DPA Fournisseur

Le présent Avenant relatif au traitement des données (« DPA ») fait partie intégrante de l’Accord conclu entre Quadient (agissant en qualité de Sous-traitant) et le Fournisseur (agissant en qualité de Sous-traitant ultérieur) pour la fourniture des services décrits ci-dessous (l’« Accord »), et y est soumis.

CONSIDÉRANT

I. Quadient agit en qualité de Sous-traitant pour le compte de son Client, qui est le Responsable du traitement ;

II. Quadient souhaite désigner le Fournisseur comme son Sous-traitant ultérieur afin de soutenir le Service tel que défini dans l’Accord ;

III. Les parties souhaitent définir leurs obligations respectives aux fins du respect des Lois applicables en matière de protection des données dans le cadre d’un tel Traitement.

1. Définitions

1.1. "Affilié" désigne une entité qui contrôle directement ou indirectement une partie, est contrôlée par celle-ci, ou est placée sous contrôle commun avec elle. Le « Contrôle » désigne la détention ou le contrôle direct ou indirect de 50 % ou plus des droits de vote de l’entité concernée, ou la capacité de diriger ou de contrôler les décisions de gestion de cette entité.

1.2. "Accord" désigne le contrat-cadre, bon de commande, énoncé des travaux ou tout autre instrument écrit conclu entre Quadient et le Fournisseur régissant le Service.

1.3. "Traitement fondé sur l’IA" (le cas échéant) désigne les activités de Traitement réalisées par le Fournisseur dans le cadre des Services qui impliquent un Système d’intelligence artificielle, y compris l’apprentissage automatique, la prise de décision automatisée ou l’IA générative.

1.4. "Système d’intelligence artificielle" (le cas échéant) désigne un système fondé sur une machine conçu pour fonctionner avec divers niveaux d’autonomie et susceptible de générer des sorties telles que des prédictions, recommandations, classifications ou contenus pouvant influencer des environnements physiques ou virtuels, tel que défini par les lois et réglementations applicables en matière d’intelligence artificielle, y compris, le cas échéant, le Règlement européen sur l’intelligence artificielle.

1.5. "Responsable du traitement" désigne la personne ou l’entité qui détermine les finalités et les moyens du Traitement des Données à caractère personnel.

1.6. "Client" désigne le client de Quadient qui est le Responsable du traitement des Données à caractère personnel que Quadient traite au titre de l’accord conclu avec ce client.

1.7. "Incident relatif aux données" désigne le vol, la destruction, l’altération, la dégradation, la perte, l’utilisation, la divulgation, le Traitement ou l’accès aux Données à caractère personnel, effectif ou raisonnablement suspecté, qui est illicite, non autorisé, effectué par une personne non autorisée à le faire, qui contrevient aux politiques ou procédures, ou qui viole le présent DPA ou engendre une obligation de notification en vertu des Lois sur la protection des données.

1.8. "Lois sur la protection des données" désigne le RGPD, le RGPD britannique, la loi suisse sur la protection des données (nLPD) du 1er septembre 2023, ainsi que les lois fédérales et étatiques des États-Unis relatives à la confidentialité des données, y compris le California Consumer Privacy Act et ses règlements d’application (le « CCPA »), dans chaque cas tels que modifiés périodiquement et uniquement dans la mesure applicable au Traitement des Données à caractère personnel du Client par le Fournisseur au titre de l’Accord.

1.9. "Personne concernée" désigne une personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.

1.10. "Demande d’une personne concernée" désigne une demande, notification ou réclamation émanant d’une Personne concernée, ou présentée pour son compte, en vertu des Lois sur la protection des données.

1.11. "EEE" désigne l’Espace économique européen.

1.12. "Date d’entrée en vigueur" désigne la date de la dernière signature indiquée dans le présent Accord.

1.13. "UE" désigne l’Union européenne.

1.14. "Données à caractère personnel" désigne toute information se rapportant à une personne physique identifiée ou identifiable que le Fournisseur traite pour le compte de Quadient (pour le Client) dans le cadre de la fourniture des Services.

