nordpass logo

Accord sur le traitement des données (Entreprises)

Dernière mise à jour : 27/09/21

Numéro de version : 2.0

Version précédente (1.0)

Attendu que

The Customer (“Le Contrôleur des Données”) and NordPass (“Le Responsable du Traitement des Données”)

Le Contrôleur des Données et le Responsable du Traitement des Données sont ci-après dénommés collectivement les "Parties" ;

  1. Le Responsable du traitement des données fournit des Services selon les Conditions d'utilisation (Entreprise) (“Conditions”) NordPass disponibles sur le site Internet du Responsable du traitement des données ;
  2. Lors de la fourniture des Services, le Responsable du Traitement des Données traite les Données Personnelles pour le compte et selon les instructions du Contrôleur des Données ;
  3. Les Parties souhaitent établir leurs droits et obligations liés au Traitement des Données Personnelles décrit ci-dessus

Concluent le présent accord de traitement des données (le "Accord").

Définitions

Sauf disposition contraire expresse dans le présent Accord, les définitions et (ou) les mots en majuscules utilisés dans le présent Accord doivent avoir le sens défini dans les Conditions ou comme indiqué ci-dessous :

Lois applicables en matière de protection des données désigne toutes les lois et réglementations applicables en matière de confidentialité et de protection des données partout dans le monde, y compris, le cas échéant, le RGPD ;

EEA signifie Espace économique européen (tous les États membres de l'UE, le Royaume-Uni et l'Islande, la Norvège et le Liechtenstein) ;

RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

Traitement désigne toute opération ou ensemble d'opérations effectuées à l'aide de Données Personnelles ou d'ensembles de Données Personnelles, qu'elles soient effectuées ou non par des moyens automatisés, comme la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion et l'accès, la coordination, la restriction, l'effacement ou la destruction ;

Personne désigne une personne physique dont les Données Personnelles sont traitées

Personal Data désigne toute information relative à une Personne identifiable

Clauses contractuelles types (CCT) signifie clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil (décision d'exécution de la Commission 2021/914 du 4 juin 2021), tel que mis à jour ou remplacé de temps à autre ;

Sous-traitant désigne une entité engagée par le Responsable du Traitement des Données qui accepte de recevoir du Responsable du Traitement des Données des Données Personnelles exclusivement destinées aux activités de Traitement à réaliser dans le cadre des Services.

Application du présent accord

  1. Le présent Accord s'applique si le Traitement des Données Personnelles est régi par le RGPD. Si l'Accord s'applique, il est juridiquement contraignant entre les Parties et fait partie intégrante des Conditions.
  2. Sauf disposition contraire dans le présent Accord (y compris les CCT, le cas échéant), les Conditions sont appliquées entre les Parties dans leur intégralité.

