Accord de traitement des données SERENSIA (art.28 du RGPD)
ACCORD SUR LE TRAITEMENT DES DONNÉES
1. SECTION I.
Clause 1 Objet et champ d’application
a) Les présentes clauses contractuelles types (ci-après les « clauses ») ont pour objet de garantir la conformité avec l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
b) Les responsables du traitement et les sous-traitants énumérés à l'annexe I ont accepté les présentes clauses afin d'assurer le respect de l'article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et/ou des dispositions de l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725.
c) Les présentes clauses s'appliquent au traitement des données à caractère personnel tel que décrit à l'annexe II.
d) Les annexes I à IV font partie intégrante des clauses.
e) Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
f) Les présentes clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
Clause 2 Invariabilité des Clauses
a) Les Parties s'engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout d’informations aux annexes ou la mise à jour des informations qui y figurent.
b) Les parties ne sont pour autant pas empêchées d’inclure les clauses contractuelles types définies dans les présentes clauses dans un contrat plus large, ni d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
Clause 3 Interprétation
a) Lorsque des termes définis respectivement dans le règlement (UE) 2016/679 ou dans le règlement (UE) 2018/1725 figurent dans les clauses, ils s’entendent comme dans le règlement en question.
b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 respectivement.
c) Les présentes clauses ne doivent pas être interprétées de manière contraire aux droits et obligations prévus par le règlement (UE) 2016/679 / le règlement (UE) 2018/1725 ou d’une manière qui porte atteinte aux libertés ou droits fondamentaux des personnes concernées.
Clause 4 Hiérarchie
En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.
Clause 5 Clause d’amarrage
a) Toute entité qui n'est pas partie aux présentes clauses peut, avec l'accord de toutes les Parties, y adhérer à tout moment, en qualité soit de responsable de traitement soit sous-traitant en complétant les annexes et en signant l'annexe I.
b) Une fois que les annexes mentionnées au point a) sont complétées et signées, l'entité adhérente est considérée comme une partie aux présentes clauses et jouit des droits et est soumise aux obligations d'un responsable du traitement ou d'un sous-traitant, conformément à sa désignation à l'annexe I.
c) Les présentes clauses ne créent pour la partie adhérente aucun droit ni aucune obligation pour la période d’adhésion.
SECTION II. OBLIGATIONS DES PARTIES
Clause 6 Description du ou des traitements
Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’annexe II.
Clause 7 Obligations des parties
7.1 Instructions
a) Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées. b) Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.
7.2 Limitation de la finalité
Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’annexe II, sauf instruction complémentaire du responsable du traitement.
7.3 Durée du traitement des données à caractère personnel
Le traitement par le sous-traitant n’a lieu que pendant la durée précisée à l’Annexe II.
7.4 Sécurité du traitement
a) Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe III pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
b) Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
7.5 Donnée sensibles
Le traitement ne porte pas sur des données sensibles au sens du RGPD. A ce titre, celles-ci ne peuvent être soustraitées pour les finalités convenues dans le cadre du contrat principal conclu initialement entre les parties.
7.6 Documentation et conformité
a) Les parties doivent pouvoir démontrer la conformité avec les présentes clauses.
b) Le sous-traitant traite de manière rapide et adéquate les demandes du responsable du traitement concernant le traitement des données conformément aux présentes clauses.
c) Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. À la demande du responsable du traitement, le sous-traitant permet également la réalisation d’audits des activités de traitement couvertes par les présentes clauses et y contribue, à intervalles raisonnables ou en présence d’indices de non-conformité. Lorsqu’il décide d’un examen ou d’un audit, le responsable du traitement peut tenir compte des certifications pertinentes en possession du sous-traitant.
d) Le responsable du traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et sont, le cas échéant, effectués moyennant un préavis raisonnable. Les audits pourront être effectués sous réserve du respect d’un délai minimal de prévenance de 15 jours. En cas de conflit d’intérêt existant avec l’auditeur tiers, le sous-traitant pourra refuser l’audit sous réserve de justifier le refus par écrit au responsable de traitement. Dans ce cas, le responsable de traitement pourra proposer un autre auditeur tiers ou procéder à l’audit par lui-même.
e) Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.