1.15. "Sous-traitant" désigne la personne ou l’entité qui Traite des Données à caractère personnel pour le compte du Responsable du traitement.

1.16. "Traitement" désigne toute opération ou tout ensemble d’opérations effectuées sur des Données à caractère personnel, par des procédés automatisés ou non, telles que la collecte, l’enregistrement, la conservation, l’organisation, la structuration, le stockage, l’adaptation, la modification, l’extraction, la consultation, le transfert, l’utilisation, la divulgation, la transmission, la diffusion, le rapprochement, l’interconnexion, la limitation, l’effacement ou la destruction.

1.17. "CCT" désigne les Clauses contractuelles types adoptées par la Commission européenne pour le transfert de données à caractère personnel vers des pays tiers, y compris le Module trois (Sous-traitant à Sous-traitant ultérieur), telles qu’elles peuvent être modifiées ou remplacées périodiquement.

1.18. "Sous-traitant ultérieur" désigne toute personne ou entité engagée par Quadient (Sous-traitant) pour Traiter des Données à caractère personnel pour son compte.

1.19. "Sous-traitant ultérieur subséquent" désigne tout Sous-traitant ultérieur engagé par le Prestataire de services tel qu’énuméré à l’Annexe I.B 9.

1.20. "Autorité de contrôle" désigne une autorité publique indépendante établie en vertu du RGPD ou d’autres Lois sur la protection des données.

1.21. "RGPD britannique" désigne le Data Protection Act 2018 du Royaume-Uni et le Règlement général britannique sur la protection des données.

1.22. "Avenant britannique" désigne l’International Data Transfer Addendum émis par l’Information Commissioner du Royaume-Uni en vertu de l’article 119A(1) du Data Protection Act 2018, tel que modifié périodiquement.

2. Relation entre les parties

Les parties reconnaissent et conviennent que le Client est le Responsable du traitement, que Quadient est le Sous-traitant agissant pour le compte du Client et que le Fournisseur est engagé par Quadient en qualité de Sous-traitant ultérieur en ce qui concerne les Données à caractère personnel. Entre les parties, Quadient a seul le droit de donner des instructions au Fournisseur concernant le Traitement des Données à caractère personnel, lesquelles reflètent les instructions documentées du Client. Quadient conclut le présent DPA en son nom propre et pour le compte de ses Affiliés concernés agissant en qualité de Sous-traitant pour le Client.

3. Obligations des parties

3.1. Respect des lois. Chaque partie se conforme aux Lois applicables en matière de protection des données. Quadient divulgue des Données à caractère personnel au Fournisseur uniquement à des fins commerciales valables et pour l’exécution des Services.

3.2. Activités de Traitement. Quadient détermine et donne instruction au Fournisseur quant à la portée, aux finalités et aux modalités selon lesquelles les Données à caractère personnel doivent être Traitées. Le Fournisseur informe rapidement Quadient si, à son avis, une instruction enfreint les Lois sur la protection des données. Le Fournisseur ne Traite les Données à caractère personnel que conformément au présent DPA et à toute instruction spécifique et écrite fournie par un représentant autorisé de Quadient, et ne Traite pas les Données à caractère personnel d’une manière qui ferait manquer Quadient à ses obligations au titre des Lois sur la protection des données. Il est interdit au Fournisseur : (i) de vendre ou de partager des Données à caractère personnel ; (ii) de conserver, utiliser, Traiter ou divulguer des Données à caractère personnel à toute fin autre que l’exécution des Services ou telle qu’autorisée par Quadient ; (iii) de conserver, utiliser ou divulguer des Données à caractère personnel en dehors de la relation commerciale directe entre Quadient et le Fournisseur ; et (iv) de combiner des Données à caractère personnel avec d’autres données, sauf autorisation expresse et écrite de Quadient.

