Accord sur le traitement des données

En vigueur à partir du 26 novembre 2025

Conformément aux exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la Protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD »), ainsi que les lois sur la protection des données applicables au Royaume-Uni de Grande-Bretagne et d'Irlande du Nord, ESET (le « Sous-traitant ») et le Client (le « Responsable du traitement ») entrent en relation contractuelle aux fins du traitement des données afin de définir les conditions générales du traitement des données à caractère personnel, les modalités de leur protection et les autres droits et obligations des deux parties en matière de traitement des données à caractère personnel des personnes concernées pour le compte du responsable du traitement dans le cadre de l'exécution de l'objet des présentes Conditions en tant que contrat principal.

1. Données à caractère personnel Afin de fournir les Services conformément aux Conditions, il peut être nécessaire que le Sous-traitant traite des informations relatives à une personne physique identifiée ou identifiable (les « Données à caractère personnel ») pour le compte du Responsable du traitement.
2. Autorisation. Le Responsable du traitement autorise le Sous-traitant à traiter les Données à caractère personnel, y compris les instructions suivantes :
   1. La « finalité du traitement » est la fourniture des Services commandés, tels que définis dans les Annexes, conformément aux Conditions.
   2. La « période de traitement » est la période pendant laquelle les Services sont fournis.
   3. La « portée et les catégories des Données à caractère personnel » comprennent toutes les Données à caractère personnel fournies ou mises à disposition par le Responsable du traitement lors de la fourniture des Services, en particulier toutes les Données à caractère personnel soumises dans le cadre de demandes de Services ou lors du traitement de ces demandes, ou toutes les Données à caractère personnel auxquelles le Sous-traitant peut avoir accès ou qui peuvent être mises à sa disposition si le Responsable du traitement lui a accordé un accès temporaire ou permanent à ses Produits ou appareils dans le cadre de la prestation des Services.
   4. La « Personne concernée » désigne toute personne physique qui est un utilisateur autorisé des appareils du Responsable du traitement et/ou un employé ou un sous-traitant du Responsable du traitement et, le cas échéant, de ses entités affiliées, ainsi que toute personne dont les données peuvent être fournies ou mises à la disposition du Sous-traitant par le Responsable du traitement dans le cadre de la prestation des Services.
   5. Les « opérations de traitement » désignent toutes les opérations nécessaires aux fins du traitement.
   6. Les « Instructions documentées » signifient les instructions pour le traitement des Données à caractère personnel décrites dans les présentes Conditions, leurs Annexes, la documentation du Service ou les demandes de prestation du Service.
3. Obligations du Sous-traitant. Le Sous-traitant est tenu de respecter les obligations suivantes :
   1. traiter les Données à caractère personnel dans le but de fournir les Services conformément aux Conditions et uniquement sur la base d'instructions documentées, y compris en ce qui concerne les transferts de Données à caractère personnel vers un pays tiers, sauf si la législation de l'UE, d'un État membre ou du Royaume-Uni l'exige ; dans ce cas, le Sous-traitant informe le Responsable du traitement de cette exigence légale avant le traitement, sauf si cette législation interdit cette information pour des raisons importantes d'intérêt public.
   2. Informer les personnes autorisées à traiter les Données à caractère personnel (ci-après dénommées « Personnes autorisées ») de leurs droits et devoirs conformément au GDPR, de leur responsabilité en cas de manquement à leurs devoirs et s'assurer que les Personnes autorisées à traiter les Données à caractère personnel se sont engagées à respecter la confidentialité et à suivre les instructions Documentées.
   3. Prendre toutes les mesures liées à la sécurité du traitement conformément à l'article 32 du RGPD, en tenant compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité approprié au risque lors du traitement des Données à caractère personnel du Responsable du traitement.
   4. Compte tenu de la nature du traitement, assister le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de remplir l'obligation qui lui incombe de répondre aux demandes d'exercice des droits de la Personne concernée énoncés au chapitre III du RGPD.
   5. Sur demande, fournir une assistance raisonnable au Responsable du traitement afin de garantir le respect des obligations prévues aux Articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant. Le Sous-traitant notifie au Responsable du traitement toute violation du traitement des données à caractère personnel ou de la sécurité des données à caractère personnel immédiatement après sa découverte. Le Sous-traitant coopère dans une mesure raisonnable à l'enquête et à la réparation d'une telle violation et prend des mesures raisonnables pour limiter les conséquences négatives ultérieures.
