Addendum de Traitement Des Donnees
Cet Addendum de traitement des données (« DPA ») modifie et fait partie intégrante du Contrat principal d’abonnement ou d’un autre contrat (le « Contrat ») entre le Client et Absolute qui régit la fourniture des Produits et Services par Absolute au Client. Dans le cas d’un conflit entre les termes de ce DPA et le Contrat, les termes de ce DPA prévaudront.
1. Définitions. Les termes en majuscules utilisés mais non définis dans ce DPA auront les significations données à ces termes dans le Contrat.
1.1. « Entreprise », « Objet de l’entreprise », « collecter », « collecté », « collecte », « Consommateur », « Renseignements dépersonnalisés », « Renseignements personnels », « vente », « faire une vente », et « Fournisseur de services » ont la signification qui leur est donnée dans le CCPA ; et « vendre » sera interprété en conséquence ;
1.2. « Contrôleur », « Personne concernée », « Données personnelles », « traitement », « Représentant », et « Autorité de contrôle » ont la signification qui leur est donnée dans le GDPR, et « traiter », « traite » et « traité » seront interprétés en conséquence ;
1.3. « Données personnelles du client » désigne toutes les Données du client qui constituent des Renseignements personnels ou des Données personnelles qui sont collectées ou traitées par Absolute en tant que Fournisseur de services ou Représentant (selon le cas) au nom du Client pour fournir les Produits et Services, comme décrit plus en détail dans l’Annexe I de ce DPA ;
1.4. « Loi sur la protection des données » désigne la loi californienne sur la confidentialité des consommateurs, Cal. Civ. Code § 1798.100 et suivants, et ses règlements d’application (« CCPA »), le Règlement général sur la protection des données (UE) 2016/679 (« GDPR ») et la directive 2002/58/CE relative à la vie privée en ligne (telle que modifiée par la directive 2009/136/CE), ainsi que leurs mises en œuvre nationales dans l’Espace économique européen (« EEE »), la Loi fédérale suisse sur la protection des données, le Règlement général sur la protection des données du Royaume-Uni et la Loi de 2018 sur la protection des données du Royaume-Uni, chacun de ces textes étant applicable, et pouvant être modifié ou remplacé de temps à autre ;
1.5. « Droits des personnes concernées » désigne les droits des Consommateurs ou des Personnes concernées à l’information, à l’accès, à la rectification, à la suppression, à l’effacement, à la restriction, à la portabilité, à l’objection, à l’exclusion de la vente, à ne pas être discriminé pour avoir exercé certains droits, et à ne pas faire l’objet d’une prise de décision individuelle automatisée, conformément à la Loi sur la protection des données et chacun dans la mesure requise par celle-ci ;
1.6. « Europe » désigne l’EEE et la Suisse ;
1.7. « Transfert international de données » désigne tout transfert de Données personnelles du client depuis l’Europe ou le Royaume-Uni vers un pays situé en dehors de l’Europe et du Royaume-Uni ;
1.8. « Fuite de données personnelles » désigne toute violation de la sécurité d’Absolute menant à la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l’accès aux Données personnelles du client transmises, stockées ou traitées par Absolute ou ses Sous-traitants ;
1.9. « Sous-traitant » désigne un sous-traitant engagé par Absolute pour traiter les Données personnelles du client ; et
1.10. « Clauses contractuelles standards » désigne les clauses annexées à la décision 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles standards pour le transfert de données personnelles vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (JO L 199, 7.6.2021, p. 31-61), selon le cas, et peuvent être modifiées ou remplacées de temps à autre.
2. Rôle des parties et portée du traitement
2.1. Portée. Ce DPA et chacune des provisions et obligations s’appliquent dans la mesure où Absolute traite les Données personnelles du client en tant que Fournisseur de service ou Sous-traitant (selon le cas).
2.2. Rôle des parties. Le Client est une Entreprise ou un Contrôleur et nomme Absolute comme Fournisseur de service ou Sous-traitant au nom du Client. Chaque Partie collectera, conservera, utilisera, divulguera et traitera les Données personnelles du client dans le cadre des Produits et Services en accord avec la Loi applicable sur la protection des données.
2.3. Responsabilités du Client. Le Client est responsable de la conformité avec les exigences applicables pour informer les Personnes concernées de l’utilisation d’Absolute en tant que Sous-traitant. Le sujet, la nature et le but du traitement, les types de Données personnelles du client et les catégories de Personnes concernées sont indiqués dans l’Annexe I.
2.4. Responsabilités d’Absolute. Absolute traitera les Données personnelles du client pour fournir les Produits et Services en accord avec les instructions légales documentées du Client, qui sont considérées comme données, pour les raisons suivantes : (i) traitement en accord avec ce DPA, le Contrat, et toute déclaration de travail applicable ; (ii) traitement initié par les Utilisateurs autorisés dans leur utilisation des Produits et Services ; et (iii) traitement pour se conformer à d’autres instructions documentées et raisonnables fournies par le Client (par exemple, par e-mail) où de telles instructions sont cohérentes avec les termes de ce DPA, le Contrat, et toute déclaration de travail applicable. À moins que cela ne soit interdit par la loi en vigueur, Absolute informera le Client s’il apprend que, ou si, selon son opinion, les instructions du Client violent la Loi sur la protection des données. Par exemple, si Absolute reçoit une assignation à comparaître ou un ordre de la cour de la part d’un organisme d’application de la loi, Absolute informera le Client de la demande à moins que la loi ne l’interdise.
2.5. Coopération avec les Demandes du client. Absolute, en prenant en compte la nature du traitement et les informations dont Absolute dispose, assistera raisonnablement le Client pour (a) répondre aux demandes d’exercice des Droits des personnes concernées ; (b) conduire des évaluations d’impact sur la protection des données et des consultations préalables avec les Autorités de surveillance ; et (c) notifier une Personne concernée par la Fuite de données personnelles lorsque cela est requis par la loi. Le Client sera responsable de tous les coûts raisonnables résultant de l’assistance d’Absolute.
3. Sécurité et Audits
3.1. Mesures de sécurité. Absolute implémentera des mesures techniques et organisationnelles, appropriées au risque, pour protéger les Données personnelles du client contre les accès non autorisés, la destruction, l’utilisation, la modification ou la divulgation, comme indiqué dans les Normes de sécurité d’Absolute référencées dans l’Annexe II. Absolute peut modifier les Normes de sécurité d’Absolute de temps à autre, mais continuera à fournir au moins le même niveau de sécurité que celui décrit dans les Normes de sécurité d’Absolute. Absolute s’assurera que tout le personnel autorisé à traiter les Données personnelles du client est sujet à une obligation de confidentialité.
3.2. Réponse à la Fuite de données personnelles. Absolute informera le Client sans retard excessif après avoir pris connaissance d’une Fuite de données personnelles. Absolute fera des efforts commerciaux raisonnables pour identifier la cause de la Fuite des données personnelles et prendra les mesures qu’Absolute jugera nécessaires et raisonnables afin de remédier à la cause de la Fuite des données personnelles dans la mesure où la remédiation est sous le contrôle raisonnable d’Absolute. Cette provision ne s’appliquera pas aux Fuites de données personnelles qui sont causées par le Client ou les Utilisateurs du client.
3.3. Audit. Comme requis par la Loi sur la protection des données, Absolute fournira au Client un résumé des rapports d’audit d’Absolute, incluant toute information raisonnablement nécessaire pour démontrer la conformité d’Absolute avec les obligations de ce DPA ; pourvu qu’Absolute puisse supprimer toute information confidentielle ou commercialement sensible dans ces rapports.
4. Sous-traitement
4.1. Sous-traitants autorisés. Le client reconnait et accepte qu’Absolute puisse engager des Sous-traitants. Une liste des Sous-traitants actuels d’Absolute est disponible sur www.absolute.com/company/legal/absolute-sub-processors. Absolute conclura un contrat écrit avec les Sous-traitants qui impose aux Sous-traitants les mêmes obligations que celles imposées à Absolute dans le cadre de ce DPA.
4.2. Changements des sous traitants. Le Client reconnait et accepte qu’Absolute notifie le Client de tout ajout ou remplacement de Sous-traitants en mettant à jour sa liste de Sous-traitants mentionnée dans la Section 4.1. Le Client peut s’opposer à l’ajout ou au remplacement d’un Sous-traitant dans les trente (30) jours suivant la mise à jour de la liste des Sous-traitants par Absolute. Si l’objection du Client est basée sur des motifs raisonnables relatifs à une violation potentielle ou réelle de la Loi sur la protection des données, alors le Client et Absolute travailleront ensemble en toute bonne foi pour répondre à l’objection du Client.
5. Transferts de données
5.1. Transferts de données internationaux. Le Client accepte qu’Absolute puisse effectuer des Transferts de données internationaux : (a) vers n’importe quel pays jugé adéquat par la Commission européenne ou le gouvernement britannique, selon le cas, y compris le Canada ; (b) sur la base de garanties appropriées en accord avec la Loi sur la protection des données ; ou (c) en vertu des Clauses contractuelles standards mentionnées dans la Section 5.2 ou la Section 5.3. Si la conformité d’Absolute avec les Lois de protection des données applicables aux Transferts de données internationaux est affectée par des circonstances hors de son contrôle, y compris si un instrument légal pour les Transferts de données internationaux est invalidé, modifié ou remplacé, alors le Client et Absolute travailleront ensemble en toute bonne foi pour résoudre raisonnablement cette non-conformité.
