilégié et révoquera ledit accès dans les plus brefs délais dès la rupture du contrat de travail du propriétaire de compte ou à la demande du personnel autorisé du Prestataire, par exemple le manager du propriétaire de compte. 


Le Prestataire maintiendra des mesures techniques imposant un délai d'expiration pour les sessions inactives, le verrouillage des 
comptes après plusieurs échecs de tentative de connexion successifs, l'authentification à l'aide d'un mot de passe ou d’une phrase passe fiable, ainsi que des mesures nécessitant le transfert et le stockage sécurisés desdits mots de passe et phrases passe.

Le Prestataire surveillera l'utilisation des accès privilégiés et tiendra à jour les informations de sécurité et les mesures de gestion d'événement destinées a) à identifier les accès et activités non autorisés, b) à faciliter une réponse rapide et appropriée et c) à permettre des audits de tiers internes et indépendants de la conformité aux politiques documentées du Prestataire. 


Les logs dans lesquels les activités et accès privilégiés sont consignés seront conservés conformément aux règles de conservation d'enregistrement du Prestataire. Le Prestataire gérera des mesures de protection contre l'accès non autorisé, la modification et la destruction accidentelle ou délibérée desdits logs. 


Dans les limites prises en charge par les fonctionnalités natives des périphériques et du système d'exploitation, le Prestataire gérera des dispositifs de protection informatique pour les systèmes contenant des Données à caractère personnel du Client et tous les systèmes d'utilisateur final comprenant notamment des firewalls d'extrémité, le chiffrement de disque complet, la détection et la suppression de logiciels malveillants et antivirus avec signature, qui devront a) être régulièrement mis à jour par l'infrastructure centrale et b) consignés dans un emplacement central, les verrouillages d'écran temporels et les solutions de gestion de nœud final imposant des obligations d'application de correctif et de configuration des paramètres de sécurité. 


  1. Contrôle d'intégrité et de disponibilité des services

Le Prestataire a) réalise des tests d'intrusion et des évaluations de vulnérabilité, notamment l'analyse automatisée de la sécurité des systèmes et applications ainsi que le piratage éthique manuel avant la mise en production et tous les ans par la suite b) fait appel à un tiers indépendant agréé pour réaliser les tests d'intrusion au moins une fois par an, c) assure la gestion automatisée et la vérification de routine de la conformité des composants sous-jacents aux exigences de configuration des paramètres de sécurité et d) résout les vulnérabilités détectées ou la non conformité à ses exigences en matière de configuration des paramètres de sécurité en fonction des risques associés, de l'exploitabilité et des impacts. Le Prestataire prendra des mesures raisonnables pour éviter l'interruption du Service lorsqu'il réalise ses tests, évaluations, analyses et activités de résolution. 


Le Prestataire gérera des politiques et procédures destinées à gérer les risques associés à l'application de modifications à ses Services. Avant l'implémentation, les modifications apportées à un Service, y compris ses systèmes, réseaux et composants sous-jacents, seront consignées dans une demande de modification enregistrée comprenant la description et le motif de la modification, les détails et le planning de l'implémentation, une déclaration de risque abordant l'impact sur le Service et ses clients, les résultats attendus, le plan d'annulation et l'accord documenté du personnel autorisé. 


Le Prestataire gérera un inventaire de tous les actifs informatiques utilisés lors de l'utilisation du Service. Il surveillera en continu l'état de santé et la disponibilité du Service et des composants sous- jacents. 


Chaque Service sera évalué séparément quant aux exigences en matière de continuité des opérations et de reprise après incident conformément aux directives de gestion des risques documentées. Chaque Service du Prestataire comportera, dans les limites garanties par ladite évaluation des risques, des plans de continuité des opérations et de reprise après incident séparément définis, documentés, gérés et annuellement validés, conformément aux pratiques en vigueur dans le secteur d'activité. Les objectifs de point de reprise et de temps de reprise du Service, s'ils sont fournis, seront établis en tenant compte de l'architecture et de l'usage prévu du Service, et seront décrits dans les Documents contractuels applicables. 


Le Prestataire a) sauvegardera quotidiennement les systèmes contenant des Données à caractère personnel du Client, b) veillera à ce qu'au moins une destination de sauvegarde soit dans un emplacement distant, séparé des systèmes de production, c) chiffrera les données de sauvegarde stockées sur des supports de sauvegarde portables et d) validera l'intégrité des processus de sauvegarde en réalisant régulièrement des tests de restauration de données. 



ANNEXE 3

Liste des Contrats auxquels l’Avenant s’applique

Prestations

Date de conclusion

Nom du Contrat

Date de conclusion













ANNEXE 4

Liste des sous-traitants ultérieurs


Nom du sous-traitant ultérieur


Nature de l’intervention du sous-traitant ultérieur

Lieu d’exécution de l’intervention du sous-traitant ultérieur

Identité

Online

Hébergement du site

BP 438 - 75366 Paris

CEDEX 08

Online SAS