7.7 Recours à des sous-traitants ultérieurs
a) AUTORISATION ÉCRITE GÉNÉRALE : le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins vingt-cinq (25) jours à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.
b) Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
c) À la demande du responsable du traitement, le sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant d’en diffuser une copie.
d) Le sous-traitant demeure pleinement responsable, à l’égard du responsable du traitement, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le soustraitant informe le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.
7.8 Transferts internationaux
a) Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le sous-traitant est soumis et s’effectue conformément au chapitre V du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725.
b) Le responsable du traitement convient que lorsque le sous-traitant recrute un sous-traitant ultérieur conformément à la clause 7.7 pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.
Clause 8 Assistance au responsable du traitement
a) Le sous-traitant informe sans délai le responsable du traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le responsable du traitement des données ne l’y ait autorisé.
b) Le sous-traitant prête assistance au responsable du traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. Dans l’exécution de ses obligations conformément aux points a) et b), le sous-traitant se conforme aux instructions du responsable du traitement.
c) Outre l’obligation incombant au sous-traitant d’assister le responsable du traitement en vertu de la clause 8, point b), le sous-traitant aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant:
1. l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques;
2. l’obligation de consulter l'autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; 3. l’obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le responsable du traitement si le sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes;
d) les obligations prévues à l’article 32 du règlement (UE) 2016/679.Les parties définissent à l’annexe III les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu de prêter assistance au responsable du traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de l’assistance requise.
Clause 9 Notification de violations de données à caractère personnel
En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679 ou des articles 34 et 35 du règlement (UE) 2018/1725, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
9.1 Violation de données en rapport avec des données traitées par le responsable du traitement
En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant prête assistance au responsable du traitement :
a) aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) ;
b) aux fins de l’obtention des informations suivantes qui, conformément à l’article 33, paragraphe 3, du règlement (UE) 2016/679, doivent figurer dans la notification du responsable du traitement, et inclure, au moins:
1. la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
2. les conséquences probables de la violation de données à caractère personnel ;
3. les mesures prises ou les mesures que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais ;
c) aux fins de la satisfaction, conformément à l’article 34 du règlement (UE) 2016/679, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
9.2 Violation de données en rapport avec des données traitées par le soustraitant
En cas de violation de données à caractère personnel en rapport avec des données traitées par le sous-traitant, celuici en informe le responsable de traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :
a) une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
b) les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;
c) ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
Les parties définissent à l’annexe III tous les autres éléments que le sous-traitant doit communiquer lorsqu’il prête assistance au responsable du traitement aux fins de la satisfaction des obligations incombant à ce dernier en vertu des articles 33 et 34 du règlement (UE) 2016/679.
SECTION III. DISPOSITIONS FINALES
Clause 10 Non-respect des clauses et résiliations
a) Sans préjudice des dispositions du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, en cas de manquement du sous-traitant aux obligations qui lui incombent en vertu des présentes clauses, le responsable du traitement peut donner instruction au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes clauses ou jusqu’à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.
b) Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si :
1. le traitement de données à caractère personnel par le sous-traitant a été suspendu par le responsable du traitement conformément au point a) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
2. Le sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725 ;
3. Le sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
c) Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences juridiques applicables conformément à la clause 7.1, point b), le responsable du traitement insiste pour que ses instructions soient suivies.
d) À la suite de la résiliation du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. Le sous-traitant continue de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.
ANNEX I: LISTE DES PARTIES
Responsable(s) du traitement :
- Nom : Client, tel qu’indiqué dans le contrat.
- Nom, fonction et coordonnées de la personne de contact pour les sujets liés à la protection des données : tels qu’indiqués dans le contrat.
Sous-traitant :
- Nom : SERENSIA
- Adresse : 15 rue des Mathurins 75009 Paris
- Fonction et coordonnées de la personne de contact pour les sujets liés à la protection des données : Délégué à la Protection des Données (France), dpo@serensia.com
ANNEXE II: DESCRIPTION DU TRAITMENT
Catégories de personnes concernées dont les données à caractère personnel sont traitées :
- Serensia Plateforme Agréée (ex PDP) / SIG / Safe :
- Les personnes concernées peuvent varier suivant la nature des documents traités : client, fournisseur, collaborateur du Client
- Serensia Portail Fournisseur :
- Fournisseur du client de Serensia
Catégories de données à caractère personnel traitées :
La nature des données peut varier suivant les documents traités et l’ERP du Client.
