DPA Fournisseur Quadient Responsable du traitement
La présente annexe sur le Traitement des données ("DPA") fait partie intégrante de l’Accord de Services.
CONSIDÉRANT
Quadient, en son nom propre et au nom de ses sociétés affiliées ("Quadient") et la contrepartie acceptant le présent addendum relatif à la protection des données ("Société") ont conclu un accord et/ou signé un bon de commande pour la fourniture des Services, tel que modifié de temps à autre (le "Contrat"). Le présent addendum relatif à la protection des données ("DPA") vise à garantir le respect des obligations des parties en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles conformément au Contrat. Quadient et l’Entreprise sont désignés individuellement comme une "Partie" ou collectivement comme les "Parties". En cas de conflit entre le présent DPA et le Contrat, le présent DPA prévaudra.
1. DÉFINITIONS.
a. "Pays adéquat" désigne un pays ou un territoire reconnu par les Lois européenne sur la protection des données comme offrant une protection adéquate des Données personnel ;
b. "Affilié" désigne une entité qui contrôle directement ou indirectement Quadient, est contrôlée par Quadient ou est sous contrôle commun avec Quadient. Aux fins de la présente définition, le terme "contrôle" désigne la propriété ou le contrôle direct ou indirect de 50 % ou plus des droits de vote de l'entité concernée ou la capacité de diriger ou de contrôler les décisions de gestion de cette entité.
c. "Traitement assisté par l'IA" désigne les activités de Traitement effectuées par le Fournisseur de Services dans le cadre des Services qui impliquent un système d'intelligence artificielle, y compris l'apprentissage automatique, la prise de décision automatisée ou l'IA générative.
d. "Système d'intelligence artificielle" désigne un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie et susceptible de générer des résultats tels que des prévisions, des recommandations, des classifications ou des contenus pouvant influencer des environnements physiques ou virtuels, tel que défini dans les lois et réglementations applicables en matière d'intelligence artificielle, y compris la loi européenne sur l'intelligence artificielle, le cas échéant.
e. "Entreprise" ou "Responsable du traitement" désigne (i) la personne ou l'entité qui détermine les finalités et les moyens du traitement des Données personnel, et (ii) une personne ou une entité définie comme "Responsable du traitement", "Entreprise" ou tout autre terme similaire en vertu des Lois sur la protection des données.
f. "Lois sur la protection des données" désigne toutes les lois applicables régissant le Traitement des Données personnel, y compris, sans s'y limiter, (le règlement (CE) n° 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("RGPD") et la directive européenne sur la vie privée et les communications électroniques (directive 2002/58/CE) (la "directive e-Privacy").
g. Le RGPD britannique désigne le règlement général sur la protection des données du Royaume-Uni de 2018, la loi sur la protection des données de 1998 (collectivement, la "Lois européenne sur la protection des données") ; la législation locale du ou des lieux où le Traitement par une Partie et son personnel a lieu ; la loi californienne sur la protection de la vie privée des consommateurs de 2018 ("CCPA") ; la loi californienne sur les droits à la vie privée (la "CPRA"), dans chaque cas, toutes les dispositions susmentionnées, telles qu'applicables et telles que modifiées, remplacées ou complétées de temps à autre, ainsi que toutes les législations subordonnées adoptées en vertu de celles-ci, ainsi que tous les codes de pratique, règlements ou autres directives publiés par les gouvernements, agences, autorités de contrôle de la protection des données ou autres autorités des pays ou juridictions concernés.
h. "Data Privacy framework" désigne le cadre de protection des données UE-États-Unis, tel que défini par la décision (UE) 2023/1795 de la Commission européenne, et le cadre de protection des données Suisse-États-Unis, tel que défini par la loi fédérale sur la protection des données (LPD), RS 235.1, et la décision du Conseil fédéral suisse du 14 août 2024.
i. "EEE" désigne l'Espace économique européen.
j. "Données personnelles du responsable du traitement" désigne toutes les données personnelles fournies ou mises à disposition par une Partie à l'autre Partie dans le cadre du Contrat principal en rapport avec la fourniture ou l'utilisation (selon le cas) des Services par la Partie fournissant ces données.
k. "Services" désigne les services décrits dans le Contrat principal.
