Accord de traitement des données

    DéfinitionsTraitementPersonnelSécuritéSous-traitantDroits en vertu des donnéesViolation des donnéesÉvaluation de l'effet de la protection des donnéesSuppression ou restitution des donnéesDroits d'auditDispositions finalesAnnexe : mesures techniques et organisationnelles

Accord de traitement de l'information


Cet accord de traitement de données entre PrismaNote et les détaillants ou les marques complète les conditions d'utilisation. En vertu du Règlement général sur la protection des données (RGPD) de l'Union européenne, PrismaNote a une position de « Processeur » et les utilisateurs de PrismaNote ont une position de « Contrôleur » en ce qui concerne les données personnelles fournies par les utilisateurs de PrismaNote.


L'accord de traitement des données fait partie intégrante des conditions d'utilisation. Les conditions du présent accord remplacent toute disposition des conditions d'utilisation dans la mesure où cette disposition entre en conflit avec les dispositions du présent accord de traitement des données.


Dans la politique de confidentialité, nous souhaitons offrir une transparence sur la manière dont PrismaNote est le « contrôleur ».

1. Définitions


1.1 Les définitions suivantes expliquent certaines des terminologies et abréviations utilisées dans le présent addendum aux conditions d'utilisation :

    « DPA » fait référence au présent accord de traitement des données. « Conditions » fait référence à l'accord sur les conditions d'utilisation. « Processeur/Processeur » fait référence à PrismaNote. « Contrôleur / Contrôleur » fait référence à l'utilisateur enregistré des services PrismaNote. « Traitement » fait référence à toute opération ou série d'opérations effectuées sur des données personnelles ou des ensembles de données personnelles, par des moyens automatisés ou non, tels que collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autrement mise à disposition, réconciliation ou combinaison, restriction, effacement ou destruction. 'Données / Données' désigne les informations fournies par le contrôleur au sous-traitant concernant une personne physique identifiée ou identifiable ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l'état physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique. « Personne concernée » fait référence à une personne physique identifiée ou identifiable à laquelle les données se rapportent. données traitées.

2. Traitement


2.1 Le sous-traitant s'engage à traiter toutes les données conformément au RGPD et aux autres lois, statuts et règlements applicables.


2.2 Le sous-traitant ne peut traiter les données que conformément aux instructions documentées du responsable du traitement. Les instructions auxquelles il est fait référence dans les présentes sont incorporées dans les Conditions ou peuvent être contenues dans un autre document écrit préparé ou échangé entre le Contrôleur et le Sous-traitant.


2.3 Pendant la durée du présent ATD, le Responsable du traitement reste le propriétaire des Données transférées au Sous-traitant. Rien dans le présent DPA ne doit être interprété comme transférant la propriété des données au sous-traitant ou à un autre tiers.


2.4 Le Responsable du traitement garantit que les Données sont obtenues conformément aux lois, statuts et règlements applicables et que le Traitement demandé par le Responsable du traitement ne viole aucune loi, statut ou règlement applicable.


2.5 Les données peuvent être traitées pendant la durée du présent DPA.

3. Personnel


3.1 Le Sous-traitant s'assure que tous les employés, sous-traitants et autres personnes travaillant sous l'autorité du Sous-traitant sont liés par une déclaration de confidentialité stricte avant de leur donner accès aux Données.


3.2 Le sous-traitant prendra des mesures pour s'assurer qu'une personne agissant sous l'autorité du sous-traitant qui a accès aux données ne les traite pas, sauf sur instruction du responsable du traitement.

4. Sécurité


4.1 Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des Personnes concernées, le Sous-traitant prendra prendre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris, entre autres :

    La pseudonymisation et le cryptage des Données ; La capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ; La capacité à rétablir la disponibilité et l'accès aux Données en temps opportun en cas de défaillance physique ou incident technique ; processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.


4.2 Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques associés au traitement, résultant notamment de la destruction accidentelle ou illicite, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès aux données transmises, stockées ou autrement traitées. .

