Fiers d'être soutenus par Vontier. Partageant une vision commune motivée par l'innovation.

En savoir plus
Parlons en

Accord sur le traitement des données

Le présent accord sur le traitement des données (« DPA ») est conclu entre Driivz Inc. et ses filiales, pour les transactions basées aux États-Unis d'Amérique ou en Amérique du Nord, ou Driivz Ltd. et ses filiales, pour les transactions ailleurs dans le monde (les deux,« Driivz »), soit à compter de la date d'entrée en vigueur de toute condition d'utilisation entre vous («Société ») et Driivz (le «Contrat »).

Étant donné que vous et Driivz avez conclu le Contrat, qui peut nécessiter le Traitement de Données à Caractère Personnel par Driivz agissant en tant que Prestataire de Services (tel que défini dans les lois applicables en matière de protection des données) (« Sous-traitant ») pour le compte ou au nom de la Société agissant en tant qu'Entreprise (tel que défini dans les lois applicables en matière de protection des données) et/ou de ses clients (le cas échéant) (« Responsable du traitement »), le présent ATD définit les exigences, conditions et modalités supplémentaires auxquelles le Sous-traitant se soumettra pour le traitement des Informations personnelles jusqu'à ce que le Sous-traitant cesse tout Traitement des Informations personnelles pour le compte du Responsable du traitement.

1. Définitions et interprétation

Les termes en majuscules utilisés mais non définis dans le présent ATD ont la signification qui leur est donnée dans le Contrat. Lorsque des définitions différentes pour un même terme ont été utilisées dans le Contrat et dans le présent ATD, les définitions fournies dans le présent ATD prévalent en ce qui concerne les termes du présent ATD. Aux fins du présent ATD, les mots et expressions suivants ont la signification suivante, sauf si le contexte exige une interprétation différente :

Les « informations personnelles du responsable du traitement »désignent toutes les informations personnelles et données personnelles, sous quelque forme ou sur quelque support que ce soit, qui sont traitées par le sous-traitant pour le compte et au nom du responsable du traitement et/ou des clients du responsable du traitement (le cas échéant), que ces informations personnelles et données personnelles soient ou non fournies (par transfert ou accès) et/ou produites ou générées par ou au nom du sous-traitant dans le cadre du contrat ou du présent ATD, y compris celles énoncées à l'annexe 1.

Les termes « personne concernée »,« données à caractère personnel »,« entreprise »,« prestataire de services », «informations personnelles »,« violation de données à caractère personnel »,« traitement »et «informations personnelles sensibles »(ou «catégories particulières de donnéesà caractère personnel ») ont tous la signification qui leur est donnée dans les lois applicables en matière de protection des données (et les termes connexes, tels que « traiter », ont des significations correspondantes). Si l'un de ces termes n'est pas défini dans les lois applicables en matière de protection des données, il aura la signification qui lui est donnée dans le RGPD.

Le terme «exportateur de données »a la signification qui lui est donnée dans les clauses contractuelles types de l'UE.

Le terme «importateur de données »a la signification qui lui est donnée dans les clauses contractuelles types de l'UE.

Les « lois sur la protection des données »désignent toutes les lois, réglementations, exigences législatives et réglementaires, ainsi que les codes de pratique juridiquement contraignants applicables au traitement, à la confidentialité, à l'intégrité, à la sécurité, à la confidentialité et à l'utilisation des informations personnelles du responsable du traitement, tels qu'ils s'appliquent au responsable du traitement, aux clients du responsable du traitement et/ou au fournisseur, y compris, sans limitation et le cas échéant (i) le RGPD ainsi que les lois nationales de mise en œuvre dans tout État membre de l'EEE ; (ii) le RGPD tel qu'il est incorporé dans les lois du Royaume-Uni ; (iii) la loi britannique de 2018 sur la protection des données ; (iv) la loi fédérale suisse sur la protection des données ; (v) la loi californienne sur la protection de la vie privée des consommateurs ; (vi) la loi californienne sur les droits à la vie privée ; (viii) la Lei Geral de Proteção de Dados ; (ix) la loi sud-africaine de 2013 sur la protection des informations personnelles ; et toute législation qui modifie ou remplace les dispositions susmentionnées.

Les « clauses contractuelles typesde l'UE »désignent les clauses approuvées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, (dont une copie est disponible à l'adresse suivante : www.vontier.com/EU_Contractual_Clauses).