Dispositions et obligations générales

  1. Le Responsable du Traitement des Données s'engage à ne traiter les Données Personnelles que conformément aux instructions documentées communiquées de temps à autre par le Contrôleur des Données. Les instructions initiales du Contrôleur des Données au Responsable du Traitement des Données concernant l'objet et la durée du Traitement, la nature et la finalité du Traitement, le type de Données Personnelles et les catégories de Personnes sont énoncées dans le présent Accord.
  2. Lors du Traitement des Données Personnelles en vertu du présent Accord, le Contrôleur des Données se conformera à toutes les lois Applicables en matière de protection des données et aux recommandations des autorités de contrôle compétentes.
  3. Le Contrôleur des Données ne prendra aucune mesure qui amènerait le Responsable du Traitement des Données à violer les lois Applicables sur la protection des données.
  4. En signant l'Accord, le Contrôleur des Données confirme que :
    • Toutes les Données Personnelles Traitées en vertu du présent Accord sont collectées légalement.
    • Toutes les conditions permettant les transferts de Données Personnelles au Responsable du traitement des données en dehors de l'EEE sont remplies ;
    • Toutes les Personnes ont été correctement informées de l'utilisation des Services du Responsable du Traitement des Données et toutes les informations requises par les lois Applicables sur la protection des données ont été soumises aux Personnes par le Contrôleur des Données.
  5. Toutes les instructions énoncées dans le présent Accord sont exhaustives et reflètent la volonté du Contrôleur des Données. Toute instruction supplémentaire ou alternative du Contrôleur des Données doit être convenue entre les Parties séparément par écrit.
  6. Le Responsable du Traitement des Données :
    • N'évalue aucune instruction du Contrôleur des Données qui sera tenu responsable de la légalité et de la conformité de toute instruction donnée avec les lois Applicables en matière de protection des données. Si, de l'avis raisonnable du Responsable du Traitement des Données, une instruction enfreint indubitablement les lois Applicables en matière de protection des données, le Responsable du Traitement des Données en informe le Contrôleur des Données ;
    • Compte tenu de la nature du Traitement, le Responsable du Traitement des Données assiste le Contrôleur des Données, aux frais du Contrôleur des Données, pour assurer le respect par le Contrôleur des Données des obligations découlant des lois Applicables en matière de protection des données en fournissant les informations demandées par le Contrôleur des Données ;
    • En ce qui concerne la peu probable violation de la sécurité, le Responsable du Traitement des Données informera le Contrôleur des Données sans délai excessif après avoir pris connaissance de manière certaine de toute violation de la sécurité concernant les Données Personnelles Traitées dans le cadre du présent Accord.

Instructions pour le Traitement

  1. Les Données Personnelles dans le cadre du présent Accord seront Traitées afin de fournir des Services au Contrôleur des Données conformément aux Conditions. La nature, le but, l'objet et les autres détails des activités de Traitement effectuées dans le cadre des Services sont exposés dans l'Annexe I du présent Accord.

Divulgation de Données Personnelles

  1. Le Responsable du Traitement des Données s'engage à ne pas divulguer les Données Personnelles Traitées à un tiers, autrement que par l'utilisation de Sous-traitants comme spécifié dans le présent Accord, sauf si les Données Personnelles sont divulguées dans le cadre d'une demande d'information de tiers conformément aux actes juridiques applicables ou dans le cadre de demandes légitimes de la part des autorités chargées de l'application de la loi ou d'autres autorités compétentes.
  2. Le Contrôleur des Données autorise le Responsable du Traitement des Données à faire appel à des Sous-traitants pour remplir ses obligations telles que définies dans le présent Accord (fournit une autorisation générale), à condition que le Responsable du Traitement des Données tienne une liste des Sous-traitants et, sur demande écrite du Contrôleur des Données, fournisse cette liste au Contrôleur des Données. En cas de désignation d'un nouveau Sous-traitant, le Contrôleur des Données en informe le Responsable du Traitement des Données. Le Responsable du Traitement des Données permet au Contrôleur des Données de faire opposition, en fournissant au Responsable du Traitement des Données une objection motivée, spécifique et écrite, aux modifications concernant l'ajout ou le remplacement de Sous-traitants à la liste susmentionnée.
  3. Le Responsable du Traitement des Données veille à ce que les Sous-traitants assument par écrit des obligations similaires à celles convenues dans le présent accord. Le Responsable du Traitement des Données reste entièrement responsable envers le Contrôleur des Données de l'exécution des obligations de ses Sous-Traitants en matière de protection des données lorsque les Sous-Traitants ne remplissent pas ces obligations.