3.3. Avant d’utiliser tout Système d’IA dans les Services, et avant toute modification substantielle d’une telle utilisation, le Fournisseur devrait évaluer si la fonctionnalité d’IA concernée est susceptible de relever d’une utilisation interdite, d’une catégorie à haut risque ou d’une autre catégorie réglementée en vertu du droit applicable relatif à l’IA, et devrait notifier Quadient lorsque cette classification pourrait raisonnablement affecter les obligations légales, la décision d’achat ou l’évaluation des risques de Quadient.

Lorsque des sorties d’IA sont utilisées comme aide à la décision dans les Services, le Fournisseur devrait concevoir le flux de travail de sorte que du personnel dûment formé puisse examiner, questionner, suspendre ou remplacer les sorties appuyées par l’IA lorsque cela est nécessaire.

3.4. Restrictions relatives à l’entraînement des modèles. Sauf autorisation écrite expresse de Quadient et dans la mesure permise par la loi applicable, le Fournisseur ne devrait pas utiliser les Données à caractère personnel traitées au titre du présent DPA pour entraîner, affiner, tester, évaluer ou améliorer de quelque autre manière que ce soit un Système d’intelligence artificielle, y compris au bénéfice d’autres clients ou aux fins d’amélioration générale des modèles.

3.5. Notification de non-conformité. Le Fournisseur informe Quadient, sans retard injustifié et en tout état de cause dans les 24 heures suivant la découverte : (a) dès qu’il prend connaissance de toute violation des Lois sur la protection des données concernant les Données à caractère personnel ; (b) si les Données à caractère personnel ont été Traitées d’une manière incompatible avec le présent DPA, les instructions de Quadient ou les Lois sur la protection des données ; ou (c) s’il ne peut pas se conformer, ou ne s’est pas conformé, à toute partie du présent DPA ou des Lois sur la protection des données. Dans ces cas, le Fournisseur prendra toutes les mesures requises par Quadient pour remédier à toute non-conformité ou cesser tout Traitement ultérieur, et Quadient pourra restreindre l’accès aux Données à caractère personnel ou résilier le présent DPA et l’Accord sans pénalité.

3.6. Droits des Personnes concernées. Si le Fournisseur reçoit une Demande d’une personne concernée, il en informe Quadient dans un délai de 48 heures et redirige rapidement la demande vers Quadient (sauf si la réponse fait partie des Services). Le Fournisseur ne répondra pas à ces demandes sans l’autorisation préalable de Quadient, sauf obligation légale. Le Fournisseur coopère avec Quadient pour répondre aux Demandes des personnes concernées, y compris les demandes de suppression et d’accès, et fait en sorte que ses Sous-traitants ultérieurs fassent de même.

3.7. Déclaration relative à l’IA (le cas échéant). Le Fournisseur déclare à Quadient, avant le déploiement et en cas de changement substantiel, si les Services impliquent un Traitement fondé sur l’IA, y compris la prise de décision automatisée, le profilage, l’IA générative ou toute autre fonctionnalité pertinente liée à l’IA au regard des obligations de conformité de Quadient, et fournit une description générale de cette utilisation.

3.8. Sous-traitance ultérieure subséquente. Le Fournisseur ne sous-traite plus avant aucun Traitement de Données à caractère personnel à un tiers sans l’autorisation écrite préalable de Quadient et, le cas échéant, l’autorisation du Client. Le Fournisseur fournit un préavis écrit d’au moins 30 jours avant toute modification proposée concernant son Sous-traitant ultérieur subséquent. Quadient (et, le cas échéant, le Client) peut s’opposer à toute désignation ou remplacement d’un Sous-traitant ultérieur subséquent. Dans ce cas, les parties discuteront de bonne foi d’alternatives commercialement raisonnables ; à défaut d’accord, Quadient pourra résilier les Services concernés sans pénalité. Le Fournisseur impose à chaque Sous-traitant ultérieur subséquent autorisé des obligations de protection des données au moins aussi contraignantes que celles énoncées dans le présent DPA et dans les Lois applicables sur la protection des données, et demeure pleinement responsable des actes et omissions de ce Sous-traitant ultérieur subséquent.Assistance. Sans frais supplémentaires, le Fournisseur apporte une assistance raisonnable à Quadient relativement au Traitement afin de permettre à Quadient de respecter ses obligations au titre des Lois sur la protection des données, y compris les articles 32 à 36 du RGPD, et de répondre aux demandes des Autorités de contrôle. Si le Fournisseur reçoit une correspondance ou une demande d’une Autorité de contrôle relative aux Données à caractère personnel, il en informe rapidement Quadient, sauf interdiction légale.