« RGPD »désigne le règlement général sur la protection des données (UE) 2016/679.

Le terme « Services »a la signification qui lui est donnée dans le Contrat ou, lorsque ce terme n'est pas défini, désigne les services décrits dans le Contrat et convenus entre le Responsable du traitement et le Sous-traitant de temps à autre.

« Autorité de contrôle »désigne toute autorité compétente en matière de protection des données ou de confidentialité dans toute juridiction dans laquelle le Responsable du traitement, les clients du Responsable du traitement (le cas échéant) ou le Sous-traitant sont établis, dans laquelle le Sous-traitant fournit les Services ou dans laquelle le Sous-traitant traite les Informations personnelles du Responsable du traitement.

« Addendumbritannique »désigne l'addendum figurant à l'annexe 5, disponible à l'adresse suivante : www.vontier.com/EU_Contractual_Clauses.

2. Nomination et rôle des parties

  1. Le Responsable du traitement désigne le Sous-traitant pour traiter les Informations personnelles du Responsable du traitement en son nom, dans la mesure nécessaire à la fourniture des Services et à l'exécution du Contrat.
  2. Lorsque les informations personnelles du responsable du traitement comprennent des informations personnelles pour lesquelles le client du responsable du traitement est un « responsable du traitement » (au sens donné à ce terme dans le RGPD), le responsable du traitement garantit avoir obtenu l'autorisation préalable et tous les consentements et licences applicables de la part de ses clients afin de désigner le sous-traitant en tant que « sous-traitant » (au sens donné à ce terme dans le RGPD).

3. Détails du traitement

  1. Le traitement des informations personnelles du responsable du traitement par le sous-traitant dans le cadre du présent ATD doit respecter : (a) l'objet ; (b) la durée ; (c) la nature et la finalité ; et (d) le type d'informations personnelles et les catégories de personnes concernées, tels que définis dans le présent ATD.
  2. Les instructions relatives au traitement, la nature et la finalité du traitement sont décrites à l'annexe 1.
  3. Les obligations et les droits du responsable du traitement sont ceux énoncés dans le présent ATD et dans la loi sur la protection des données.

4. Respect de la loi sur la protection des données

  1. Chaque partie doit dans tous les cas traiter les informations personnelles du contrôleur de traitement conformément aux lois sur la protection des données.
  2. Le responsable du traitement a le droit de prendre des mesures raisonnables et appropriées pour s'assurer que le sous-traitant utilise les informations personnelles du responsable du traitement d'une manière conforme aux obligations du responsable du traitement en vertu des lois sur la protection des données.
  3. Le responsable du traitement a le droit, après notification, de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des informations personnelles du responsable du traitement et y remédier.
  4. Le Sous-traitant s'engage par la présente à informer immédiatement le Responsable du traitement, et en tout état de cause au plus tard quarante-huit (48) heures après avoir pris sa décision, s'il estime ne plus être en mesure de remplir ses obligations en vertu des Lois sur la protection des données.
  5. Le Contrôleur garantit par la présente que la fourniture par lui de toute Information personnelle du Contrôleur est conforme aux Lois sur la protection des données.
  6. Aucune des parties ne doit, par ses actes ou omissions, amener l'autre partie à enfreindre les lois sur la protection des données.

5. Agir conformément aux instructions documentées du contrôleur

  1. Le Sous-traitant traitera les Données à caractère personnel du Responsable uniquement sur instruction écrite de ce dernier, y compris celles énoncées dans le présent ATD et dans le Contrat. Le Sous-traitant a également le droit de traiter les Données à caractère personnel du Responsable dans la mesure requise par la loi, après en avoir préalablement informé le Responsable, sauf si la loi applicable interdit une telle notification. Le Sous-traitant informera sans délai le Responsable du traitement si, selon son avis raisonnable, une instruction du Responsable du traitement enfreint la Loi sur la protection des données, cette notification devant inclure une explication des raisons pour lesquelles le Sous-traitant a formé cet avis, et le Sous-traitant sera en droit de suspendre son Traitement des Informations personnelles du Responsable du traitement concernées jusqu'à ce que le Responsable du traitement modifie ses instructions pour se conformer à la Loi sur la protection des données.
  2. Le Processeur reconnaît qu'il lui est interdit :
  3. vendre ou partager les informations personnelles du responsable du traitement, sauf autorisation contraire en vertu des lois sur la protection des données ou du présent ATD ;
  4. conserver, utiliser ou divulguer les informations personnelles du contrôleur à des fins autres que celles spécifiées à l'annexe 1 ou autorisées par les lois sur la protection des données ; ou
  5. combiner les informations personnelles du contrôleur avec les informations personnelles qu'il reçoit d'une ou plusieurs autres personnes ou pour le compte de celles-ci, ou qu'il recueille à partir de ses propres interactions avec la personne concernée, sauf si les lois sur la protection des données ou le présent ATD l'autorisent.
  6. Le responsable du traitement autorise le sous-traitant à créer un ensemble de données agrégées ou entièrement anonymisées à partir des informations personnelles du responsable du traitement. Le responsable du traitement et le sous-traitant conviennent que l'ensemble de données agrégées ou entièrement anonymisées ne constitue pas des données à caractère personnel et qu'il sera détenu et conservé par le sous-traitant.