l. "Personne concernée" désigne une personne physique à laquelle se rapportent les Données personnelles du responsable du traitement.
m. "Traiter, Traitement et Traité" désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles du responsable du traitement ou sur des sous-ensembles de celles-ci, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
n. "Données personnelles" ou "informations personnelles" équivalentes désigne toute information se rapportant, directement ou indirectement, à une personne physique identifiée ou identifiable ou autrement telle que définie dans les lois applicables en matière de protection des données.
o. "Violation des données personnelles" désigne l'accès, la perte ou la divulgation non autorisés, le Traitements accidentels ou illégaux Des données personnelles du responsable du traitement.
p. "Personnel" désigne tous les dirigeants, administrateurs et employés, entrepreneurs indépendants ou prestataires de services d'une Partie ou de ses Affiliés.
q. "Prestataire de services" ou "Sous-traitant" désigne une entité qui traite des Données personnelles pour le compte d'une Entreprise ou d'un Responsable du traitement.
r. "Tiers" a la signification qui lui est attribuée dans les Lois sur la protection des données.
2. Rôle des Parties.
Chaque Partie est un Responsable du traitement indépendant des Données personnelles qu'elle collecte ou Traite conformément au Contrat. Chaque Partie est individuellement et séparément responsable du respect des obligations qui lui incombent en tant que Responsable du traitement en vertu des Lois sur la protection des données. Les Parties conviennent qu'elles ne sont pas des responsables conjoints du Traitement des Données personnelles du responsable du traitement. Chaque Partie déterminera individuellement les finalités et les moyens de son Traitement des Données personnel du responsable du traitement listé à l’Annexe 1. Aux fins de la CCPA et des autres Lois sur la protection des données applicables, chaque partie est considérée comme un Tiers.
3. Obligations des Parties.
a. Chaque Partie doit se conformer à toutes les exigences applicables des Lois sur la protection des données. Chaque Partie déclare et garantit à tout moment : (i) qu'elle dispose des droits et de l'autorité nécessaires pour conclure le présent DPA et pour exécuter ses obligations en vertu de celui-ci ; (ii) que l'exécution et la mise en œuvre du présent DPA et du Contrat ne violeront aucun accord auquel elle est partie ; (iii) et qu'elle a fourni toutes les informations requises aux Personnes concernées, y compris, le cas échéant, les Données personnelles qui peuvent être transmises à des Tiers aux fins du Contrat .
b. Sans limiter ce qui précède, chaque Partie maintiendra sur son site web une politique de confidentialité accessible au public et conforme aux Lois sur la protection des données.
c. Chaque Partie informera l'autre Partie par écrit de toute action ou instruction de l'autre Partie en vertu du présent DPA ou du Contrat qui, à son avis, enfreint les Lois sur la protection des données.
d. Sous réserve du présent DPA, chaque Partie, agissant en tant que Responsable du traitement, peut Traiter les Données personnelles du responsable du traitement conformément au Contrat et aux fins autorisées par celui-ci (les "Fins autorisées").
e. Une Partie qui a mis les Données personnelles du responsable du traitement à la disposition de l'autre Partie en vertu du Contrat ("Partie divulgatrice") aura le droit : (i) de prendre des mesures raisonnables et appropriées pour s'assurer que cette autre Partie («Partie réceptrice") utilise les Données personnelle du responsable du traitement d'une manière conforme aux obligations de la Partie divulgatrice en vertu des Lois sur la protection des données et comme l'exigent ces dernières, et (ii) après un préavis écrit raisonnable, prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée desdites Données personnelle du responsable du traitement et y remédier, en vertu des Lois sur la protection des données et comme l'exigent ces dernières. La Partie réceptrice informera la Partie divulgatrice si elle estime ne plus être en mesure de respecter ses obligations en vertu des Lois sur la protection des données. La Partie réceptrice reconnaît et accepte qu'elle ne reçoit les Données personnelles du responsable du traitement qu'aux fins limitées et spécifiques énoncées dans le Contrat. La Partie réceptrice doit fournir un niveau de protection de la vie privée au moins équivalent à celui requis par les Lois sur la protection des données pour ces Données personnelles du responsable du traitement.