5.2. Transferts de données depuis l’Europe. En signant ce DPA, le Client et Absolute acceptent les termes du MODULE DEUX des Clauses contractuelles standards, qui sont intégrées dans ce DPA par renvoi. Les Parties conviennent que lorsque les Clauses contractuelles standards s’appliquent, elles doivent être complétées comme suit : (a) la Clause optionnelle 7 est conservée ; (b) dans la Clause 9, l’Option 1 est supprimée et l’Option 2 est conservée ; (c) dans la Clause 11, la langue optionnelle est supprimée ; (d) dans les Clauses 17 et 18, la Loi applicable et les tribunaux compétents sont ceux de l’Irlande ; et (e) les Annexes I et II des Clauses contractuelles standards sont respectivement les Annexes I et II de ce DPA. Si Absolute transfère les Données personnelles du client depuis l’Europe vers un pays qui ne fournit pas un niveau de protection adéquat tel que déterminé par la Commission européenne pour fournir les Produits au Client, alors les Clauses contractuelles standards s’appliqueront.
5.3. Transferts de données depuis le Royaume-Uni. En signant ce DPA, le Client et Absolute acceptent les termes du MODULE DEUX des Clauses contractuelles standards et de la Partie 2 (Clauses obligatoires) de l’Addendum de transferts de données internationaux aux Clauses contractuelles standards, disponible sur : https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf (l’« Addendum du Royaume-Uni »), qui est intégré par renvoi. Si Absolute transfère les Données personnelles du client du Royaume-Uni vers un pays qui ne fournit pas un niveau de protection adéquat tel que déterminé par le Royaume-Uni, alors l’Addendum du Royaume-Uni s’appliquera.
6. Loi sur la confidentialité des consommateurs de Californie
6.1. Considération. Absolute reconnait que l’échange des Données personnelles du client entre le Client et Absolute ne fait pas partie de l’argent ou de la valeur échangée entre le Client et Absolute en ce qui concerne le Contrat ou ce DPA.
6.2. Utilisation des Données personnelles du client. À l’exception de ce qui est permis par la loi applicable, Absolute ne fera pas ce qui suit : (a) conserver, utiliser ou révéler les Données personnelles du client dans un but autre que celui de fournir les Services et les Produits spécifiés dans le Contrat ; et (b) vendre les Données personnelles du client. Nonobstant toute disposition contraire du Contrat ou de ce DPA, les termes de ce DPA ne s’appliqueront pas au traitement par Absolute des Données personnelles du client qui sont exemptées de la Loi sur la protection des données, y compris en vertu de Cal Civ. Code § 1798.145(a).
7. Fin et Retour ou Suppression des Données personnelles du client
7.1. Le présent DPA est résilié à la fin du Contrat. Le Client peut obtenir le retour des Données personnelles du client en utilisant les caractéristiques ou les fonctionnalités accessibles dans le compte du Client pour les Produits applicables, ou si aucune de ces caractéristiques ou fonctionnalités n’est disponible, le Client peut demander le retour des Données personnelles du client jusqu’à quatre-vingt-dix (90) jours après la résiliation du Contrat. À moins que requis ou permis par la loi applicable, Absolute effacera ou rendra anonyme toutes les copies restantes des Données personnelles du client après la fin du Contrat.
8. Limitation de responsabilité
8.1. La responsabilité de chaque partie découlant de ou liée à ce DPA, y compris les Clauses contractuelles standards, si elles sont applicables, que ce soit dans le cadre d’un contrat, d’un délit ou de toute autre théorie de responsabilité, est soumise à la section Limitation de responsabilité du Contrat.
9. Invalidité et divisibilité
9.1. Si une disposition du présent DPA est jugée invalide ou inapplicable par un tribunal ou un organisme administratif compétent, l’invalidité ou l’inapplicabilité de cette disposition n’affecte pas les autres dispositions du présent DPA et toutes les dispositions qui ne sont pas affectées par cette invalidité ou cette inapplicabilité restent pleinement en vigueur.
ANNEXE I
- LISTE DES PARTIES (MODULE DEUX : Transfert du responsable du traitement au représentant)
Exportateur(s) de données : Client
Le Client, en tant que Responsable du traitement, peut choisir de transférer des données à Absolute en relation avec la réception des Produits et Services identifiés dans le Formulaire de commande applicable. Le nom du Client, les coordonnées et la signature sont indiqués dans le Formulaire de commande applicable ou dans le compte du Client pour les Produits et Services.
Importateur(s) de données : Absolute
Absolute, en tant que Représentant, traite les données reçues du Client en relation avec la fourniture des Produits et Services identifiés dans le Formulaire de commande applicable.
Adresse : Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
Contact : [email protected]
- DESCRIPTION DU TRANSFERT (MODULE DEUX : Transfert du responsable du traitement au représentant)
Catégories de Personnes concernées dont les données personnelles sont transférées dans le cadre des Produits et Services :
# | Catégorie |
1 | Les utilisateurs de périphériques terminaux du Client |
2 | Le personnel administratif du Client responsable de la maintenance du compte du Client via le Service hébergé |
Catégories de Données personnelles transférées dans le cadre des Services Absolute :
# | Catégorie |
1 | Le cas échéant, les informations sur le périphérique terminal, notamment la marque et le modèle de l’ordinateur, le numéro de série de l’ordinateur, la version du bios du système, le nom de l’ordinateur, les informations sur le système d’exploitation, le numéro de série du disque dur, le modèle de disque dur, la révision du micrologiciel du disque dur, l’ID du dispositif de batterie, l’UUID de l’ordinateur, les chaînes de passerelle, le numéro de série de la RAM, l’adresse MAC, le nom de l’adaptateur NIC, l’adresse IP, l’emplacement du périphérique et les informations sur l’utilisation du périphérique. |
Informations sur le compte du Service hébergé, y compris le nom, les coordonnées et les identifiants de connexion. |
Catégories de données sensibles transférées dans le cadre des Produits et Services :
# | Catégorie |
1 | Aucune. |
Fréquence et nature du traitement :
Les données sont transférées sur une base continue. Les données personnelles transférées feront l’objet des opérations de traitement suivantes.
- pour fournir les Produits et Services, y compris le stockage des données pour les Produits et Services ;
- pour résoudre les problèmes techniques ou administratifs, la facturation, et pour se conformer à ses propres obligations légales ; et
- pour optimiser et améliorer les Produits et Services et à d’autres fins commerciales telles que décrites dans le DPA.
Finalité(s) du transfert de données et du traitement ultérieur
La finalité du transfert de données est de fournir les Produits et Services.
Période de conservation.
Différentes périodes de conservation des données s’appliquent selon le service concerné. Lors de la détermination de la période de conservation spécifique, Absolute prend en compte différents facteurs, tels que le type de service fourni au Client, la nature et la durée de notre relation avec le Client, et les périodes de conservation obligatoires définies par la loi et le délai de prescription.
Transferts aux sous-traitants
Les descriptions énoncées ci-dessus dans la présente Section B s’appliquent aux données transférées aux Sous-traitants.
- AUTORITÉ DE CONTRÔLE COMPÉTENTE (MODULE DEUX : Transfert du responsable du traitement au représentant)
L’autorité de contrôle compétente telle que définie par le Client.
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Domaine
|
Pratiques |
Organisation de la Sécurité de l’information | · Absolute a une équipe dédiée à la Sécurité de l’information
· Le programme de Sécurité de l’information est soutenu par l’équipe exécutive d’Absolute · Absolute publie une politique de sécurité de l’information approuvée par la direction |
Sécurité des ressources humaines | · Effectue une vérification des antécédents du personnel avant l’embauche
· Effectue des formations régulières sur la sécurité de l’information |
Sécurité physique et environnementale | · Seuls les utilisateurs autorisés peuvent accéder physiquement aux centres de traitement des données des clients
· Recours à des fournisseurs de centres de données et d’hébergement dotés de contrôles physiques et environnementaux |
Gestion des communications et des opérations | · Cryptage des données des clients en transit et au repos
· Mise en œuvre de protections réseau, notamment des pare-feu, des VPN, des IDS et, si possible, des IPS |
Contrôle d’accès | · Accès le moins principal possible aux réseaux et aux systèmes
· Exiger une MFA pour l’accès à distance |
Gestion des incidents de sécurité de l’information | · Mise en œuvre d’un programme formalisé de réponse aux incidents de sécurité et de confidentialité |
Opérations de sécurité | · Tests de pénétration annuels
· Gestion continue des vulnérabilités · Contrôles pour détecter et prévenir les logiciels malveillants · Génération et surveillance des informations du journal des événements |
Gestion de la continuité des activités | · Maintien des plans BCP et DR pour soutenir la continuité des opérations
· Test des plans au moins une fois par an |
Gestion des fournisseurs tiers | · Maintien d’un programme de fournisseurs tiers pour examiner, évaluer et surveiller les contrôles de sécurité et de confidentialité des fournisseurs tiers. |
Développement de systèmes | · Fournir une formation au codage sécurisé aux développeurs
· Mise en œuvre de tests de sécurité en tant que composante du SDLC · Environnements de développement, de test et de production séparés |