3.9. Soutien réglementaire relatif à l’IA (le cas échéant). Lorsque cela est pertinent pour les Services, le Fournisseur devrait conserver et fournir, sur demande raisonnable, la documentation raisonnablement nécessaire pour soutenir la conformité de Quadient aux réglementations applicables en matière d’IA, y compris les descriptions des fonctionnalités d’IA, la finalité prévue, les limites connues, les contrôles de gouvernance, les pratiques de journalisation et de surveillance, les mesures de supervision humaine, la sous-traitance substantielle et les processus de notification des incidents liés à l’IA.

3.10. Personnel. Le Fournisseur veille à ce que le personnel participant au Traitement soit informé du caractère confidentiel des Données à caractère personnel, ait reçu une formation appropriée, soit soumis à des obligations écrites de confidentialité et n’accède aux Données à caractère personnel que dans la mesure nécessaire à l’exécution des Services.

3.11. Demandes gouvernementales et judiciaires. Le Fournisseur a mis en œuvre des mesures visant à encadrer la divulgation de Données à caractère personnel à des entités gouvernementales. Sauf interdiction légale, le Fournisseur informe Quadient dans les 48 heures de toute demande légale de divulgation de Données à caractère personnel, coopère sans frais si Quadient choisit de contester cette divulgation, et limite la divulgation au volume minimal nécessaire pour se conformer à la demande.

4. Sécurité des données

Le Fournisseur maintient des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque, au moins équivalent à celui prévu à l’Annexe II, et améliore ces mesures pendant la durée du présent DPA afin de les aligner sur les normes sectorielles alors en vigueur.

5. Incidents relatifs aux données

Le Fournisseur informe Quadient d’un Incident relatif aux données sans retard injustifié et, en tout état de cause, dans les 24 heures suivant sa découverte. Cette notification comprend la cause, les données et catégories de Personnes concernées affectées, les mesures correctives prises et les informations requises pour permettre à Quadient de satisfaire à ses obligations légales. Le Fournisseur contient, enquête et remédie rapidement à l’Incident relatif aux données et coopère avec Quadient dans les notifications aux Autorités de contrôle et aux Personnes concernées. Le Fournisseur ne fait aucune déclaration ni notification concernant un Incident relatif aux données sans l’approbation écrite préalable de Quadient. La survenance d’un Incident relatif aux données constitue une violation substantielle du présent DPA.

6. Transfert de données

Dans la mesure où des Données à caractère personnel provenant de l’EEE, de la Suisse ou du Royaume-Uni sont consultées, traitées, transférées au Fournisseur ou par celui-ci, ou vers tout autre pays qui n’assure pas un niveau de protection adéquat, les parties conviennent de mettre en œuvre un mécanisme de transfert valable tel que requis par les Lois sur la protection des données, y compris les CCT (Module trois : Sous-traitant à Sous-traitant ultérieur) et, le cas échéant, l’Avenant britannique. Si d’autres mécanismes de transfert deviennent disponibles et juridiquement suffisants, les parties peuvent convenir de s’y appuyer. Lorsque plusieurs mécanismes de transfert s’appliquent, les CCT prévalent dans la mesure requise par la loi. Les Clauses contractuelles types applicables et l’Avenant britannique sont disponibles au lien suivant : Clauses contractuelles types | Quadient.