Transfert vers des pays tiers

  1. Le Responsable du Traitement des Données est autorisé à transférer les Données Personnelles vers un pays situé en dehors de l'EEE dans la mesure où cela est raisonnablement nécessaire pour fournir les Services, à condition que le Responsable du Traitement des Données assure un niveau de protection adéquat et respecte les autres obligations auxquelles il est soumis en vertu du présent Accord.
  2. Lorsque les Parties sont tenues de conclure les CCT en vertu des lois Applicables en matière de protection des données, les CCT sont par la présente incorporées par cette référence au présent Accord en tant qu'accord juridiquement contraignant et dûment signé entre les Parties, et :
    • Le Contrôleur des Données est considéré comme "l'exportateur de données" et le Responsable du Traitement des Données est considéré comme "l'importateur de données".
    • Les parties sélectionnent le "MODULE DEUX : Transfert du contrôleur au responsable du traitement" comme module applicable à la relation en vertu des Conditions et de l'Accord.
    • Les parties incluent la clause d'Amarrage facultative dans les CCT. Les parties qui transfèrent des Données Personnelles à, ou reçoivent des Données Personnelles de la nouvelle partie, s'engagent à respecter les obligations de l'importateur de données ou de l'exportateur de données, selon le cas, à l'égard de la nouvelle partie ;
    • Les parties choisissent l'OPTION 2 : AUTORISATION ÉCRITE GÉNÉRALE pour l'utilisation de Sous-traitants dans la clause 9 des CCT et la formulent comme suit : "L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour l'engagement d'un ou de plusieurs sous-traitants secondaires à partir d'une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants secondaires au moins 20 jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants secondaires. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'opposition" ;
    • les parties conviennent que l'Autorité néerlandaise de protection des données sera l'autorité de contrôle compétente pour les questions liées aux transferts de Données Personnelles vers des pays tiers conformément au présent Accord. Dans tous les cas où les CCT exigent de spécifier un pays ou un État membre (notamment dans les clauses 17 et 18), les parties conviennent d'utiliser les Pays-Bas comme premier choix.
    • L'annexe I de l'Accord est considérée comme l'annexe I et II des CCT.

Principes de sécurité des données personnelles

  1. Afin d'aider le Contrôleur des Données à se conformer aux obligations légales, y compris, mais sans s'y limiter, à la mise en œuvre de mesures de sécurité des Données Personnelles adéquates, le Responsable du Traitement des Données prend les mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles. Ces mesures doivent garantir un niveau de sécurité adéquat, en tenant compte :
    • des risques particuliers associés au Traitement des Données Personnelles
    • des coûts des mesures
    • des capacités techniques existantes.
  2. Le Responsable du Traitement des Données met en œuvre des moyens techniques et organisationnels suffisants pour assurer le niveau de sécurité compatible avec les risques, y compris, le cas échéant :
    • la possibilité d'assurer l'intégrité, la disponibilité et la résilience continues des systèmes et services de Traitement des Données Personnelles ;
    • la possibilité de rétablir les conditions et l'accès aux Données Personnelles en temps utile en cas d'incident physique ou technique;
    • l'évaluation régulière de l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité, la vérification, l'évaluation et la performance du Traitement des Données Personnelles.
  3. Le Responsable du Traitement des Données s'assure que les Sous-traitants autorisés à Traiter les Données Personnelles se sont engagés à la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité.

Traitement des demandes de Personnes

  1. Le Responsable du Traitement des Données doit traiter et répondre à toute demande ou requête de la Personne visant à exercer ses droits en vertu des lois Applicables en matière de protection des données, y compris, mais sans s'y limiter, un accès aux informations détenues sur la Personne, et les demandes de suppression ou de correction des Données Personnelles ou de restriction du Traitement concernant la Personne.
  2. Toute demande de renseignements ou d'exercice des droits de la Personne adressée directement au Responsable du Traitement des Données sera transmise par le Responsable du Traitement des Données au Contrôleur des Données.
  3. Lorsque le Contrôleur des Données n'est pas en mesure d'exercer les droits de la Personne, le Contrôleur des Données peut demander au Responsable du Traitement des Données de l'aider à fournir les informations relatives au Traitement des Données Personnelles en vertu du présent Accord.