- Données d’identification : nom, prénom, coordonnées…
- Information d'ordre économique et financier : IBAN (micro entreprise), montant des factures…
Nature du traitement :
- Serensia Plateforme Agréée (ex PDP) et SIG
- Accès, hébergement, extraction, utilisation, modification, transmission
- Serensia Portail Fournisseur:
- Collecte
- Serensia Safe:
- Hébergement
Finalités pour lesquelles les données à caractère personnel sont traitées pour le compte du Responsable du traitement :
- Serensia Plateforme Agréée (ex PDP) :
- Gestion du e-invoicing et du e-reporting,
- Interopérabilité avec les autres Plateformes Agréées,
- Interfaçage annuaire
- Serensia SIG (Opérateur de Dématérialisation « OD »)
- Récupération automatique des données issues de factures pdf/scan, papier via LAD (OCR) et et leur intégration dans l'ERP et/ou logiciel métier
- Echange de factures électroniques entre systèmes d'informations fournisseur/client par le biais de flux EDI
- Consultation automatique du référentiel fournisseur afin de faire le rapprochement de la facture avec les commandes existantes via des connecteurs intégrés
- Mise en place de workflows pour des circuits de validation dématérialisés
- Automatisation ou la simplification de l'imputation comptable des factures
- Serensia Portail Fournisseur
- Portail fournisseur pour déposer, suivre et corriger les factures à destination des clients Serensia.
- Lecture automatisée avec le module Reader (OCR)
- Les factures sont ensuite hébergées par la solution SIG
- Serensia Safe
- Archivage à valeur probante
Durée du traitement : Durée du contrat signé avec le Client et des éventuelles sauvegardes en application du contrat signé
ANNEX III: MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS CELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque — dont la probabilité et la gravité varient — pour les droits et libertés des personnes physiques, l’importateur de données a mis en œuvre des mesures techniques et organisationnelles appropriées conçues pour garantir un niveau de sécurité adapté au risque.
Domaine | Pratiques |
|---|---|
Organisation de la sécurité de l'information | Responsabilité en matière de sécurité: Chaque partie doit désigner un ou plusieurs responsables de la sécurité chargés de coordonner et de superviser les politiques et procédures de sécurité. Rôles et responsabilités en matière de sécurité. Tous les membres du personnel de chaque partie ayant accès aux données sont soumis à des obligations de confidentialité. Programme de gestion des risques. Chaque partie doit réaliser une évaluation des risques avant de traiter les données ou de lancer le service correspondant. Chaque partie doit conserver ses documents de sécurité conformément à ses exigences de conservation après qu’ils ont cessé d’être en vigueur. |
Gestion des actifs | Inventaire des actifs: Chaque partie doit tenir un inventaire de tous les actifs sur lesquels les données sont stockées. L’accès aux inventaires de ces actifs doit être limité aux membres du personnel ayant été autorisés par écrit à y accéder. Gestion des actifs: Chaque partie doit classifier les données afin de les identifier et d’en restreindre l’accès de manière appropriée. |
Sécurité des ressources humaines | Formation à la sécurité: Chaque partie doit informer son personnel des procédures de sécurité applicables et de leurs rôles respectifs. Chaque partie doit également informer son personnel des conséquences possibles d’une violation des règles et procédures de sécurité. |
Sécurité physique et environnementale | Accès physique aux locaux: Chaque partie restreint l’accès aux locaux abritant des systèmes d’information traitant des données aux personnes identifiées et autorisées. Protection contre les perturbations: Chaque partie utilise différents systèmes conformes aux standards du secteur afin de se protéger contre les pertes de données dues à des coupures d’alimentation ou à des perturbations de lignes. Mise au rebut des composants: Le responsable du traitement utilise des procédures standard pour supprimer les données lorsqu’elles ne sont plus nécessaires. |