   6. Au choix du Responsable du traitement, supprimer ou restituer toutes les Données à caractère personnel traitées pour le compte du Responsable du traitement dans un délai de 30 (trente) jours ouvrables après la fin de la fourniture des Services liés au traitement, et supprimer les copies existantes, sauf si la législation de l'UE ou d'un État membre de l'UE exige la conservation de ces Données à caractère personnel. Le Responsable du traitement s'engage à informer le Sous-traitant de sa décision dans les dix (10) jours suivant la fin de la Période de traitement. Cette disposition n'affecte pas le droit du Sous-traitant de conserver les Données à caractère personnel dans la mesure nécessaire à des fins d'archivage conformément à la législation spéciale ou à des fins de constatation, d'exercice ou de défense d'un droit en justice.
   7. Tenir un registre à jour de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable du traitement.
   8. Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité dans le cadre des Conditions, de ses Annexes et de la documentation relative aux Services, et, si cela est strictement nécessaire, autoriser les audits menés par le Responsable du traitement ou un autre auditeur mandaté par le Responsable du traitement en relation avec le traitement effectué dans le cadre du présent Accord. En cas d'audit ou de contrôle du traitement des Données à caractère personnel par le Responsable du traitement, ce dernier est tenu d'informer le Sous-traitant par écrit au moins dix (10) jours avant l'audit ou le contrôle prévu.
4. Recrutement d'un autre Sous-traitant. Le Sous-traitant est généralement autorisé à engager un autre sous-traitant (le « Sous-traitant secondaire ») pour effectuer des activités de traitement spécifiques conformément aux Conditions, principalement le présent Accord et la documentation relative aux Services. Le Sous-traitant s'assure que tout Sous-traitant secondaire sera soumis aux mêmes obligations que celles énoncées dans le présent Accord. Même dans ce cas, le Sous-traitant reste entièrement responsable envers le Responsable du traitement pour le traitement de toute Donnée à caractère personnel par le Sous-traitant secondaire. Aux fins de la prestation des Services, le Sous-traitant engage le Distributeur en tant que Sous-traitant secondaire. Le Sous-traitant est tenu d'informer le Responsable du traitement de toute modification prévue concernant l'ajout ou le remplacement d'autres Sous-traitants secondaires, donnant ainsi au Responsable du traitement la possibilité de s'opposer à ces modifications. Toute objection à l'égard d'un nouveau sous-traitant secondaire doit être reçue dans les sept (7) jours ouvrables suivant la notification, faute de quoi le nouveau Sous-traitant sera considéré comme accepté par le Responsable du traitement. Si le Responsable du traitement s’oppose raisonnablement à un nouveau Sous-traitant ultérieur, et que l’objection ne peut être réglée de manière satisfaisante dans un délai raisonnable, le Responsable du traitement a le droit de résilier le présent accord sans indemnité moyennant un préavis écrit de trente (30) jours au Sous-traitant. Si l'objection du Responsable du traitement reste sans réponse 30 (trente) jours après avoir été soulevée et qu'aucun avis de résiliation n'a été reçu, le Responsable du traitement est réputé accepter le nouveau Sous-traitant.
5. Territoire du traitement. Le Sous-traitant mettra tout en œuvre pour s'assurer que le traitement ait lieu dans l'Espace économique européen ou un pays désigné comme étant sûr par décision de la Commission européenne d'après la décision du Responsable du traitement. Clauses contractuelles types (disponibles ici : Clauses contractuelles types | Services ESET | Aide en ligne ESET) s'appliquent en cas de transfert et de traitement de données à caractère personnel situées en dehors de l'Espace économique européen ou d'un pays désigné comme sûr par décision de la Commission européenne.
6. Sécurité. Le Sous-traitant est certifié ISO 27001 et utilise le cadre de la norme ISO 27001 pour mettre en place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. La conformité aux exigences réglementaires et contractuelles est régulièrement évaluée et examinée de la même manière que les autres infrastructures et processus du Sous-traitant, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. Le Sous-traitant a organisé la sécurité des données en utilisant le système ISMS basé sur ISO 27001. La documentation sur la sécurité comprend principalement des documents de politique pour la sécurité des informations, la sécurité physique et la sécurité des équipements, la gestion des incidents, le traitement des fuites de données et des incidents de sécurité, etc.
7. Mesures techniques et organisationnelles. Le Sous-traitant protège les Données à caractère personnel contre les dommages et la destruction accidentels et illicites, la perte accidentelle, la modification, l'accès non autorisé et la divulgation. À cette fin, le Sous-traitant adopte les mesures techniques et organisationnelles adéquates correspondant au mode de traitement et au risque que présente le traitement pour les droits des Personnes concernées, conformément aux exigences du RGPD. Une description détaillée des mesures techniques et organisationnelles figure dans la documentation relative à la sécurité du Produit concerné.
8. Coordonnées du Sous-traitant. Toutes les notifications, requêtes, demandes et autres communications relatives à la protection des données à caractère personnel doivent être adressées à ESET, spol. s.r.o., à l'attention de : Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.