Aide en ligne ESET

Rechercher Français (France)
Sélectionner la rubrique

Data Processing Agreement

Conformément aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et la libre circulation de ces données, et abrogeant la Directive 95/46/CE (ci-après « RGPD »), le Fournisseur (ci-après dénommé le « Sous-traitant ») et Vous (ci-après dénommé « Responsable du traitement ») entrez en relation contractuelle aux fins du traitement des données pour définir les modalités et conditions du traitement des données à caractère personnel, les modalités de sa protection, ainsi que d'autres droits et obligations des deux parties en ce qui concerne le traitement des données à caractère personnel des personnes concernées pour le compte du Responsable du traitement pendant la durée de l'exécution de l'objet des présents Termes en tant que contrat principal.

1. Traitement des Données à caractère personnel. Les services fournis conformément aux présentes Conditions comprennent le traitement d'informations relatives à une personne physique identifiée ou identifiable répertoriée dans la Politique de confidentialité (ci-après dénommées les « Données à caractère personnel »).

2. Autorisation. Le Responsable du traitement autorise le Sous-traitant à traiter les Données à caractère personnel, y compris les instructions suivantes :

(i) « Finalité du traitement » signifie la fourniture des services conformément aux présents Termes ; Le Sous-traitant n'est autorisé à traiter les Données à caractère personnel pour le compte du Responsable du traitement que dans le cadre de la fourniture des services demandés par ce dernier. Toutes les informations recueillies à des fins supplémentaires sont traitées en dehors de la relation contractuelle Responsable du traitement/Sous-traitant.

(ii) période de traitement signifie la période allant de la coopération prévue par les présents Termes à la cessation des services ;

(iii) champ d'application et catégories des données à caractère personnel. Les Services sont destinés uniquement au traitement des données à caractère personnel générales. Le Responsable du traitement est toutefois seul responsable de la détermination du champ d'application des données à caractère personnel.

(iv) « Personne concernée » signifie la personne physique en tant qu'utilisateur autorisé des appareils du Responsable du traitement ;

(v) traitement désigne toute opération ou tout ensemble d'opérations nécessaires au traitement ;

(vi) « Instructions documentées » signifie les instructions décrites dans les présents Termes, leurs Annexes, la Politique de confidentialité et la documentation du service. Le Responsable du traitement est chargé de l'admissibilité juridique du traitement des Données à caractère personnel par le Sous-traitant au regard des dispositions applicables respectives à la loi sur la protection des données.

3. Obligations du Sous-traitant. Le Sous-traitant s'engage à :

(i) traiter les Données à caractère personnel conformément aux instructions documentées et aux fins définies dans les Conditions, ses Annexes, la Politique de confidentialité, et la documentation du service ;

Informer les personnes autorisées à traiter les Données à caractère personnel (ci-après dénommées « Personnes autorisées ») de leurs droits et devoirs conformément au GDPR, de leur responsabilité en cas de manquement à leurs devoirs et s'assurer que les Personnes autorisées à traiter les Données à caractère personnel se sont engagées à respecter la confidentialité et à suivre les instructions Documentées.

(iii) mettre en place et suivre les mesures décrites dans les Conditions, ses Annexes, la Politique de confidentialité, et la documentation du service ;

(iv) aider le Responsable du traitement à répondre aux demandes des Personnes concernées en ce qui concerne leurs droits. Le Sous-traitant ne doit pas corriger, supprimer ou limiter le traitement des Données à caractère personnel sans les instructions du Responsable du traitement. Toutes les demandes de la Personne concernée relatives aux Données à caractère personnel traitées pour le compte du Responsable du traitement doivent être transmises à ce dernier sans délai.

(v) aider le Responsable du traitement à notifier la violation de données à caractère personnel à l'autorité de contrôle et à la Personne concernée ; Le Sous-traitant notifie au Responsable du traitement toute violation du traitement des données à caractère personnel ou de la sécurité des données à caractère personnel immédiatement après sa découverte. Le Sous-traitant coopère dans une mesure raisonnable à l'enquête et à la réparation d'une telle violation et prend des mesures raisonnables pour limiter les conséquences négatives ultérieures.

(vi) selon le choix du Responsable du traitement, supprimer ou renvoyer toutes les Données à caractère personnel au Responsable du traitement après la fin de la Période de traitement ; Le Responsable du traitement s'engage à informer le Sous-traitant de sa décision dans les dix (10) jours suivant la fin de la Période de traitement. Cette disposition n'affecte pas le droit du Sous-traitant de conserver les données à caractère personnel dans la mesure nécessaire à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique, à des fins statistiques ou à des fins de constatation, d'exercice ou de défense d'un droit en justice.

(vii) tenir un registre à jour de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable du traitement.

(viii) mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité dans le cadre des Conditions, de ses Annexes, de la Politique de confidentialité et de la documentation du service. En cas d'audit ou de contrôle du traitement des Données à caractère personnel par le Responsable du traitement, ce dernier est tenu d'informer le Sous-traitant par écrit au moins dix (30) jours avant l'audit ou le contrôle prévu.

4. Recrutement d'un autre Sous-traitant. Le Sous-traitant est autorisé à faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques, telles la fourniture d'un espace de stockage dans le cloud et de l'infrastructure pour le service, conformément aux Conditions, à ses Annexes, à la Politique de confidentialité et à la documentation du service. Actuellement, Microsoft fournit un stockage et une infrastructure cloud dans le cadre du service cloud Azure. Même dans ce cas, le Sous-traitant demeure le seul point de contact et la partie responsable du respect des obligations prévues dans les présents Termes, leurs Annexes, la Politique de confidentialité et la documentation du service. Le Sous-traitant s'engage à informer le Responsable du traitement de l'ajout ou du remplacement d'un autre Sous-traitant afin de pouvoir s'opposer à ce changement.

5. Territoire du traitement. Le Sous-traitant mettra tout en œuvre pour s’assurer que le traitement ait lieu dans l’Espace économique européen ou un pays désigné comme étant sûr par décision de la Commission européenne d’après la décision du Responsable du traitement. Les Clauses contractuelles types s'appliquent aux transferts et traitements effectués hors de l'Espace économique européen ou d'un pays désigné comme étant sûr par décision de la Commission européenne à la demande du Responsable du traitement.

6. Sécurité. Le Sous-traitant est certifié ISO 27001:2013 et utilise le cadre de la norme ISO 27001 pour mettre en place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. La conformité aux exigences réglementaires et contractuelles est régulièrement évaluée et examinée de la même manière que les autres infrastructures et opérations du Sous-traitant, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. Le Sous-traitant a organisé la sécurité des données en utilisant le système ISMS basé sur ISO 27001. La documentation sur la sécurité comprend principalement des documents de politique pour la sécurité des informations, la sécurité physique et la sécurité des équipements, la gestion des incidents, le traitement des fuites de données et des incidents de sécurité, etc.

7. Mesures techniques et organisationnelles. Le Sous-traitant protège les Données à caractère personnel contre les dommages et la destruction accidentels et illicites, la perte accidentelle, la modification, l'accès non autorisé et la divulgation. À cette fin, le Sous-traitant adopte les mesures techniques et organisationnelles adéquates correspondant au mode de traitement et au risque que présente le traitement pour les droits des Personnes concernées, conformément aux exigences du RGPD. Une description détaillée des mesures techniques et organisationnelles figure dans la Politique de sécurité.

8. Coordonnées du Sous-traitant. Toutes les notifications, requêtes, demandes et autres communications relatives à la protection des données à caractère personnel doivent être adressées à ESET, spol. s.r.o., à l'attention de : Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.