7. Durée et résiliation

Le présent DPA prend effet à la Date d’entrée en vigueur et se poursuit jusqu’à la première des dates suivantes : (i) résiliation ou expiration de l’Accord ; ou (ii) résiliation conformément au présent article. Quadient peut résilier le présent DPA et l’Accord avec effet immédiat si le Fournisseur commet une violation substantielle du présent DPA.

8. Restitution et destruction des données

À la résiliation des Services ou sur instruction écrite de Quadient à tout moment, le Fournisseur restitue rapidement à Quadient toutes les Données à caractère personnel et supprime définitivement toutes les copies en sa possession ou sous son contrôle, et fait en sorte que ses Sous-traitants ultérieurs fassent de même, sauf si la conservation est requise par la loi applicable. Sur demande, le Fournisseur fournit une attestation écrite de cette restitution et suppression. En cas de restitution des données, le Fournisseur remet une copie de toutes les Données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine, sans frais supplémentaires.

9. Audit

Le Fournisseur met à la disposition de Quadient toutes les informations nécessaires pour démontrer le respect du présent DPA et des Lois applicables en matière de protection des données, et permet et contribue aux audits, y compris les inspections, menés par Quadient, le Client ou un auditeur indépendant mandaté par Quadient, sans frais supplémentaires, au maximum une fois par an sauf si la loi l’exige ou à la suite d’un Incident relatif aux données. Le Fournisseur coopère à tout audit réalisé par une Autorité de contrôle et supporte ses propres coûts liés à cet audit.

10. Indemnisation

Le Fournisseur indemnise, défend et garantit Quadient, ses Affiliés ainsi que leurs administrateurs, dirigeants, employés et agents respectifs contre toutes réclamations, dommages, pénalités, amendes, coûts et dépenses (y compris les honoraires raisonnables d’avocats) découlant de ou liés à : (i) la violation du présent DPA par le Fournisseur ; (ii) tout Incident relatif aux données ; ou (iii) les actes ou omissions de ses Sous-traitants ultérieurs. Aucune limitation de responsabilité prévue dans l’Accord ne s’applique aux obligations du Fournisseur au titre du présent article dans la mesure interdite par la loi applicable.

11. Conditions générales

11.1. Interprétation. En cas de conflit entre l’Accord et le présent DPA, le présent DPA prévaut en ce qui concerne le Traitement des Données à caractère personnel. Si et dans la mesure où les CCT entrent en conflit avec une disposition du présent DPA, les CCT prévalent dans la mesure du conflit.

11.2. Affiliés. En signant le présent DPA, Quadient le conclut en son nom propre et, le cas échéant, pour le compte de ses Affilié(s) agissant en qualité de Sous-traitant pour le Client. Quadient peut exercer tout droit ou recours au titre du présent DPA pour le compte de ces Affiliés.

11.3. Droit applicable / juridiction compétente. Le présent DPA est interprété et exécuté conformément aux lois de l’Accord principal, sans égard aux principes de conflits de lois, et les parties se soumettent à la compétence exclusive du tribunal tel que prévu dans l’Accord.

11.4. Modifications. Le présent DPA ne peut être modifié que par un écrit signé par les représentants autorisés des deux parties ; étant précisé que le présent DPA sera automatiquement modifié dans la mesure nécessaire pour se conformer aux exigences impératives des Lois sur la protection des données lorsqu’elles entrent en vigueur.

11.5. Renonciation. Aucun manquement ou retard de l’une ou l’autre partie dans l’exercice d’un droit au titre du présent DPA ne constitue une renonciation à ce droit. Une renonciation concernant un événement ne saurait être interprétée comme une renonciation à tout événement ultérieur.

11.6. Bénéficiaires tiers. Sauf exigence des Lois applicables sur la protection des données ou des CCT (en vertu desquelles le Client peut disposer de droits en tant que bénéficiaire tiers), le présent DPA ne confère aucun droit à des bénéficiaires tiers.