4. Sécurité et confidentialité.
Chaque Partie mettra en œuvre les mesures techniques et organisationnelles appropriées définies à l'annexe II afin de protéger les Données personnelles du responsable du traitement contre tout accès non autorisé, accidentel ou illégal, toute perte, divulgation ou destruction. Si une Partie subit une Violation des données personnelles, elle en informe l'autre Partie sans retard injustifié, mais en tout état de cause dans les soixante-douze (72) heures suivant la confirmation de cette Violation des données personnelles, et les deux Parties coopèrent de bonne foi pour convenir et prendre les mesures nécessaires afin d'atténuer ou de remédier aux effets de la Violation des données personnelles. Aucune disposition du présent Contrat n'interdit à l'une ou l'autre des Parties de notifier la Violation des données personnelles aux autorités réglementaires, comme l'exigent les Lois sur la protection des données, avant d'en informer l'autre Partie, à condition que la Partie notifiant en informe l'autre Partie sans délai injustifié. Chaque Partie veille à ce que tout son personnel ayant accès aux Données personnelles du responsable du traitement et/ou les traitant soit tenu de préserver la confidentialité des Données personnelles du responsable du traitement.
5. Transferts de données.
5.1 Lorsque les Services impliquent le stockage et/ou le Traitement de Données personnelles du responsable du traitement qui transfèrent des Données personnel du responsable du traitement hors de l'UE, de l'EEE, de la Suisse ou du Royaume-Uni vers une juridiction qui n'est pas un Pays adéquat, et que les Lois européennes sur la protection des données s'appliquent aux transferts de ces données ("Données personnelles transférées"), les deux Parties conviennent que ces transferts sont régis comme suit :
(a) pour les Personnes concernées situées dans l'EEE, par la version inchangée des clauses contractuelles types figurant dans la décision 2021/914/UE de la Commission (MODULE UN : Transfert de responsable du traitement à responsable du traitement)(les "CCT UE") ; Les Parties conviennent de s'appuyer sur des mécanismes de transfert de données appropriés, conformément aux Lois sur la protection des données, qui peuvent inclure le Data Privacy Framework, les clauses contractuelles types ou d'autres mécanismes légalement reconnus. Si une Partie n'est pas en mesure ou devient incapable de se conformer à ces exigences, les Données personnelles ne seront traitées que dans la mesure où les Lois sur la protection des données le permettent. Les Parties s'efforceront de mettre en œuvre un mécanisme de transfert de données dans la mesure requise par les Lois sur la protection des données en ce qui concerne les Données personnelles.
(b) Dans le cas où le Service serait couvert par plusieurs mécanismes de transfert, le transfert des Données personnelles sera soumis à un seul mécanisme de transfert, selon le cas, et conformément à l'ordre de priorité suivant : (i) le Data Privacy Framework ; (ii) les clauses contractuelles types applicables ; et, si aucun des deux précédents n'est applicable, alors (iii) d'autres mécanismes de transfert de données alternatifs autorisés par les Lois sur la protection des données applicables s'appliqueront. (c) Dans la mesure où Quadient traite des Données personnelles provenant de l'EEE, du Royaume-Uni ou de la Suisse, Quadient déclare être auto-certifié dans le cadre du Data Privacy Framework et adhérer aux principes de protection des données.
(d) Les deux Responsables du traitement conviennent que lorsque le transfert de Données personnelles a lieu entre deux Responsables du traitement au sens du chapitre V du règlement (UE) 2016/679 et du chapitre 12 de la loi britannique 2018, les Responsables du traitement doivent utiliser le Module 1 des clauses contractuelles types adoptées par la Commission européenne conformément à l'article 46, paragraphe 2, du règlement (UE) 2016/679, et l'addendum britannique relatif au transfert international de données aux clauses contractuelles types de la Commission européenne (2022), pour autant que les conditions d'utilisation de ces clauses contractuelles types soient remplies. Les clauses contractuelles types applicables et l'addendum britannique sont disponibles à l'adresse suivante : Clauses contractuelles types | Quadient.
6. Demandes des Personnes concernées.
Chaque Partie traitera ses propres demandes des Personnes concernées souhaitant exercer leurs droits. En ce qui concerne les demandes émanant des Personnes concernées ou en leur nom concernant le Traitement des Données personnelles partagées entre les Parties ( ), y compris les demandes de refus de la vente de Données personnelles conformément à la CCPA, les Parties collaboreront pour honorer ces objections ou demandes de refus.
7. Coopération en matière de conformité.
Les deux Parties conviennent de coopérer et de s'entraider de manière raisonnable dans le cadre de toute enquête réglementaire, plainte ou investigation concernant les Données personnelles du responsable du traitement partagées entre les Parties.
8. Répartition des coûts.
Chaque Partie s'acquittera de ses obligations en vertu du présent DPA à ses propres frais, sauf indication contraire dans les présentes.
9. Responsabilité.
La responsabilité des Parties en vertu du présent DPA ou en relation avec celui-ci sera soumise aux exclusions et limitations de responsabilité prévues dans le Contrat.
10. Divers.
Si une disposition ou une condition du présent DPA est jugée ou déclarée invalide, illégale ou inapplicable par une autorité compétente ou un tribunal, le reste du présent DPA restera valable. La disposition ou la condition concernée sera interprétée comme étant modifiée de manière à garantir sa validité, sa légalité et son applicabilité tout en préservant les intentions des Parties, ou, si cela n'est pas possible, comme si la partie invalide, illégale ou inapplicable n'avait jamais été incluse dans le présent DPA. Le présent DPA sera régi et interprété conformément aux lois régissant le Contrat, et tout litige sera résolu par les tribunaux désignés pour le règlement des litiges dans le cadre du Contrat.
ANNEXE I
A. LISTE DES PARTIES
1. Nom : Quadient
Adresse : tel que défini dans le Contrat
Nom, fonction et coordonnées de la personne à contacter : privacyteam@quadient.com
Rôle : Responsable du traitement (exportateur de données dans le cas où les CCT et l'addendum britannique s'appliquent)
2. Nom : Entreprise
Adresse : tel que défini dans le Contrat
Nom, fonction et coordonnées de la personne à contacter : tel que désigné dans le Contrat
Activités pertinentes pour les données transférées en vertu des présentes clauses telles que définies dans le Contrat
Rôle Responsable du traitement (importateur de données dans le cas où les CCT et l'addendum britannique sont applicables)
B. DESCRIPTION DU TRANSFERT
CATÉGORIES DE PERSONNES CONCERNÉES.
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées, sauf mention contraire dans le Contrat :
a). les prospects, les fournisseurs et les clients, ainsi que leurs employés, agents et utilisateurs finaux respectifs
b).les employés, agents et utilisateurs finaux de Quadient, ainsi que les sous-traitants de Quadient.
CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL TRAITÉES.
Les données à caractère personnel transférées concernent les catégories de données suivantes, sauf mention contraire dans le Contrat:
Nom et prénom, coordonnées (adresse e-mail, numéro de téléphone, adresse postale) et données financières (numéros de compte bancaire).
DONNÉES SENSIBLES (le cas échéant).
Les données à caractère personnel transférées concernent les catégories de données sensibles suivantes :
Aucune
FRÉQUENCE. Le transfert de données à caractère personnel aura lieu à la fréquence suivante :
Périodiquement pendant la durée du Contrat jusqu'à ce que l’Entreprise ait terminé les Services pour Quadient.
NATURE. La nature du transfert des données à caractère personnel est la suivante :
Le fournisseur traitera les données à caractère personnel de Quadient aux fins de la fourniture des services et conformément aux dispositions du Contrat.
OBJECTIFS DU OU DES TRANSFERTS.
Le transfert est effectué aux fins suivantes :
Le transfert vise à permettre la relation et l'exécution du contrat entre les Parties.
INFORMATIONS UTILES SUPPLÉMENTAIRES (limites de stockage et autres informations pertinentes).
Toute donnée à caractère personnel transférée entre les Parties ne peut être conservée que pendant la durée autorisée par le Contrat entre les parties.
INFORMATIONS UTILES SUPPLÉMENTAIRES POUR LES TRANSFERTS VERS DES SOUS-TRAITANTS OU DES SOUS-TRAITANTS ULT
Pour les transferts vers des sous-traitants ou des sous-traitants ultérieurs,
la liste des sous-traitants ultérieurs doit être communiquée par l’Entreprise : précisez également l'objet, la nature et la durée du traitement.