Droit de procéder à un audit

  1. Lorsque cela s'avère raisonnablement nécessaire, le Contrôleur des Données a le droit de prendre les mesures nécessaires pour vérifier le respect par le Responsable du Traitement des Données des termes du présent Accord. Le Contrôleur des Données a le droit de demander un audit réalisé par un cabinet d'audit tiers indépendant, accrédité et réputé approuvé par les deux Parties.
  2. Cet audit n'aura lieu qu'en cas de suspicion spécifique et fondée d'utilisation abusive de Données Personnelles, et seulement après que le Contrôleur des Données ait demandé et évalué les rapports similaires existants du Responsable du Traitement des Données et ait présenté des arguments raisonnables pour justifier qu'un audit soit initié par le Contrôleur des Données. Un tel audit est justifié si les rapports similaires dont dispose le Responsable du Traitement des Données fournissent des réponses insuffisantes ou non concluantes concernant le respect du présent Accord par le Responsable du Traitement des Données.
  3. Pour éviter toute ambiguïté, ni le Contrôleur des Données, ni l'auditeur désigné ne doivent être un concurrent de l'entreprise du Responsable du Traitement des Données et, en aucun cas, le Contrôleur des Données, ou l'auditeur désigné, ne peuvent avoir accès aux informations confidentielles du Responsable du Traitement des Données, aux informations des autres clients du Responsable du Traitement des Données, ni aux informations de tiers auxquels le Responsable du Traitement des Données doit une obligation de confidentialité.
  4. Tout audit de ce type mené par le Contrôleur des Données doit avoir lieu pendant les heures de bureau normales, d'une manière qui ne perturbe pas les activités du Responsable du Traitement des Données, moyennant un préavis raisonnable d'au moins deux mois au Responsable du Traitement des Données et sous réserve de la capacité maximale de l'engagement de confidentialité tel que prévu ci-dessous. Le Contrôleur des Données est responsable de tous les coûts et frais liés à un tel audit, y compris tous les coûts et frais pour tout le temps que le Responsable du Traitement des Données consacre à un tel audit, en plus des tarifs des services de soutien fournis par le Responsable du Traitement des Données et de toutes les dépenses engagées par le Responsable du Traitement des Données. Avant le début d'un tel audit, les Parties conviennent mutuellement du moment, de la durée et de la portée de l'audit, qui ne doit pas impliquer un accès physique aux serveurs à partir desquels les Services de Traitement des Données sont fournis. Le Contrôleur des Données doit informer rapidement le Responsable du Traitement des Données de toute non-conformité découverte au cours d'un audit. Le Contrôleur des Données ne peut pas auditer le Responsable du Traitement des Données plus d'une fois par an.
  5. Les informations découvertes au cours d'un audit seront traitées comme des "Informations Confidentielles" et seront soumises à la Section "Confidentialité" des Conditions.

Durée

  1. Le présent Accord s'applique pendant toute la durée au cours de laquelle le Responsable du Traitement des Données traite les Données Personnelles pour le compte du Contrôleur des Données.
  2. À la suite de la résiliation de l'Accord, le Responsable du Traitement des Données doit supprimer ou renvoyer au Contrôleur des Données les Données Personnelles comme prévu dans les Conditions. Les Données Personnelles seront supprimées ou rendues irrécupérables et/ou anonymes, à l'exception des copies, comme autorisé par les Conditions ou le présent Accord, ou dont la conservation est requise conformément aux lois applicables.

Remboursement

  1. Le Responsable du Traitement des Données a droit à tout remboursement des dépenses, coûts et honoraires raisonnables qui ont été encourus en raison d'instructions inexactes, incomplètes ou illégales du Contrôleur des Données ou en raison de l'absence d'instructions du Contrôleur des Données.

Responsabilité

  1. La responsabilité du Responsable du Traitement des Données, prise dans son ensemble, découlant du présent Accord ou liée à celui-ci, qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de responsabilité, est soumise aux limitations et exclusions énoncées dans les Conditions. La responsabilité du Responsable du Traitement des Données désigne la responsabilité globale du Responsable du Traitement des Données en vertu des Conditions et du présent Accord pris ensemble.

Autres dispositions

  1. Tous les avis entre les parties seront donnés conformément aux dispositions des Conditions.
  2. Le présent Accord est appliqué et tout litige ou réclamation découlant du présent Accord sera réglé conformément aux dispositions des Conditions.
  3. En cas de divergence entre le présent Accord, les Conditions et tout autre contrat régissant les questions de protection des données entre les Parties, les dispositions du présent Accord prévaudront sur toute autre disposition contractuelle.

ANNEXE I

Description et Instructions pour le Traitement

Finalités et nature du Traitement
Fournir des Services au Responsable du contrôle des données comme prévu dans les Conditions ou selon les instructions du Responsable du contrôle des données.
Catégories de personnes concernées par les données
Les employés du Responsable du contrôle des données, les clients et les autres personnes (physiques) autorisées par le Responsable du contrôle des données.
Catégories de Données Personnelles
Le Responsable du traitement des données traite les informations liées à l'utilisation du Service, telles que les coordonnées élémentaires de l'organisation, les informations d'enregistrement et de connexion du compte, les adresses e-mails de l'utilisateur, les informations sur les rôles et le statut de l'utilisateur, les invitations, les parrainages, le statut et la santé du mot de passe, les informations sur les failles, les informations de base sur l'appareil (par exemple : nom de l'appareil, identifiant de l'appareil, adresse IP, système d'exploitation, plateforme), les journaux d'activité et de messagerie, les tentatives d'authentification, les métadonnées sur les éléments du coffre-fort (par exemple : supprimé à, utilisé pour la dernière fois à, type, partages en attente, droits d'accès), les diagnostics de l'application et d'autres informations pouvant être demandées par le Responsable du contrôle des données.
Durée et fréquence du Traitement
Le Traitement est réalisé de manière continue pendant la période de fourniture des Services au Responsable du contrôle des données.
Objet, nature et durée du traitement par les Sous-traitants
Les Sous-traitants font partie intégrante des Services fournis au Responsable du contrôle des données. Les Sous-traitants interviennent à chaque étape de la fourniture du Service et les Données Personnelles sont Traitées aussi longtemps qu'elles sont nécessaires à la fourniture du Service.
Description des mesures techniques et organisationnelles mises en œuvre par le Responsable du traitement des données.

Contrôle des Ressources de l'Infrastructure des Serveurs

  • Les informations de la Société sont conservées dans des serveurs sécurisés, physiquement inaccessibles et chiffrés.
  • La Société effectue une évaluation de la sécurité du centre de données avant de faire appel à un nouveau fournisseur.
  • Toute l'infrastructure est protégée par des pare-feu et d'autres moyens de sécurité.

Évaluation des Vulnérabilités et Corrections

  • La sécurité des données des clients est assurée par une équipe de sécurité interne et des consultants externes qui effectuent des tests de pénétration périodiques pour les sites Web et les applications de la Société.
  • Des évaluations régulières et automatisées des vulnérabilités sont effectuées et des mesures correctives sont prises.

Gestion des Accès

  • L'accès aux données personnelles n'est accordé qu'aux personnes qui en ont besoin pour exercer leurs fonctions (sur la base du besoin de savoir).
  • Le logiciel ACL est utilisé pour la détection et la prévention de la fraude, ainsi que pour la gestion des risques. Cela permet de s'assurer que seules les personnes habilitées ont accès aux informations sensibles.
  • La Société utilise des VPN et des jumpbox sécurisés pour accéder à l'infrastructure du réseau à partir de sites distants.
  • Les privilèges de niveau administrateur à l'infrastructure de la Société sont limités à un nombre restreint d'employés.
  • La Société utilise un logiciel de gestion de la configuration qui automatise le provisionnement du cloud, la gestion de la configuration, le déploiement des applications, l'orchestration intra-service et d'autres besoins informatiques. Le logiciel dispose d'un moteur de contrôle d'accès basé sur les rôles qui permet à la Société de définir facilement des politiques sur qui peut exécuter quelle automatisation dans quels environnements, garantissant que seules les personnes autorisées ont la possibilité d'accéder aux machines et d'appliquer la configuration.
  • La Société surveille les comptes de ses employés pour supprimer les comptes non pertinents ou inactifs.

Capacité de Récupération des Données

  • En cas de défaillance, il est possible de restaurer les données personnelles et les informations critiques à partir de copies de sauvegarde. Les copies de sauvegarde sont chiffrées et les données sont régulièrement enregistrées sur des fichiers de données dans différents lieux physiques en dehors des locaux de la société.

Réponse et Gestion des Incidents

  • La Société a mis en place des processus et des procédures définis pour détecter les incidents, répondre avec précision et atténuer les incidents afin de prévenir les dommages aux données.
  • La Société a mis en place une équipe dédiée à la gestion des incidents sur une base de fonctionnement 24h/24 et 7j/7.

Contrôle des Ressources Logicielles et Matérielles

  • La Société tient un inventaire des appareils des employés et est en mesure de détecter et de bloquer tout périphérique malveillant.
  • Les ordinateurs fournis aux employés par la Société sont dotés de systèmes de gestion des appareils mobiles qui garantissent la sécurité de l'équipement, la mise à jour appropriée et opportune des logiciels ainsi que la destruction sûre des données en cas de perte de l'équipement.
  • Les employés autorisés sont responsables de la sécurité des appareils de la Société : installation et mise à jour de l'antivirus, du pare-feu, ainsi que des autres mesures de sécurité.
  • Le Responsable du Traitement des Données exige l'utilisation d'identifiants d'utilisateur uniques, de mots de passe forts, d'une authentification à deux facteurs dans la majorité des applications et de listes d'accès soigneusement contrôlées afin de minimiser le potentiel d'utilisation non autorisée des comptes. La majorité des systèmes qui contiennent des Données Personnelles sont accessibles aux employés uniquement par le biais d'adresses IP figurant sur une liste blanche.
  • Les employés accèdent au réseau par des tunnels chiffrés (VPN). La société utilise également l'isolation du client qui empêche un appareil connecté au réseau par une connexion sans fil d'accéder aux ressources connectées au réseau par une connexion filaire.
  • Les mises à jour des logiciels et des micrologiciels sont effectuées régulièrement. Les vulnérabilités critiques identifiées sont corrigées immédiatement.

Sécurité Physique

  • Les locaux de la Société ne sont accessibles qu'aux personnes autorisées par la Société. Les invités, partenaires et clients qui entrent dans les locaux principaux de la Société sont enregistrés et doivent signer des accords de non-divulgation. Les tiers n'ont accès à tous les locaux de la Société qu'avec l'escorte des employés de la Société.
  • Les employés de la Société n'accèdent aux locaux qu'avec des cartes magnétiques qui recueillent des informations sur leur utilisation. Tous les locaux sont équipés de systèmes d'alarme en état de marche, surveillés par des sociétés de sécurité.
  • Pour s'assurer que les locaux de la Société ne sont accessibles qu'aux personnes autorisées, la Société effectue une surveillance vidéo des points d'entrée et des passages.
  • Les employés de la Société doivent stocker les documents et les fichiers de données correctement, de manière sécurisée et s'abstenir de faire des copies inutiles. Les documents papier sensibles sont stockés dans des casiers ou des coffres-forts.
Les mesures techniques et organisationnelles à prendre par les Sous-traitants
Le Responsable du traitement des données met en œuvre des mesures organisationnelles pour s'assurer que les pratiques de sécurité appliquées par ses Sous-traitants ne sont pas moins protectrices que celles prévues dans l'Accord relatif à la protection des Données Personnelles (dans la mesure applicable selon la nature des services fournis par un Sous-traitant).