6. Garantir la confidentialité des employés

Le sous-traitant doit s'assurer que toute personne agissant sous son autorité qui pourrait avoir accès aux informations personnelles du responsable du traitement ou qui les traite d'une autre manière est soumise à des obligations de confidentialité juridiquement contraignantes.

7. Prendre les mesures techniques et organisationnelles appropriées, notamment en matière de sécurité

  1. Le sous-traitant doit mettre en œuvre les mesures techniques et organisationnelles appropriées :
    1. conçu pour aider le responsable du traitement à répondre aux demandes des personnes concernées qui souhaitent exercer leurs droits en vertu de la législation sur la protection des données ; et
    2. conçues pour garantir un niveau de sécurité des informations personnelles du responsable du traitement adapté au risque présenté par le traitement de ces informations personnelles par le sous-traitant, afin de les protéger contre toute divulgation, tout accès, toute perte ou toute modification non autorisés, accidentels ou illicites, et comprenant au minimum les mesures énoncées à l'annexe 2.

8. Notification et assistance en cas de violation des données

  1. Le sous-traitant doit informer le responsable du traitement par écrit et sans retard injustifié s'il a connaissance d'une violation de données à caractère personnel affectant les informations personnelles du responsable du traitement (une «Violation de données»), et fournir au responsable du traitement, dès que cela est raisonnablement possible, les informations suivantes relatives à la violation de données :
    1. la nature des renseignements personnels concernés ;
    2. les catégories et le nombre de personnes concernées ;
    3. le nombre d'enregistrements de données à caractère personnel concernés ;
    4. mesures prises pour remédier à la violation de données ; et
    5. les conséquences possibles et les effets négatifs de la violation de données.
    6. Le Sous-traitant, aux frais du Responsable du traitement, fournira à ce dernier toute l'assistance raisonnable nécessaire au respect par le Responsable du traitement des articles 32 à 34 du RGPD ou des exigences équivalentes d'autres lois sur la protection des données. Le Sous-traitant fournira cette assistance en temps opportun et conformément aux délais fixés dans les lois sur la protection des données.

9. Sous-traitance

  1. Le Responsable du traitement autorise par la présente le Sous-traitant à engager des tiers pour effectuer des activités de traitement relatives aux Informations personnelles du Responsable du traitement pour le compte du Responsable du traitement (« Sous-traitants secondaires »). Le Sous-traitant informera le Responsable du traitement par écrit à l'avance s'il a l'intention de remplacer ou d'ajouter des Sous-traitants secondaires, et le Responsable du traitement aura le droit, en agissant de manière raisonnable, de refuser ce remplacement ou l'ajout de sous-traitants secondaires supplémentaires. Si le Responsable du traitement n'informe pas le Sous-traitant par écrit de son opposition à l'ajout ou au remplacement de sous-traitants secondaires dans les 20 jours suivant la notification de cet ajout ou remplacement, le Sous-traitant pourra procéder à l'engagement des sous-traitants secondaires supplémentaires ou de remplacement pour traiter les Informations personnelles du Responsable du traitement. Si le Responsable du traitement notifie au Sous-traitant son objection conformément à la présente clause, les parties s'efforceront de bonne foi de trouver une solution au problème. Si aucune solution ne peut être trouvée dans les 30 jours suivant l'objection du Responsable du traitement, chacune des parties a le droit de résilier le présent ATD et le Contrat moyennant un préavis écrit de 30 jours à l'autre partie.
  2. Le sous-traitant principal conclura avec chaque sous-traitant secondaire un accord écrit contenant des obligations conformes et au moins équivalentes aux responsabilités et exigences énoncées dans le présent ATD.