Veuillez consulter le Contrat.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
La Commission nationale de l'informatique et des libertés (France).
ANNEXE II
ESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES
Nonobstant toute mesure supplémentaire convenue dans le Contrat principal, les deux Parties ont convenu de mettre en œuvre et de maintenir pour les Données d'entreprise et les Données client (les "Données") les mesures de sécurité suivantes, qui, conjointement avec les engagements en matière de sécurité prévus dans le présent Accord sur le traitement des données (y compris les Conditions du RGPD), constituent la seule responsabilité des Parties en ce qui concerne la sécurité de ces données.
Domaine | Pratiques |
|---|---|
Organisation de la sécurité de l'information | Responsabilité liée à la sécurité. Chaque partie désigne un ou plusieurs responsables de la sécurité chargés de coordonner et de contrôler les règles et procédures de sécurité. Rôles et responsabilités en matière de sécurité. Le personnel de chaque partie ayant accès aux données est soumis à des obligations de confidentialité. Programme de gestion des risques. Chaque partie procède à une évaluation des risques avant de traiter les données ou de lancer le service correspondant. Chaque partie conserve ses documents de sécurité conformément à ses exigences en matière de conservation après qu'ils ont cessé d'être en vigueur. |
Gestion des actifs | Inventaire des actifs. Chaque partie tient un inventaire de tous les actifs sur lesquels les données sont stockées. L'accès aux inventaires de ces actifs est limité au personnel autorisé par écrit à y accéder. Gestion des actifs - Chaque partie classifie les données afin de les identifier et d'en restreindre l'accès de manière appropriée. - Chaque partie impose des restrictions à l'impression des Données et dispose de procédures pour l'élimination des documents imprimés contenant des Données. - Le personnel d'une partie doit obtenir une autorisation interne avant de stocker des données sur des dispositifs portables, d'accéder à distance à des données ou de traiter des données en dehors de ses installations. |
Sécurité des Ressources humaines | Formation à la sécurité. Chaque partie informe son personnel des procédures de sécurité applicables et de leurs rôles respectifs. Chaque partie informe également son personnel des conséquences possibles d'une violation des règles et procédures de sécurité. |
Sécurité physique et environnementale | Accès physique aux installations. Chaque partie limite l'accès aux installations où se trouvent les systèmes d'information qui traitent les données à des personnes identifiées et autorisées. Protection contre les perturbations. Chaque partie utilise divers dispositifs techniquess pour se protéger contre la perte de données due à une panne d'alimentation électrique ou à des perturbations réseau. Élimination des composants. Le responsable du Traitement des données utilise des processus standard pour supprimer les données lorsqu'elles ne sont plus nécessaires. |
Communication et gestion des opérations | Politique opérationnelle. Chaque partie tient à jour des documents décrivant ses mesures de sécurité ainsi que les procédures pertinentes et les responsabilités de son personnel ayant accès aux données. Procédures de récupération des données - Régulièrement, mais en aucun cas moins d'une fois par semaine (à moins qu'aucune mise à jour n'ait eu lieu pendant cette période), chaque partie conserve plusieurs sauvegardes des données à partir desquelles ces données peuvent être récupérées. - Chaque partie stocke les sauvegardes des données et les procédures de récupération des données dans un lieu différent de celui où se trouve l'équipement informatique principal traitant les données. - Chaque partie dispose de procédures spécifiques régissant l'accès aux sauvegardes des données. - Chaque partie enregistre les efforts de restauration des données, y compris la personne responsable, la description des données restaurées et, le cas échéant, la personne responsable et les données (le cas échéant) qui ont dû être saisies manuellement dans le cadre du processus de restauration des données. Logiciels malveillants. Chaque partie dispose de contrôles anti-malware pour éviter que des logiciels malveillants n'obtiennent un accès non autorisé aux données, y compris des logiciels malveillants provenant de réseaux publics. Les données au-delà des limites du système d’information - Chaque partie chiffre les données transmises sur les réseaux publics. - Chaque partie restreint l'accès aux données stockées sur des supports