11.7. Notifications. Toutes les notifications au titre du présent DPA sont effectuées conformément aux dispositions relatives aux notifications de l’Accord.

11.8. Intégralité de l’accord. Le présent DPA constitue la déclaration finale, complète et exclusive des parties concernant son objet et remplace toutes communications antérieures ou contemporaines s’y rapportant.

11.9. Divisibilité. Si une disposition du présent DPA est jugée invalide ou inapplicable par une juridiction compétente, les autres dispositions demeurent pleinement en vigueur.

11.10. Exemplaires. Le présent DPA peut être signé en plusieurs exemplaires, y compris par signature et remise électroniques, chacun étant réputé constituer un original et l’ensemble constituant un seul et même instrument.

EN FOI DE QUOI

Les parties ont fait signer le présent DPA par leurs représentants dûment habilités à la Date d’entrée en vigueur.

ANNEXE I 

A. LISTE DES PARTIES 

Exportateur de données : 

  • Prestataire de services : tel que défini dans le Contrat de services 
  • Adresse et coordonnées du Prestataire de services telles que désignées dans l’Accord 
  • Contact e-mail du responsable de la protection de la vie privée : tel que défini dans le Contrat de services 
  • Activités : Prestataire de services, fournisseur des Services 

Importateur de données :

  • Quadient et adresse : tel que défini dans le Contrat de services 
  • Responsable de la protection de la vie privée : Privacyteam@quadient.com
  • Activités : Quadient, bénéficiaire des Services 

B. DESCRIPTION DU TRANSFERT 

CATÉGORIES DE PERSONNES CONCERNÉES. Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées, sauf modification contraire dans l’Accord :

a) prospects, clients potentiels, fournisseurs et clients ainsi que leurs employés, agents et utilisateurs finaux respectifs ;

b) employés, agents et utilisateurs finaux de Quadient ainsi que les contractants de Quadient.

CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL TRAITÉES Les données à caractère personnel transférées concernent les catégories de données suivantes, sauf modification contraire dans l’Accord :

Prénom et nom, coordonnées (e-mail, téléphone, adresse physique) et données financières (numéros de compte bancaire).

DONNÉES SENSIBLES (le cas échéant). Les données à caractère personnel transférées concernent les catégories suivantes de données sensibles :

Aucune

FRÉQUENCE. Le transfert de données à caractère personnel aura lieu selon la fréquence suivante :

Périodiquement pendant la durée de l’Accord jusqu’à ce que le Fournisseur achève les Services pour Quadient.

NATURE. La nature du transfert de données à caractère personnel est la suivante :

Le Fournisseur traitera les Données à caractère personnel de Quadient aux fins de fournir les Services et conformément à l’Accord ou au DPA.

FINALITÉS DU/DES TRANSFERT(S). Le transfert est effectué aux fins suivantes :

Le transfert vise à permettre la relation et l’exécution de l’Accord entre les parties.

INFORMATIONS UTILES SUPPLÉMENTAIRES (limites de conservation et autres informations pertinentes).

Toute donnée à caractère personnel transférée entre les parties ne peut être conservée que pendant la durée autorisée au titre de l’Accord entre les parties.

POUR LES TRANSFERTS À DES (SOUS-)TRAITANTS. Toute donnée à caractère personnel transférée entre les parties ne peut être conservée que pendant la durée autorisée au titre de l’Accord entre les parties.

Veuillez consulter l’Accord.

LISTE DES SOUS-TRAITANTS ULTÉRIEURS SUBSÉQUENTS.

Veuillez consulter l’Accord. 

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Commission Nationale de l’Informatique et des Libertés (France). 

ANNEX II: DES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

Compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, l’importateur de données a mis en œuvre des mesures techniques et organisationnelles appropriées destinées à assurer un niveau de sécurité adapté au risque. Tel qu’utilisé ci-dessous, le terme « Données » aura la même signification que « Données à caractère personnel » dans le DPA

Domain 

Practices 

Organisation de la sécurité de l’information 

Responsabilité en matière de sécurité. Chaque Partie désigne un ou plusieurs responsables de la sécurité chargés de coordonner et de surveiller les règles et procédures de sécurité.

Rôles et responsabilités en matière de sécurité. Le personnel de chaque Partie ayant accès aux Données est soumis à des obligations de confidentialité.

Programme de gestion des risques. Chaque Partie réalise une évaluation des risques avant de traiter les Données ou de lancer le service correspondant. 
Chaque Partie conserve ses documents de sécurité conformément à ses exigences de conservation lorsqu’ils ne sont plus en vigueur. 

Gestion des actifs 

Inventaire des actifs. Chaque Partie tient un inventaire de tous les actifs sur lesquels des Données sont stockées. L’accès aux inventaires de ces actifs est limité au personnel autorisé par écrit à y accéder.

Traitement des actifs 
- Chaque Partie classe les Données afin d’aider à les identifier et de permettre que l’accès à celles-ci soit limité de manière appropriée.

- Chaque Partie impose des restrictions à l’impression des Données et dispose de procédures pour l’élimination des documents imprimés contenant des Données.

- Le personnel d’une Partie obtient une autorisation interne avant de stocker des Données sur des dispositifs portables, d’accéder à distance aux Données ou de traiter les Données en dehors de ses locaux. 

Sécurité des Ressources Humaines 

Formation à la sécurité. Chaque Partie informe son personnel des procédures de sécurité pertinentes et de leurs rôles respectifs. Chaque Partie informe également son personnel des conséquences possibles d’une violation des règles et procédures de sécurité. 

Sécurité physique et environnementale 

Accès physique aux installations. Chaque Partie limite l’accès aux installations où se trouvent les systèmes d’information traitant les Données aux personnes identifiées et autorisées.

Protection contre les perturbations. Chaque Partie utilise divers systèmes conformes aux normes du secteur pour se protéger contre la perte de Données due à une défaillance de l’alimentation électrique ou à des interférences de ligne.

Mise au rebut des composants. Le Sous-traitant utilise des processus conformes aux normes du secteur pour supprimer les Données lorsqu’elles ne sont plus nécessaires. 

Gestion des communications et des opérations 

Politique opérationnelle. Chaque Partie tient à jour des documents de sécurité décrivant ses mesures de sécurité ainsi que les procédures et responsabilités pertinentes de son personnel ayant accès aux Données.

Procédures de récupération des Données.

- De manière continue, mais en aucun cas moins fréquemment qu’une fois par semaine (sauf si aucune mise à jour n’a eu lieu pendant cette période), Chaque Partie maintient plusieurs sauvegardes des Données à partir desquelles ces données peuvent être récupérées.

- Chaque Partie stocke les sauvegardes des Données et les procédures de récupération des données dans un lieu différent de celui où se trouve l’équipement informatique principal traitant les Données.

- Chaque Partie dispose de procédures spécifiques régissant l’accès aux sauvegardes des Données.

- Chaque Partie consigne les efforts de restauration des données, y compris la personne responsable, la description des Données restaurées et, le cas échéant, la personne responsable et les Données (le cas échéant) qui ont dû être saisies manuellement dans le processus de récupération des données.

Logiciels malveillants. Chaque Partie dispose de contrôles anti-malware afin d’aider à éviter que des logiciels malveillants n’obtiennent un accès non autorisé aux Données, y compris les logiciels malveillants provenant de réseaux publics.

Données au-delà des limites du système d’information. 
- Chaque Partie chiffre les Données transmises sur des réseaux publics. 
- Chaque Partie restreint l’accès aux Données stockées sur des supports quittant ses locaux.

Journalisation des événements. Chaque Partie journalise l’accès aux systèmes d’information contenant des Données et leur utilisation, en enregistrant l’identifiant d’accès, l’heure, l’autorisation accordée ou refusée, ainsi que l’activité pertinente.