5. Sous-traitant ultérieur


5.1 Le Sous-traitant n'engagera aucun autre Sous-traitant sans le consentement écrit préalable, spécifique ou général, du Responsable du traitement. Par consentement écrit général, le Sous-traitant informera le Responsable du traitement des modifications envisagées concernant l'ajout ou le remplacement d'autres sous-traitants, donnant au Responsable du traitement la possibilité de s'opposer à ces modifications. Le Responsable du traitement peut s'opposer à ces modifications par écrit dans les quinze (15) jours suivant la réception de la notification des modifications.


5.2 Si le sous-traitant engage un autre sous-traitant pour effectuer des activités de traitement spécifiques au nom du contrôleur, les mêmes obligations de protection des données que celles énoncées dans le présent DPA seront imposées à cet autre sous-traitant par contrat ou autre acte juridique. Des mesures techniques et organisationnelles suffisantes et appropriées sont prises de manière à ce que le traitement réponde aux exigences des lois, statuts et règlements applicables. Si cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le Sous-traitant reste pleinement responsable envers le Responsable du traitement du respect des obligations de cet autre sous-traitant.

6. Droits sur les données


6.1 Le sous-traitant, en tenant compte de la nature du traitement, assistera le responsable du traitement avec les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour se conformer aux obligations du responsable du traitement, telles que raisonnablement comprises par le responsable du traitement, de répondre aux demandes d'exercice Droits des personnes concernées dans le cadre du RGPD.


6.2 Le sous-traitant :

    Informer immédiatement le Responsable du traitement si le Sous-traitant ou le Sous-traitant ultérieur reçoit une demande d'une Personne concernée conformément au RGPD ou à toute autre loi, statut ou réglementation applicable relative aux Données ; et Veiller à ce que le sous-traitant ou le sous-traitant ultérieur ne réponde pas à cette demande, sauf sur instructions documentées du contrôleur ou tel que requis par la loi applicable à laquelle le sous-traitant ou le sous-traitant ultérieur est soumis, auquel cas le sous-traitant doit, dans la mesure permise conformément à la loi applicable, informer le Responsable du traitement qui vous informera de cette exigence légale avant que le Sous-traitant ou le Sous-traitant ultérieur ne réponde à la demande.

7. Violation des données


7.1 Le sous-traitant informera le responsable du traitement dans les meilleurs délais après avoir pris connaissance d'une fuite de données affectant les données. Ce faisant, il fournira au responsable du traitement des informations suffisantes pour permettre au responsable du traitement de se conformer à toute obligation de déclaration aux autorités compétentes et d'informer les personnes concernées de la fuite de données si nécessaire.


7.2 Le sous-traitant doit coopérer avec le contrôleur et prendre toutes les mesures commerciales raisonnables prescrites par le contrôleur pour aider à l'enquête, à l'atténuation et à la récupération d'une telle violation de données.

8. Analyse d'impact sur la protection des données et consultation préliminaire


8.1 Le sous-traitant fournira au responsable du traitement une assistance raisonnable dans toute évaluation d'impact sur la protection des données et une consultation préalable avec les autorités compétentes en matière de protection des données. En tout état de cause, uniquement dans le cadre du Traitement des Données par et compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant, que le Responsable du traitement estime raisonnablement être requis par le RGPD ou des dispositions équivalentes de toute autre loi applicable.

9. Suppression ou restitution des données


9.1 Sous réserve des paragraphes 9.2 et 9.3, le sous-traitant et tout sous-traitant ultérieur, le cas échéant, doivent immédiatement et en tout état de cause dans les trente (30) jours suivant la date de résiliation des services liés au traitement des données (la « Résiliation Date") , supprimez-le et assurez-vous que toutes les copies de ces données sont supprimées.


9.2 Sous réserve du paragraphe 9.3, le Contrôleur peut, à sa seule discrétion, par notification écrite au Sous-traitant dans les sept (7) jours suivant la Date de résiliation, exiger que le Sous-traitant et tout Sous-traitant ultérieur renvoient une copie complète de toutes les Données au Sous-traitant. Contrôleur par transfert de fichiers sécurisé dans un format qui a été raisonnablement signalé au Sous-traitant par le Contrôleur ; et


9.3 Le sous-traitant peut conserver les données dans la mesure requise et uniquement pendant la période requise par la loi applicable et toujours à condition que le sous-traitant garantisse la confidentialité de toutes ces données et veille à ce que ces données ne soient traitées que si elles sont nécessaires à la ou aux finalités spécifié dans les lois applicables exigeant le stockage et à aucune autre fin.