quittant ses installations. Enregistrement des événements. Chaque partie enregistre l'accès et l'utilisation des systèmes d'information contenant des données, en enregistrant l'identifiant d'accès, l'heure, l'autorisation accordée ou refusée et l'activité correspondante. Mesures de sécurité relatives à l'IA (le cas échéant). Lorsqu’un Traitement assisté par l'IA est réalisé, le Fournisseur de Services doit mettre en œuvre des mesures visant à réduire les risques spécifiques à l'IA (par exemple, contrôles d'accès des modèles, protection contre l'injection de requêtes/les fuites de données, surveillance des modèles d'utilisation anormaux et procédures visant à suspendre ou isoler les fonctionnalités de l'IA en cas de suspicion d'incident de sécurité). |
Contrôle d'accès | Politique d'accès. Chaque partie tient un registre des privilèges de sécurité des personnes ayant accès aux données. Autorisation d’accès - Chaque partie tient et met à jour un registre du personnel autorisé à accéder à ses systèmes contenant des données. - Chaque partie désactive les informations d'authentification qui n'ont pas été utilisées pendant une période n'excédant pas six mois. - Chaque partie identifie le personnel qui peut accorder, modifier ou annuler l'autorisation d’accès aux données et aux ressources. - Chaque partie veille à ce que les individus aient des identifiants/log-ins distincts. Besoin d’en connaître - Le personnel d'assistance technique n'est autorisé à accéder aux données qu'en cas de besoin. - Chaque partie limite l'accès aux données aux seules personnes qui ont besoin de cet accès pour exercer leurs fonctions. Intégrité et confidentialité - Chaque partie donne instruction à son personnel de désactiver les sessions d’administration lorsqu'il quitte les locaux placés sous son contrôle ou lorsque les ordinateurs sont laissés sans surveillance. - Chaque partie stocke les mots de passe de manière à les rendre inintelligibles tant qu'ils sont en vigueur. Authentification - Chaque partie utilise les pratiques courantes de l'industrie pour identifier et authentifier les utilisateurs qui tentent d'accéder aux systèmes d'information. - Lorsque les mécanismes d'authentification sont basés sur des mots de passe, chaque partie exige que la gestion des mots de passe soit configurée de manière à garantir que le mot de passe soit immédiatement modifié dès qu'il existe un risque qu'il soit compromis. - Lorsque les mécanismes d'authentification sont basés sur des mots de passe, chaque partie exige que le mot de passe comporte au moins treize caractères. - Chaque partie veille à ce que les identifiants désactivés ou expirés ne soient pas accordés à d'autres personnes. - Chaque partie surveille les tentatives répétées d'accès au système d'information à l'aide d'un mot de passe non valide. - Chaque partie maintient des procédures standard pour désactiver les mots de passe qui ont été corrompus ou divulgués par inadvertance. - Chaque partie utilise des pratiques de protection par mot de passe conformesà l’état de l’art, y compris des pratiques conçues pour préserver la confidentialité et l'intégrité des mots de passe lorsqu'ils sont attribués et distribués, ainsi que pendant leur stockage. Sécuritéréseau. Chaque partie dispose de contrôles permettant d'éviter que des personnes s'arrogent des droits d'accès qui ne leur ont pas été attribués afin d'accéder à des données auxquelles elles ne sont pas autorisées à accéder. |
Gestion des incidents de sécurité de l'information | Processus de réponse aux incidents - Chaque partie tient un registre des violations de la sécurité avec une description de la violation, de la période, des conséquences de la violation, de la source de la notification et des principales mesures d'atténuation et de rétablissement. - Pour chaque violation constituant un incident de sécurité, le Sous-traitant Traitement des données notifie le Responsable de Traitement dans les plus brefs délais. Contrôle des Services. - Le personnel d'exploitation de chaque partie vérifie régulièrement les journaux afin de proposer des mesures correctives si nécessaire. |
Gestion de la continuité des activités | - Le Sous-traitant des Traitement des données maintient des plans d'urgence et de secours pour les installations dans lesquelles se trouvent ses systèmes d'information qui traitent les données. - Le stockage redondant du Sous-traitant du Traitement des données et ses procédures de récupération des données sont conçus pour tenter de reconstruire les données dans leur état d'origine ou dans leur dernier état répliqué avant le moment où elles ont été perdues ou détruites. |