Mesures de sécurité relatives à l’IA (le cas échéant). Lorsque le Traitement fondé sur l’IA est utilisé, le Fournisseur devrait mettre en œuvre des mesures visant à réduire les risques propres à l’IA (par exemple, contrôles d’accès aux points de terminaison des modèles, protection contre l’injection de prompts/la fuite de données, surveillance des schémas d’utilisation anormaux et procédures de suspension ou d’isolement des fonctionnalités d’IA lorsqu’un incident de sécurité est suspecté). 

Contrôle d’accès 

Politique d’accès.

- Chaque Partie tient un registre des privilèges de sécurité des personnes ayant accès aux Données. 
Autorisation d’accès

- Chaque Partie tient à jour un registre du personnel autorisé à accéder à ses systèmes contenant des Données.

- Chaque Partie désactive les identifiants d’authentification qui n’ont pas été utilisés pendant une période n’excédant pas six mois.

- Chaque Partie identifie les membres du personnel pouvant accorder, modifier ou annuler l’accès autorisé aux Données et aux ressources.

- Chaque Partie veille à ce que les personnes disposent d’identifiants/connexions distincts.

Besoin d’en connaître

- Le personnel de support technique n’est autorisé à accéder aux Données que lorsque cela est nécessaire.

- Chaque Partie limite l’accès aux Données aux seules personnes qui en ont besoin pour exercer leur fonction. 
Intégrité et confidentialité.

- Chaque Partie donne instruction à son personnel de désactiver les sessions administratives lorsqu’il quitte les locaux sous son contrôle ou lorsque les ordinateurs sont autrement laissés sans surveillance.

- Chaque Partie stocke les mots de passe de manière à les rendre inintelligibles pendant leur période de validité.

Authentification 

- Chaque Partie utilise des pratiques conformes aux normes du secteur pour identifier et authentifier les utilisateurs qui tentent d’accéder aux systèmes d’information.

- Lorsque les mécanismes d’authentification reposent sur des mots de passe, Chaque Partie exige que les mots de passe soient renouvelés régulièrement.

- Lorsque les mécanismes d’authentification reposent sur des mots de passe, Chaque Partie exige que le mot de passe comporte au moins huit caractères.

- Chaque Partie veille à ce que les identifiants désactivés ou expirés ne soient pas attribués à d’autres personnes.

- Chaque Partie surveille les tentatives répétées d’accès au système d’information au moyen d’un mot de passe invalide.

- Chaque Partie maintient des procédures conformes aux normes du secteur pour désactiver les mots de passe corrompus ou divulgués par inadvertance.

- Chaque Partie utilise des pratiques de protection des mots de passe conformes aux normes du secteur, y compris des pratiques destinées à préserver la confidentialité et l’intégrité des mots de passe lors de leur attribution et distribution, ainsi que pendant leur stockage. 
Sécurité du réseau. Chaque Partie dispose de contrôles visant à éviter que des personnes ne s’attribuent des droits d’accès qui ne leur ont pas été accordés afin d’accéder à des Données auxquelles elles ne sont pas autorisées à accéder. 

Gestion des incidents de sécurité de l’information 

Processus de réponse aux incidents.

- Chaque Partie tient un registre des violations de sécurité comprenant une description de la violation, la période, les conséquences de la violation, la source du signalement ainsi que les principales actions d’atténuation et de récupération.

- Pour chaque violation constituant un Incident de sécurité, la notification par le Sous-traitant au Responsable du traitement est effectuée sans retard injustifié.

Surveillance du service.

- Le personnel opérationnel de chaque Partie vérifie régulièrement les journaux afin de proposer des mesures correctives si nécessaire. 

Gestion de la continuité d’activité 

Le Sous-traitant maintient des plans d’urgence et de continuité pour les installations dans lesquelles se trouvent ses systèmes d’information traitant les Données.

Le stockage redondant du Sous-traitant et ses procédures de récupération des données sont conçus pour tenter de reconstruire les Données dans leur état d’origine ou dans leur dernier état répliqué antérieur au moment où elles ont été perdues ou détruites.