Gestion des communications et des opérations | Procédures de restauration des données: Chaque partie conserve les sauvegardes de données et les procédures de restauration des données dans un lieu distinct de celui des principaux équipements informatiques utilisés pour traiter les données. Logiciels malveillants: Chaque partie doit mettre en place des contrôles anti-malware afin d’empêcher les logiciels malveillants d’obtenir un accès non autorisé aux données, y compris les logiciels malveillants provenant de réseaux publics. Données transfrontalières: - Chaque partie doit chiffrer les données transmises sur les réseaux publics. - Chaque partie restreint l’accès aux données stockées sur des supports quittant ses locaux. Journalisation des événements: Chaque partie journalise l’accès aux systèmes d’information contenant des données et leur utilisation, en enregistrant l’identifiant d’accès, l’heure, l’autorisation accordée ou refusée, ainsi que l’activité correspondante. |
Contrôle d'accès | Politique d’accès: Chaque partie doit tenir un registre des privilèges de sécurité des personnes ayant accès aux données. Autorisation d’accès : - Chaque partie doit désactiver les identifiants d’authentification qui n’ont pas été utilisés pendant une période n’excédant pas six mois. - Chaque partie doit identifier les membres du personnel pouvant accorder, modifier ou révoquer les accès autorisés aux données et aux ressources. - Chaque partie doit s’assurer que les personnes disposent d’identifiants/logins uniques. Besoin d’en connaître - Le personnel de support technique est autorisé à accéder aux données uniquement sur la base du besoin d’en connaître. Chaque partie doit limiter l’accès aux données aux seules personnes qui en ont besoin pour exercer leurs fonctions Intégrité et confidentialité : - Chaque partie doit demander à son personnel de fermer les sessions d’administration lorsqu’il quitte les locaux sous son contrôle ou lorsque les ordinateurs sont laissés sans surveillance. - Chaque partie doit stocker les mots de passe d’une manière les rendant inintelligibles lorsqu’ils sont utilisés. Authentification : - Chaque partie doit utiliser des pratiques conformes aux standards du secteur pour identifier et authentifier les utilisateurs tentant d’accéder aux systèmes d’information. -Lorsque les mécanismes d’authentification reposent sur des mots de passe, chaque partie doit exiger que les mots de passe soient modifiés régulièrement. - Chaque partie doit s’assurer que les identifiants désactivés ou expirés ne sont pas attribués à d’autres personnes. - Chaque partie doit maintenir des procédures standard pour désactiver les mots de passe qui ont été compromis ou divulgués par inadvertance. - Chaque partie utilise des pratiques de protection des mots de passe conformes aux standards du secteur, y compris des pratiques conçues pour préserver la confidentialité et l’intégrité des mots de passe lorsqu’ils sont attribués et distribués, ainsi que lors de leur stockage. Conception du réseau. Chaque composant comprend des contrôles conçus pour empêcher des personnes d’obtenir des droits d’accès qui ne leur ont pas été accordés afin d’accéder à des données qu’elles ne sont pas autorisées à consulter. |
Gestion des incidents de sécurité de l’information | Processus de réponse aux incidents : - Chaque partie tient un registre des violations de sécurité, comprenant une description de la violation, la période concernée, les conséquences de la violation, la source du signalement, ainsi que les principales mesures d’atténuation et de rétablissement. - Pour chaque violation constituant un incident de sécurité, le sous-traitant notifie le responsable du traitement dans les meilleurs délais. Surveillance du service: Le personnel opérationnel de chaque partie examine régulièrement les journaux afin de proposer des actions correctives si nécessaire. |
Gestion de la continuité d’activité | Le responsable du traitement maintient des plans d’urgence et de reprise après sinistre pour les locaux abritant ses systèmes d’information qui traitent des données. |
ANNEXE IV : LISTE DES SOUS-TRAITANTS ULTÉRIEURS DE SERENSIA
| Nature des operations | Nom du sous-traitant ulterieur | Adresse | Certifications | Donnees a caractere personnel (DCP) Traitees |
|---|---|---|---|---|
| Hébergement des Données à caractère personnel de la solution Serensia Plateforme Agréée (ex PDP) | Thales Cloud Sécurisé (S3NS) | 54-56 avenue Hoche - 75008 Paris - France | SecNumCloud 3.2, ISO/CEI 27001/22301 | Les données de la solution |
| Hébergement des Données à caractère personnel de la solution Serensia SIG, Portail fournisseur et Safe | OVH SAS | 2 rue Kellermann - 59100 Roubaix - France | ISO 27001 SecNumCloud | Les données de la solution |
| Envoi d’email depuis la solution vers les utilisateurs | Sendinblue SAS (Brevo) | 9 - 17, rue Salneuve 75017 Paris | ISO27001 | Nom, prénom, adresse email |