10. Transferts transfrontaliers de renseignements personnels

  1. Le Sous-traitant ne doit pas, et doit veiller à ce qu'aucun Sous-traitant secondaire ne transfère aucune Information personnelle du Responsable du traitement vers un pays ou territoire situé en dehors du pays ou territoire d'origine de l'Information personnelle du Responsable du traitement, sans s'assurer que des mesures de protection appropriées sont en place pour protéger l'Information personnelle du Responsable du traitement, conformément aux exigences des Lois sur la protection des données.
  2. Sous réserve des clauses 10.4 et 10.5 (le cas échéant), si des informations personnelles provenant de l'EEE, du Royaume-Uni ou de la Suisse sont transférées par le responsable du traitement au sous-traitant dans le cadre du présent ATD et/ou du contrat, le module deux des clauses contractuelles types de l'UE est incorporé par référence dans le présent ATD et s'applique au responsable du traitement en tant qu'exportateur de données et au sous-traitant en tant qu'importateur de données.
  3. Sous réserve des clauses 10.4 et 10.5 (le cas échéant), si des informations personnelles du responsable du traitement provenant de l'EEE, du Royaume-Uni ou de la Suisse sont transférées du sous-traitant au responsable du traitement dans le cadre du présent ATD et/ou du contrat, le module quatre des clauses contractuelles types de l'UE est incorporé par référence dans le présent ATD et s'applique au sous-traitant en tant qu'exportateur de données et au responsable du traitement en tant qu'importateur de données.
  4. En ce qui concerne les informations personnelles du contrôleur provenant de Suisse, les clauses contractuelles types de l'UE seront modifiées comme suit : (i) le terme « État membre » ne sera pas interprété de manière à exclure les personnes concernées en Suisse de la possibilité d'intenter une action en justice pour faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des clauses contractuelles types de l'UE ; et (ii) les références au « règlement (UE) 2016/679 » ou à « ce règlement » seront comprises comme des références à la loi fédérale suisse sur la protection des données ; (iii) toutes les références à la « Commission » sont réputées renvoyer au Préposé fédéral à la protection des données et à la transparence ; (iv) toutes les références à « l'Union européenne », « l'UE », « l'État membre » et « l'Union » sont réputées renvoyer à la Suisse ; et (v) les notes de bas de page sont supprimées.
  5. En ce qui concerne les informations personnelles du contrôleur provenant du Royaume-Uni, les clauses contractuelles types de l'UE seront modifiées conformément à l'addendum britannique.

11. Suppression ou retour du Responsable du traitement Informations personnelles

  1. Le Sous-traitant doit, sans délai et dans tous les cas dans les trente (30) jours : (a) suivant la résiliation ou l'expiration du Contrat, pour quelque raison que ce soit ; (b) après la fin de la fourniture des Services concernés liés au Traitement ; ou (c) si cela intervient plus tôt, dès que le Traitement par le Sous-traitant de toute Information personnelle du Responsable n'est plus nécessaire à l'exécution par le Sous-traitant de ses obligations au titre du présent Contrat, cesser toute utilisation de ces Informations personnelles du Responsable et détruire de manière sécurisée ou restituer au Responsable (selon les instructions du Responsable) toutes ces Informations personnelles du Responsable.
  2. Nonobstant la clause 11.1, si le Sous-traitant est tenu par la loi applicable de stocker des Informations personnelles du Responsable du traitement, le Sous-traitant doit informer le Responsable du traitement de cette exigence, garantir la confidentialité continue de toutes ces Informations personnelles du Responsable du traitement et veiller à ce que les Informations personnelles du Responsable du traitement ne soient traitées que dans la mesure nécessaire aux fins spécifiées dans les lois applicables exigeant leur stockage et à aucune autre fin.