9.4 Le Sous-traitant doit déclarer par écrit au Responsable du traitement dans les soixante (60) jours suivant la Date de résiliation que le Sous-traitant s'est pleinement conformé au présent article 9.

10. Droits de vérification


10.1 Sous réserve des dispositions du présent article 10, le sous-traitant doit, sur demande, mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA, et faciliter et se conformer aux audits, y compris les inspections, par le responsable du traitement ou un auditeur autorisé par le Contrôleur. concernant le traitement des données.


10.2 Les droits d'information et d'audit du Responsable du traitement n'apparaissent à la section 10.1 que dans la mesure où les Conditions ne lui donnent pas autrement des droits d'information et d'audit qui répondent aux exigences pertinentes du RGPD.

11. Dispositions finales


11.1 Toute question non régie par le présent DPA sera régie par les Conditions ou tout Énoncé de travail ou Commande conclu ou échangé entre les parties au présent DPA.


11.2 Si une partie de cet ATD est jugée invalide, illégale ou inapplicable à quelque égard que ce soit, cela n'affectera pas la validité ou l'applicabilité du reste des Conditions.


11.3 Le défaut d'exercer ou d'appliquer un droit ou une disposition du présent DPA ne constitue pas une renonciation à ce droit ou à cette disposition.


11.4 Les titres de section dans le DPA sont fournis à titre indicatif uniquement et n'ont aucun effet légal ou contractuel.

Annexe 1 : mesures techniques et organisationnelles du Sous-traitant


Le sous-traitant prend les mesures techniques et organisationnelles de sécurité des données suivantes au sens de l'article 28 du RGPD :


Confidentialité

    Attribution des droits d'utilisateurCréation de profils d'utilisateursAuthentification des utilisateurs par nom d'utilisateur et mot de passeLes mots de passe attribués sont remplacés par des mots de passe individuels sécurisés lors de la première connexionExigences relatives aux mots de passe telles que le nombre minimum de caractères et les directives de complexitéProtection des mots de passe par des changements périodiquesAutorisation uniquement par l'administrateurUtilisation de la technologie VPNUtilisation d'un logiciel antivirusUtilisation de pare-feuMises à jour constantes du logiciel antivirus, du pare-feu, du système d'exploitation et d'autres logicielsSéparation du réseau d'entreprise et du WLAN invitéInstructions pour réglementer l'utilisation d'Internet et de la messagerie électronique (usage privé interdit)Utilisation de supports de données testés et approuvésAutorisations basées sur les rôlesInstructions de procédure pour annuler les droits d'accèsAdministrateur séparé comptesDestruction sécurisée des fichiers et des supports de données et cryptage (nous utilisons TSL pour le cryptage)Pseudonymisation via les numéros de client/utilisateur


Intégrité

    Protocole d'installation et d'exploitation des systèmes informatiquesAssurer la sécurité des fichiers journaux (accès restreint uniquement à l'administrateur du réseau)Conclusion d'un contrat ou autre instrument juridique conformément à l'article 28 du RGPD et respect de cette réglementationÉvaluation des mesures techniques et organisationnelles prises par Sous-traitants ultérieurs Les employés de PrismaNote sont tenus de maintenir la confidentialité des données


Précautions et mesures de sécurité

    Portes coupe-feuExtincteur avec agent extincteur approprié disponibleSauvegarde périodique des données


Procédures de suivi et d'évaluation réguliers

    Gestion de la protection des données (directives de protection des données, directives de sécurité informatique, instructions de protection des données, descriptions des processus de protection des données) Enregistrement des activités de traitement Formation et sensibilisation régulières des employés Obligation des employés de maintenir la confidentialité des données Obligation des tiers de maintenir la confidentialité des données DPA avec des tiers partie fournisseur et sous-traitants conformément à l'article 28 du RGPD

Dernière modification : 15/02/2020

Share by: