Extrais — Accord de traitement des données
[crochets] est un espace réservé à compléter pour l'engagement concerné. Ce modèle est rédigé pour satisfaire à l'article 28 du Règlement général sur la protection des données de l'UE (RGPD) ainsi qu'aux obligations équivalentes au titre du RGPD britannique, de la Loi fédérale suisse révisée sur la protection des données (nLPD / LPD révisée) et de la Loi turque n° 6698 sur la protection des données personnelles (KVKK). Il doit être examiné, adapté et finalisé par un conseil juridique qualifié avant toute signature pour un engagement donné. À lire conjointement avec notre Politique de confidentialité et notre page Sous-traitants ultérieurs.Parties
Le présent accord de traitement des données est conclu entre :
- (1) TABA Tasarım İnşaat Anonim Şirketi (« TABA », le « Responsable du traitement »), société constituée en République de Türkiye, exploitant de la plateforme Extrais, joignable à l'adresse info@vitamedas.com (le « Responsable du traitement ») ; et
- (2)
[Sous-traitant : dénomination sociale complète, numéro d'immatriculation, siège social, juridiction de constitution](le « Sous-traitant »),[contact : nom / courriel du délégué à la protection des données ou du représentant du Sous-traitant].
chacune une « Partie » et ensemble les « Parties ». Le présent ATD fait partie intégrante de l'accord sous-jacent conclu entre les Parties au titre duquel le Sous-traitant fournit des services à TABA (le « Contrat principal », [référence / intitulé / date]) et le complète. Il prend effet à la date de la dernière signature ci-dessous (la « Date d'effet »).
Préambule
Dans le cadre de l'exécution des services décrits dans le Contrat principal (les « Services »), le Sous-traitant traitera des données à caractère personnel pour le compte et sur instructions de TABA. Les Parties concluent le présent ATD afin de garantir que ce traitement soit effectué conformément au Droit applicable en matière de protection des données et, en particulier, à l'article 28 du RGPD.
1. Définitions et interprétation
1.1 Les termes commençant par une majuscule employés dans le présent ATD ont le sens qui leur est donné dans le RGPD. En particulier, les termes « données à caractère personnel », « catégories particulières de données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « personne concernée », « violation de données à caractère personnel », « autorité de contrôle » et « organisation internationale » ont chacun le sens qui leur est donné à l'article 4 du RGPD.
1.2 « RGPD » désigne le Règlement (UE) 2016/679. « RGPD britannique » désigne le RGPD tel qu'il fait partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'European Union (Withdrawal) Act 2018, lu conjointement avec le UK Data Protection Act 2018. « LPD suisse » désigne la Loi fédérale suisse sur la protection des données du 25 septembre 2020 (LPD révisée / nLPD) et son ordonnance d'exécution. « KVKK » désigne la Loi turque n° 6698 sur la protection des données personnelles et sa législation secondaire.
1.3 « Droit applicable en matière de protection des données » désigne l'ensemble des lois relatives à la protection des données et à la vie privée applicables au traitement régi par le présent ATD, y compris, selon le cas, le RGPD, le RGPD britannique et le DPA 2018, la LPD suisse, la KVKK, ainsi que toute autre loi nationale ou infranationale équivalente (y compris, aux États-Unis, le California Consumer Privacy Act tel que modifié par le CPRA et les lois comparables de Virginie, du Colorado, du Connecticut et de l'Utah, et au Canada, la LPRPDE et la Loi 25 du Québec).
1.4 « CCT UE » désigne les clauses contractuelles types approuvées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021. « Addendum britannique » désigne l'International Data Transfer Addendum aux CCT UE publié par le Commissaire britannique à l'information au titre de l'article 119A du DPA 2018. « Transfert encadré » désigne un transfert de données à caractère personnel vers un pays ou un destinataire ne bénéficiant pas d'une décision d'adéquation au titre du Droit applicable en matière de protection des données concerné.
1.5 Sens équivalent entre les régimes. Lorsque le présent ATD renvoie à une notion, un terme ou un article du RGPD, ce renvoi doit s'entendre comme un renvoi à la notion, au terme ou à la disposition matériellement équivalente au titre du RGPD britannique et du DPA 2018, de la LPD suisse et de la KVKK, selon le traitement concerné, de sorte que les protections prévues par le présent ATD s'appliquent avec un effet équivalent sous chacun de ces régimes. En conséquence : les renvois à une « autorité de contrôle » incluent l'Information Commissioner's Office (ICO) britannique, le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT) et l'Autorité turque de protection des données personnelles (Autorité KVKK / Kurum) ; les renvois au « RGPD » incluent le RGPD britannique, la LPD suisse et la KVKK dans la mesure où ils sont applicables ; et les renvois à un « État membre » incluent le Royaume-Uni, la Suisse et la République de Türkiye selon le contexte.
2. Rôles et champ d'application
2.1 Aux fins du présent ATD et du traitement des données à caractère personnel dans le cadre des Services, les Parties reconnaissent et conviennent que TABA est le Responsable du traitement (ou, lorsque TABA agit elle-même en qualité de sous-traitant pour un autre responsable du traitement, le sous-traitant du responsable concerné) et que le Sous-traitant est le sous-traitant agissant pour le compte de TABA.
2.2 Le Sous-traitant ne traite les données à caractère personnel que sur instructions documentées de TABA, y compris en ce qui concerne les Transferts encadrés, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union, du droit d'un État membre ou d'un autre droit applicable auquel le Sous-traitant est soumis ; en pareil cas, le Sous-traitant informe TABA de cette obligation juridique avant le traitement, sauf si ce droit l'interdit pour des motifs importants d'intérêt public.
2.3 L'objet, la durée, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées sont précisés à l'Annexe 1. Le Sous-traitant ne traite pas les données à caractère personnel à une fin autre que celle énoncée à l'Annexe 1 ou autrement instruite par écrit par TABA.
2.4 Le Contrat principal, le présent ATD ainsi que la configuration écrite et l'utilisation des Services par TABA constituent ensemble les instructions documentées complètes et définitives de TABA au Sous-traitant. Toute instruction supplémentaire ou différente requiert l'accord écrit des Parties.
2.5 Le Sous-traitant informe immédiatement TABA si, à son avis, une instruction constitue une violation du Droit applicable en matière de protection des données. Le Sous-traitant n'est pas tenu de procéder à un examen juridique indépendant de la licéité des instructions de TABA.
3. Obligations du Sous-traitant (article 28, paragraphe 3)
Le Sous-traitant veille, et fait en sorte que son personnel et ses sous-traitants ultérieurs veillent, au respect des obligations suivantes.
(a) Instructions documentées
Traiter les données à caractère personnel uniquement sur instructions documentées de TABA (y compris en ce qui concerne les Transferts encadrés), comme décrit à la clause 2 ci-dessus et précisé à l'Annexe 1, sauf obligation imposée par le droit applicable telle que décrite à la clause 2.2.
(b) Confidentialité du personnel
Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et à ce que l'accès aux données à caractère personnel soit limité au personnel qui en a besoin pour exécuter les Services.
(c) Sécurité du traitement (article 32)
Prendre toutes les mesures requises en vertu de l'article 32 du RGPD, en mettant en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état de la technique, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, et des risques pour les droits et libertés des personnes concernées. Les mesures minimales sont énoncées à l'Annexe 2 (Mesures techniques et organisationnelles). Le Sous-traitant ne réduit pas de manière substantielle le niveau global de protection pendant la durée du contrat.
(d) Sous-traitants ultérieurs
3.1 Le Sous-traitant ne recrute pas un autre sous-traitant (un « sous-traitant ultérieur ») sans l'autorisation écrite préalable, spécifique ou générale, de TABA. Lorsqu'une autorisation écrite générale est accordée, le Sous-traitant informe TABA de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur moyennant un préavis raisonnable (au moins [30] jours), donnant ainsi à TABA la possibilité de s'y opposer pour des motifs raisonnables tenant à la protection des données. Si TABA s'y oppose, les Parties s'efforcent de bonne foi de résoudre la difficulté ; à défaut de résolution, TABA peut suspendre ou résilier les Services concernés sans pénalité.
3.2 Lorsque le Sous-traitant recrute un sous-traitant ultérieur, il le fait au moyen d'un contrat écrit imposant à ce sous-traitant ultérieur les mêmes obligations en matière de protection des données que celles énoncées dans le présent ATD, en particulier l'obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD (une « répercussion » des obligations).
3.3 Le Sous-traitant demeure pleinement responsable envers TABA de l'exécution des obligations de chaque sous-traitant ultérieur. Lorsqu'un sous-traitant ultérieur ne s'acquitte pas de ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable envers TABA de l'exécution des obligations de ce sous-traitant ultérieur.
3.4 Une liste à jour des sous-traitants ultérieurs autorisés est tenue à l'Annexe 3 ; la page Sous-traitants ultérieurs publiée par TABA décrit les sous-traitants ultérieurs utilisés pour exploiter la plateforme Extrais.
(e) Assistance pour les droits des personnes concernées (articles 12 à 23)
Compte tenu de la nature du traitement, aider TABA, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées prévus au chapitre III du RGPD (articles 12 à 23), y compris les droits d'accès, de rectification, d'effacement, de limitation, de portabilité des données et d'opposition. Le Sous-traitant informe sans délai TABA s'il reçoit une demande directement d'une personne concernée et ne répond pas lui-même à cette demande, sauf sur instructions documentées de TABA ou si la loi l'exige.
(f) Assistance pour les articles 32 à 36
Aider TABA à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant, y compris une assistance pour : la sécurité du traitement (art. 32) ; la notification d'une violation de données à caractère personnel à l'autorité de contrôle (art. 33) et aux personnes concernées affectées (art. 34) ; les analyses d'impact relatives à la protection des données (art. 35) ; et la consultation préalable de l'autorité de contrôle (art. 36).
(g) Suppression ou restitution des données
Au choix de TABA, supprimer ou restituer à TABA toutes les données à caractère personnel au terme de la prestation des Services relatifs au traitement, et détruire les copies existantes, à moins que le droit de l'Union, le droit d'un État membre ou un autre droit applicable n'exige la conservation des données à caractère personnel. La suppression ou la restitution est achevée dans un délai de [30] jours suivant la fin des Services, sauf convention contraire, et le Sous-traitant certifie par écrit la suppression sur demande.
(h) Information et audits
Mettre à la disposition de TABA toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 et dans le présent ATD, et permettre la réalisation d'audits, y compris des inspections, et y contribuer, menés par TABA ou un autre auditeur mandaté par TABA. Les audits ont lieu moyennant un préavis raisonnable (au moins [30] jours, sauf en cas de violation de données à caractère personnel ou d'exigence d'une autorité de contrôle), au maximum une fois par an sauf exigence d'une autorité de contrôle ou à la suite d'une violation de données à caractère personnel, pendant les heures ouvrables, sous réserve de confidentialité et sans perturbation déraisonnable des activités du Sous-traitant. Le Sous-traitant peut satisfaire aux demandes d'audit raisonnables en fournissant des certifications à jour (par exemple ISO/CEI 27001) ou des rapports d'audit indépendants réalisés par des tiers (par exemple SOC 2 Type II), complétés si nécessaire. Le Sous-traitant informe immédiatement TABA si, à son avis, une instruction constitue une violation du RGPD ou d'un autre Droit applicable en matière de protection des données.
4. Notification des violations de données à caractère personnel
4.1 Le Sous-traitant notifie à TABA sans retard injustifié, et en tout état de cause dans un délai de [48] heures, après avoir pris connaissance d'une violation de données à caractère personnel affectant des données à caractère personnel traitées au titre du présent ATD.
4.2 La notification décrit, dans la mesure du connu et au fur et à mesure de leur disponibilité : la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés ; les conséquences probables de la violation ; les mesures prises ou proposées pour y remédier et pour en atténuer les éventuels effets négatifs ; et un point de contact pour de plus amples informations.
4.3 Le Sous-traitant coopère avec TABA et l'assiste dans l'enquête, l'atténuation et la correction de la violation, et ne fait aucune déclaration publique ni n'informe aucune autorité de contrôle ou personne concernée d'une violation affectant les données de TABA sans l'autorisation écrite préalable de TABA, sauf si la loi l'exige.
5. Transferts internationaux
5.1 Le Sous-traitant ne transfère pas de données à caractère personnel vers un pays situé en dehors de l'EEE, du Royaume-Uni ou de la Suisse, ni vers une organisation internationale, et ne les traite pas en dehors de ces territoires, sauf sur instructions documentées de TABA et sous réserve d'un mécanisme de transfert approprié au titre du Droit applicable en matière de protection des données. Les données essentielles d'Extrais sont hébergées dans l'UE.
5.2 Clauses contractuelles types de l'UE. Lorsque le Sous-traitant (ou un sous-traitant ultérieur autorisé) traite des données à caractère personnel soumises au RGPD dans un pays ne bénéficiant pas d'une décision d'adéquation de la Commission européenne, les CCT UE (décision d'exécution (UE) 2021/914 de la Commission), Module Deux (responsable du traitement vers sous-traitant), sont par les présentes incorporées au présent ATD par renvoi et s'appliquent à ce transfert, TABA étant l'exportateur de données et le Sous-traitant (ou le sous-traitant ultérieur) l'importateur de données. Aux fins de ces Clauses :
- la clause d'amarrage facultative (Clause 7) s'applique ;
- au titre de la Clause 9, l'Option 2 (autorisation écrite générale) s'applique, avec le délai de préavis prévu à la clause 3.1 du présent ATD ;
- au titre de la Clause 11, la disposition facultative relative à l'organe indépendant de règlement des litiges ne s'applique pas ;
- au titre de la Clause 17, les Clauses sont régies par le droit
[d'un État membre de l'UE qui admet les droits des tiers bénéficiaires — par ex. l'Irlande]; - au titre de la Clause 18, les litiges sont tranchés devant les tribunaux
[du même État membre de l'UE]; - les Annexes I, II et III des CCT UE sont renseignées par les Annexes 1, 2 et 3 du présent ATD, respectivement.
5.3 Transferts vers le Royaume-Uni. Pour les Transferts encadrés soumis au RGPD britannique, l'Addendum britannique relatif au transfert international de données (publié par l'ICO au titre de l'art. 119A du DPA 2018) est incorporé au présent ATD et s'applique aux CCT UE telles que modifiées par cet Addendum ; le Tableau 1 (parties), le Tableau 2 (la version des CCT UE et les modules/options sélectionnés ci-dessus) et le Tableau 3 (Annexes) sont complétés par renvoi aux Parties et aux Annexes du présent ATD, et le Tableau 4 prévoit que l'importateur et l'exportateur peuvent mettre fin à l'Addendum comme prévu à sa Section 19.
5.4 Transferts depuis la Suisse. Pour les Transferts encadrés soumis à la LPD suisse, les CCT UE s'appliquent avec les adaptations suivantes, conformément aux orientations du PFPDT suisse : (i) les renvois au RGPD s'entendent comme des renvois à la LPD dans la mesure où le transfert de données est régi par la LPD ; (ii) l'autorité de contrôle compétente est le PFPDT ; (iii) les renvois à un « État membre » ne doivent pas être interprétés comme excluant la possibilité pour les personnes concernées en Suisse de faire valoir leurs droits à leur lieu de résidence habituelle ; et (iv) jusqu'à l'entrée en pleine vigueur de la LPD révisée à toutes fins, les Clauses protègent également les données à caractère personnel des personnes morales dans la mesure où la LPD l'exige.
5.5 Si un mécanisme de transfert est invalidé ou s'avère insuffisant, les Parties coopèrent de bonne foi pour mettre en place un mécanisme licite alternatif et toute mesure supplémentaire requise, à défaut de quoi TABA peut suspendre le transfert concerné ou résilier les Services concernés sans pénalité.
6. Responsabilité
6.1 La responsabilité de chaque Partie découlant du présent ATD ou s'y rapportant, qu'elle soit de nature contractuelle, délictuelle ou fondée sur tout autre régime de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans le Contrat principal, étant entendu que rien ne limite la responsabilité de l'une ou l'autre Partie envers les personnes concernées au titre de, ni le droit à réparation dont une personne concernée peut disposer en vertu de, l'article 82 du RGPD (ou son équivalent au titre d'un autre Droit applicable en matière de protection des données).
6.2 Conformément à l'article 82 du RGPD, le Sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou s'il a agi en dehors des instructions licites de TABA ou contrairement à celles-ci. Lorsque les deux Parties sont responsables d'un dommage causé par le traitement, chaque Partie peut être tenue responsable de la totalité du dommage à l'égard de la personne concernée afin de garantir une réparation effective, avec un droit de recours entre les Parties correspondant à leur part respective de responsabilité dans le dommage.
7. Durée, droit applicable et ordre de priorité
7.1 Durée. Le présent ATD prend effet à la Date d'effet et se poursuit aussi longtemps que le Sous-traitant traite des données à caractère personnel pour le compte de TABA au titre du Contrat principal. Les clauses qui, par leur nature, ont vocation à survivre (y compris celles relatives à la suppression/restitution des données, à la confidentialité, à la responsabilité et aux audits) survivent à la résiliation.
7.2 Droit applicable. Sauf disposition contraire requise par les mécanismes de transfert incorporés (clause 5) ou par des dispositions impératives du Droit applicable en matière de protection des données, le présent ATD est régi par le droit de la République de Türkiye, sans préjudice des droits impératifs des personnes concernées en matière de protection des données au titre du droit qui leur est applicable. Les CCT UE, l'Addendum britannique et les adaptations suisses sont régis par le droit indiqué dans ces instruments ou exigé par ceux-ci, lequel prévaut sur la présente clause dans la mesure de tout conflit pour les transferts qu'ils régissent.
7.3 Ordre de priorité. En cas de conflit ou d'incohérence entre le présent ATD et le Contrat principal sur des questions de protection des données, le présent ATD prévaut. En cas de conflit entre le présent ATD et les CCT UE incorporées (ou l'Addendum britannique ou les adaptations suisses) à l'égard d'un transfert qu'ils régissent, ces Clauses prévalent dans la mesure du conflit.
7.4 Modification et divisibilité. Toute modification du présent ATD doit être consignée par écrit et signée par les deux Parties. Si une disposition est jugée invalide ou inapplicable, les autres dispositions demeurent pleinement en vigueur, et les Parties remplacent la disposition concernée par une disposition valide réalisant, dans la mesure du possible, l'intention initiale.
Signatures
| Responsable du traitement — TABA Tasarım İnşaat A.Ş. | Sous-traitant — [nom] | |
|---|---|---|
| Signature | [ ] | [ ] |
| Nom | [ ] | [ ] |
| Fonction | [ ] | [ ] |
| Date | [ ] | [ ] |
Annexe 1 — Détails du traitement
La présente Annexe énonce les éléments requis par l'article 28, paragraphe 3, du RGPD et renseigne l'Annexe I des CCT UE. Compléter chaque champ pour l'engagement concerné.
| Champ | Détails |
|---|---|
| Exportateur de données / Responsable du traitement | TABA Tasarım İnşaat Anonim Şirketi, République de Türkiye — info@vitamedas.com. Rôle : Responsable du traitement. |
| Importateur de données / Sous-traitant | [Sous-traitant : nom, adresse, contact, rôle : Sous-traitant] |
| Objet du traitement | [par ex. fourniture d'hébergement cloud / messagerie / acheminement de courriels / analytique / rapports de plantage en soutien de la plateforme Extrais] |
| Nature et finalité du traitement | [par ex. stockage, hébergement, transmission, sauvegarde, traitement des données de la plateforme aux seules fins de fournir les Services à TABA] |
| Catégories de personnes concernées | Clients (utilisateurs finaux) ; Pros (artisans indépendants) ; utilisateurs potentiels ; visiteurs ; [autres, par ex. personnel de TABA]. |
| Catégories de données à caractère personnel | Données d'identité et de compte (nom, courriel, identifiants de compte) ; contenu des profils et des annonces ; contenu des messages/discussions et métadonnées d'appels ; données de localisation approximatives ou à la demande ; données relatives aux appareils, journaux et données techniques (adresse IP, identifiants, diagnostics) ; métadonnées des achats/transactions de crédits (aucune donnée de carte — traitée par Apple/Google) ; correspondance d'assistance. [À adapter aux données effectivement reçues par le Sous-traitant.] |
| Données de catégories particulières (art. 9) / données relatives aux infractions (art. 10) | Aucune prévue. La plateforme Extrais est conçue pour ne pas nécessiter de données de catégories particulières ou relatives aux infractions. [Indiquer « Aucune » ou préciser toute exception et les garanties supplémentaires ; à défaut, le Sous-traitant ne traite aucune donnée de catégorie particulière.] |
| Fréquence du traitement | [en continu / de manière ponctuelle / périodique] |
| Durée / conservation | Pour la durée du Contrat principal ; les données à caractère personnel sont supprimées ou restituées conformément à la clause 3(g) au terme des Services, sous réserve de toute obligation légale de conservation. [Préciser les durées de conservation.] |
| Sous-traitants ultérieurs | Tels qu'énumérés à l'Annexe 3 / sur la page Sous-traitants ultérieurs de TABA. |
| Autorité de contrôle compétente (Annexe I.C des CCT) | [autorité de contrôle chef de file de l'État membre de l'UE dont le droit régit les CCT / établissement de l'exportateur UE concerné] |
Annexe 2 — Mesures techniques et organisationnelles (article 32)
Le Sous-traitant met en œuvre et maintient au moins les mesures suivantes, adaptées au risque, et décrit dans chaque ligne la manière dont il satisfait à la mesure pour l'engagement concerné.
(a) Chiffrement
- Chiffrement en transit : TLS 1.2+ (ou supérieur) pour toutes les données en transit sur les réseaux publics et internes ; HSTS le cas échéant.
- Chiffrement au repos : chiffrement robuste et conforme aux normes du secteur (par ex. AES-256) pour les données à caractère personnel stockées, les bases de données, les sauvegardes et le stockage de fichiers ; gestion documentée des clés avec accès restreint aux clés et rotation périodique.
(b) Contrôle d'accès et moindre privilège
- Contrôle d'accès basé sur les rôles (RBAC) et principe du moindre privilège ; accès accordé uniquement sur la base du besoin d'en connaître et réexaminé périodiquement.
- Comptes utilisateurs uniques ; mots de passe robustes et authentification multifacteur (MFA) pour les accès d'administration et distants ; révocation rapide lors des changements de personnel.
- Séparation des environnements de production, de préproduction et de développement, ainsi que des données des différents responsables du traitement.
(c) Pseudonymisation et minimisation des données
- Pseudonymisation et/ou anonymisation appliquées lorsque cela est réalisable ; minimisation des données afin que seules les données nécessaires aux Services soient traitées ; séparation des identifiants et des données utiles lorsque cela est possible.
(d) Sécurité réseau
- Pare-feu, segmentation du réseau et restriction des flux entrants/sortants ; VPN sécurisé ou équivalent pour l'administration à distance ; protection contre les attaques par déni de service (DDoS) et les intrusions ; configurations renforcées et règles de refus par défaut.
(e) Journalisation et surveillance
- Journalisation des événements pertinents pour la sécurité, conservation des journaux résistante à l'altération, synchronisation temporelle, et surveillance/alerte en continu des activités anormales ou non autorisées.
(f) Développement sécurisé
- Cycle de développement logiciel sécurisé (SDLC) avec revue de code, gestion des dépendances, gestion des secrets, séparation des tâches et processus de gestion des changements ; tests de sécurité avant mise en production.
(g) Gestion des vulnérabilités et des correctifs
- Analyses de vulnérabilités régulières, application des correctifs en temps utile selon la criticité, et tests d'intrusion périodiques ; traitement coordonné des vulnérabilités divulguées.
(h) Sauvegarde et résilience
- Sauvegardes régulières et chiffrées ; procédures de restauration testées ; redondance et architecture à haute disponibilité afin de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes de traitement (art. 32, par. 1, point b).
(i) Continuité d'activité et reprise après sinistre
- Plans documentés de continuité d'activité et de reprise après sinistre avec des objectifs RPO/RTO définis ; capacité à rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés à la suite d'un incident (art. 32, par. 1, point c).
(j) Sécurité physique des centres de données
- Données à caractère personnel hébergées dans des installations (par ex. centres de données cloud en région UE) bénéficiant d'un accès physique contrôlé, d'une vidéosurveillance, de contrôles environnementaux et de certifications reconnues (par ex. ISO/CEI 27001).
(k) Confidentialité et formation du personnel
- Obligations contraignantes de confidentialité pour l'ensemble du personnel ayant accès aux données à caractère personnel ; formations régulières à la protection des données et à la sensibilisation à la sécurité ; procédures documentées d'arrivée et de départ.
(l) Réponse aux incidents et traitement des violations
- Un plan documenté de réponse aux incidents définissant les rôles, les voies d'escalade et les délais de notification des violations prévus à la clause 4 ; revue et correction après incident.
(m) Test, évaluation et réexamen
- Un processus visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles (art. 32, par. 1, point d) ; réexamen et mise à jour périodiques de la présente Annexe ; certifications/rapports d'audit mis à disposition sur demande.
[Le Sous-traitant joint ou décrit ses mesures techniques et organisationnelles spécifiques en correspondance avec chacun des points ci-dessus, y compris toute certification (ISO/CEI 27001, SOC 2 Type II) et les emplacements / régions des centres de données utilisés.]Annexe 3 — Sous-traitants ultérieurs autorisés
Les sous-traitants ultérieurs suivants sont autorisés à la Date d'effet. La page publique Sous-traitants ultérieurs de TABA constitue la référence à jour des sous-traitants ultérieurs utilisés pour exploiter la plateforme Extrais ; la présente Annexe consigne ceux recrutés par le Sous-traitant au titre du présent ATD.
| Sous-traitant ultérieur (nom) | Service / finalité | Lieu / région de traitement | Mécanisme de transfert (si hors EEE) |
|---|---|---|---|
[nom] | [par ex. hébergement cloud] | [par ex. UE] | [par ex. S.O. — au sein de l'EEE / CCT UE + Addendum britannique] |
[nom] | [ ] | [ ] | [ ] |
[nom] | [ ] | [ ] | [ ] |