12. Registres et audit

  1. Le Sous-traitant tiendra des registres écrits complets, exacts et à jour de toutes les activités de traitement effectuées pour le compte du Responsable du traitement et mettra à la disposition de ce dernier, sur demande écrite, ces registres et toute autre information raisonnablement requise par le Responsable du traitement pour démontrer le respect par le Sous-traitant de ses obligations au titre du présent ATD.
  2. Si le Responsable du traitement n'est pas convaincu (de manière raisonnable) que les informations fournies par le Sous-traitant conformément à la clause 12.1 démontrent la conformité du Sous-traitant au présent ATD, le Responsable du traitement a le droit de procéder, par lui-même ou par l'intermédiaire d'un tiers indépendant agissant sous sa direction et qui n'est pas un concurrent du Sous-traitant, aux frais du Responsable du traitement, à une inspection, y compris un audit, des procédures de sécurité et de confidentialité des données du Sous-traitant relatives au Traitement des Informations personnelles du Responsable du traitement et à la conformité au présent ATD. Cette inspection ou cet audit ne peut avoir lieu qu'une fois par année civile, pendant les heures normales de bureau du Sous-traitant, après réception par le Sous-traitant d'un préavis écrit de 30 jours concernant cette inspection ou cet audit, et après accord entre les parties sur la portée de l'inspection ou de l'audit. Pour éviter toute ambiguïté, cette inspection ou cet audit ne doit pas perturber de manière déraisonnable les activités du Sous-traitant et ne doit pas inclure une inspection ou un audit qui compromette les Informations personnelles ou les informations confidentielles Traitées par le Sous-traitant pour le compte de tiers.

13. Conditions générales

  1. Le présent accord de traitement des données constitue l'intégralité de l'accord entre les parties et remplace, résilie et annule tous les accords, promesses, assurances et ententes antérieurs et contemporains entre elles, qu'ils soient écrits ou oraux, relatifs à son objet.
  2. Les deux parties reconnaissent et comprennent que les informations personnelles du contrôleur peuvent être soumises à des lois sur la protection des données qui exigent certaines obligations et/ou la conclusion d'accords, notamment en ce qui concerne le transfert transfrontalier des informations personnelles du contrôleur. Les deux parties conviennent de conclure tout accord ou arrangement alternatif ou supplémentaire ou de mettre en œuvre toute mesure supplémentaire qui pourrait être requise en vertu des lois sur la protection des données en ce qui concerne le traitement et/ou le transfert transfrontalier des informations personnelles du contrôleur.
  3. En cas de conflit entre les dispositions du présent ATD, le Contrat et les Clauses contractuelles types de l'UE, l'ordre de priorité suivant s'applique : les Clauses contractuelles types de l'UE, les dispositions du présent ATD, puis le Contrat.
  4. Toute modification ou amendement au présent accord n'est valable qu'après accord écrit et signé des deux parties.
  5. Si une disposition du présent ATD est invalide ou inapplicable, les autres dispositions du présent ATD restent valides et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire afin d'assurer sa validité et son applicabilité, tout en préservant autant que possible les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée comme si la partie invalide ou inapplicable n'y avait jamais figuré.
  6. Sauf dans les cas où les parties ne peuvent limiter ou exclure leur responsabilité en vertu de la loi applicable, la responsabilité globale de chaque partie découlant du présent ATD ou en rapport avec celui-ci, qu'elle soit contractuelle, délictuelle (y compris la négligence), pour manquement à une obligation légale ou autre, est soumise aux limitations et exclusions de responsabilité prévues dans le Contrat, et toute référence dans le Contrat à la responsabilité d'une partie désigne la responsabilité globale de cette partie et de toutes ses Affiliées en vertu du Contrat et de l'ATD pris ensemble.
  7. Tout litige ou réclamation (y compris les litiges ou réclamations non contractuels) découlant du présent ATD ou en rapport avec celui-ci sera régi par les lois énoncées dans l'Accord, et les tribunaux du territoire énoncé dans l'Accord seront compétents pour résoudre ces litiges ou réclamations.

 

Annexe 1 :

Détails du traitement des Responsable du traitement Informations personnelles

La présente annexe 1 comprend certaines informations détaillées relatives au traitement des données à caractère personnel du responsable du traitement, conformément à l'article 28, paragraphe 3, du RGPD ou aux exigences équivalentes d'autres lois sur la protection des données.

1. Objet et durée du traitement des Responsable du traitement Données à caractère personnel

L'objet du traitement des informations personnelles du responsable du traitement est la fourniture des services au responsable du traitement. Les informations personnelles du responsable du traitement seront traitées pendant toute la durée de l'accord entre les parties, sous réserve de la section 11 du présent ATD.

2. Nature et finalité du traitement des Responsable du traitement les données à caractère personnel

Le sous-traitant hébergera, conservera et traitera les informations personnelles du responsable du traitement uniquement dans le cadre de la fourniture des services conformément aux conditions du contrat et du présent ATD.

3. Types de Responsable du traitement Informations personnelles traitées

Informations personnelles saisies par (ou à la demande du) Responsable du traitement ou par les Personnes concernées dans le système du Sous-traitant ou que ce dernier traite pour le compte du Responsable du traitement dans le cadre de la fourniture des Services conformément aux conditions du Contrat et du présent ATD, y compris le nom des utilisateurs, leurs coordonnées (notamment, mais sans s'y limiter : numéro de téléphone, adresse e-mail, adresse de facturation), leurs informations et historiques de paiement, les informations relatives à leur véhicule et les interactions autorisées des utilisateurs de la plateforme.

4. Catégories de personnes concernées auxquelles le responsable du traitement les informations personnelles

Les employés, sous-traitants et utilisateurs finaux autorisés de la société/du contrôleur.

5. Pays dans lesquels le sous-traitant traitera les informations personnelles du responsable du traitement

États-Unis, Israël, Inde

Annexe 2:

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Description des aspects techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, en tenant compte de la nature, la portée, le contexte et la finalité du traitement, ainsi que les risques pour les droits et libertés des personnes physiques personnes physiques.

Mesures techniques

Mesure technique Description
1. Inventaire et contrôle des actifs matériels Gérez activement tous les périphériques matériels du réseau afin que seuls les périphériques autorisés puissent y accéder et que les périphériques non autorisés et non gérés soient détectés et empêchés d'y accéder.
2. Inventaire et contrôle des actifs logiciels Gérez activement tous les logiciels sur le réseau afin que seuls les logiciels autorisés soient installés et puissent s'exécuter, et que les logiciels non autorisés et non gérés soient détectés et empêchés d'être installés ou exécutés.
3. Gestion continue des vulnérabilités Acquérir, évaluer et exploiter en permanence les nouvelles informations afin d'identifier les vulnérabilités, d'y remédier et de réduire au minimum les possibilités d'attaque.
4. Utilisation contrôlée des privilèges administratifs Maintenir des processus et des outils permettant de suivre, contrôler, prévenir et corriger l'utilisation, l'attribution et la configuration des privilèges administratifs sur les ordinateurs, les réseaux, les applications et les données.
5. Configuration sécurisée du matériel et des logiciels sur les appareils mobiles, les ordinateurs portables, les postes de travail et les serveurs Mettre en œuvre et gérer activement (suivre, signaler, corriger) la configuration de sécurité des appareils mobiles, ordinateurs portables, serveurs et postes de travail à l'aide d'un processus de gestion de la configuration et de contrôle des changements afin d'empêcher les pirates d'exploiter les services et paramètres vulnérables.
6. Maintenance, surveillance et analyse des journaux d'audit Collectez, gérez et analysez les journaux d'audit et de sécurité des événements susceptibles d'aider à détecter, comprendre ou récupérer après une éventuelle attaque.
7. Protections pour les courriels et les navigateurs Web Déployez des contrôles automatisés pour réduire au minimum la surface d'attaque et les possibilités pour les pirates de manipuler le comportement humain par le biais de leurs interactions avec les navigateurs Web, les systèmes de messagerie électronique ou les contenus.
8. Défenses contre les logiciels malveillants Contrôlez l'installation, la propagation et l'exécution de codes malveillants à plusieurs niveaux de l'entreprise, tout en optimisant l'utilisation de l'automatisation pour permettre une mise à jour rapide des mesures de défense, la collecte de données et la mise en œuvre de mesures correctives.
9. Limitation et contrôle des ports réseau, des protocoles et des services Gérer (suivre, contrôler, corriger) l'utilisation opérationnelle continue des ports, protocoles, services et applications sur les appareils en réseau afin de minimiser les fenêtres de vulnérabilité et d'exposition accessibles aux attaquants.
10. Capacités de récupération des données Maintenir des processus et des outils permettant de sauvegarder correctement les données personnelles à l'aide d'une méthodologie éprouvée afin de garantir la confidentialité, l'intégrité, la disponibilité et la récupérabilité de ces données.
11. Configuration sécurisée des périphériques réseau, tels que les pare-feu, les routeurs et les commutateurs Mettre en œuvre et gérer activement (suivre, signaler, corriger) la configuration de sécurité des dispositifs d'infrastructure réseau à l'aide d'un processus de gestion de la configuration et de contrôle des changements afin d'empêcher les pirates d'exploiter les services et paramètres vulnérables.
12. Défenses frontalières Détecter, prévenir et corriger les flux d'informations transférées entre des réseaux de différents niveaux de confiance, en mettant l'accent sur les données personnelles.
13. Protection des données Maintenir les processus et les outils utilisés pour prévenir l'exfiltration de données, atténuer les effets de l'exfiltration de données et garantir la confidentialité et l'intégrité des données à caractère personnel.
14. Accès contrôlé basé sur le besoin d'en connaître Maintenir des processus et des outils permettant de suivre, contrôler, prévenir et corriger l'accès sécurisé aux actifs critiques ou contrôlés (par exemple, informations, ressources, systèmes) conformément à la détermination formelle des personnes, ordinateurs et applications qui ont besoin et le droit d'accéder à ces actifs critiques ou contrôlés sur la base d'une classification approuvée.
15. Contrôle d'accès sans fil Maintenir des processus et des outils permettant de suivre, contrôler, prévenir et corriger l'utilisation sécurisée des réseaux locaux sans fil (WLAN), des points d'accès et des systèmes clients sans fil.
16. Surveillance et contrôle des comptes Gérez activement le cycle de vie des comptes système et application, leur création, leur utilisation, leur mise en veille et leur suppression afin de minimiser les risques d'utilisation non autorisée, inappropriée ou malveillante.

Mesure organisationnelle

Mesure organisationnelle Description
1. Mettre en œuvre un programme complet de sécurité de l'information Grâce à la mise en œuvre d'un programme complet de sécurité de l'information (CISP), maintenir diverses mesures de protection administratives afin de protéger les données personnelles. Ces mesures sont conçues pour garantir :

  • sécurité, confidentialité et intégrité des données à caractère personnel
  • protection contre l'accès ou l'utilisation non autorisés de données personnelles (stockées) d'une manière qui crée un risque important d'usurpation d'identité ou de fraude
  • que les employés, sous-traitants, consultants, intérimaires et autres travailleurs ayant accès à des données à caractère personnel ne traitent ces données que sur instruction du responsable du traitement.
2. Mettre en œuvre un programme de sensibilisation et de formation à la sécurité Pour tous les rôles fonctionnels (en donnant la priorité à ceux qui sont essentiels à l'activité, à la sécurité et à la protection des données à caractère personnel), identifier les connaissances, compétences et aptitudes spécifiques nécessaires pour soutenir la protection et la défense des données à caractère personnel ; élaborer et mettre en œuvre un plan intégré pour évaluer, identifier les lacunes et y remédier par le biais de politiques, de plans organisationnels, de formations et de programmes de sensibilisation.
3. Sécurité des logiciels d'application Gérer le cycle de vie de la sécurité de tous les logiciels développés en interne et acquis afin de prévenir, détecter et corriger les failles de sécurité.
4. Gestion et réponse aux incidents Protéger les informations de l'organisation, y compris les données personnelles, ainsi que sa réputation, en développant et en mettant en œuvre une infrastructure de réponse aux incidents (par exemple, plans, rôles définis, formation, communications, supervision de la direction, contrats de services et assurance) afin de détecter rapidement une attaque, puis de limiter efficacement les dommages, d'éradiquer la présence de l'attaquant et de restaurer l'intégrité du réseau et des systèmes de l'organisation.
5. Évaluations de la sécurité et de la confidentialité, tests de pénétration et exercices de la « Red Team » (équipe rouge) Tester la solidité globale des défenses de l'organisation (technologie, processus et personnel) en simulant les objectifs et les actions d'un attaquant ; évaluer et valider les contrôles, les politiques et les procédures de l'organisation en matière de protection de la vie privée et des données personnelles.
6. Sécurité physique et contrôle des accès Exiger que toutes les installations respectent les normes de protection des données les plus élevées possibles et raisonnables, compte tenu des circonstances propres à l'installation et aux données qu'elle contient, traite ou transmet.

Annexe 3

UE CLAUSES CONTRACTUELLES TYPES

Les clauses contractuelles types et les annexes connexes, ainsi que l'addendum britannique, sont disponibles à l'adresse suivante : www.vontier.com/EU_Contractual_Clauses et sont incorporés et intégrés au présent accord.