REMARQUE : Cette traduction a été générée automatiquement et est fournie uniquement pour des raisons de commodité. Cette traduction générée automatiquement n’est pas comparable à la qualité d’une traduction humaine et peut contenir des erreurs. Cette traduction est fournie « EN TEL QUEL » sans aucune garantie quant à l’exactitude, l’exhaustivité ou la fiabilité de la traduction. En cas de divergences entre la version anglaise de ce contrat et la version traduite dans une langue étrangère, seule la version anglaise sera considérée comme valide.

ADDENDUM TRAITEMENT DES DONNÉES

Cet addendum sur le traitement des données ("DPA« ) fait partie et est expressément intégrée à l’accord conclu entre Sophos et le Client pour la fourniture par Sophos au Client de certains produits et/ou services («Accord principal »). Sauf indication contraire, tous les termes en majuscules auront les significations données à la section 1 ci-dessous.

1. DÉFINITIONS

1.1 DÉFINITIONSDans cette DPA, les termes suivants auront les significations suivantes :

“Affilié« désigne, par rapport à chaque partie, une entité qui contrôle, est contrôlée par, ou est sous un contrôle commun avec cette partie. Aux fins de cette définition, "Contrôle« désigne la propriété effective de plus de cinquante pour cent (50 %) du droit de vote ou des capitaux propres d’une entité, ou le droit contractuel ou légal de diriger la gestion de cette entité ;

“Lois applicables sur la protection des données« désigne toutes les lois et réglementations applicables au traitement des données personnelles des titulaires de traite en vertu de l’Accord principal, y compris, le cas échéant, le RGPD, la loi britannique sur la protection des données et la CCPA

“Bénéficiaire" a la signification qui lui est donnée dans l’accord MSP.

“CCPA« désigne la loi californienne sur la vie privée des consommateurs telle que modifiée par la loi californienne sur les droits à la vie privée de 2020), codifiée à Cal. Civ. Code §§ 1798.100 - 1798.199.100 et les règlements californiens sur la protection de la vie privée des consommateurs qui y sont publiés, Californie. Règlements de code. mésange. 11, div. 6, ch. 1, chacun tel que modifié ;

“Contrôleur" signifie soit : (a) le Client, si le Client est un Utilisateur Final ; (b) le bénéficiaire, si le client est un MSP ; ou (c) le client final, si le client est un OEM ;

“Données personnelles du responsable« désigne les données personnelles que Sophos traite au nom du Contrôleur dans le cadre de la fourniture des services ;

“Client« signifie : (1) le fournisseur de services gérés ou le fournisseur de services de sécurité gérés (chacun désigné comme «MSP») si l’Accord principal est entre Sophos et un MSP («Accord MSP« ), (2) le fabricant d’équipement d’origine ( »OEM») si l’Accord principal est avec un OEM autorisé à distribuer, sous-licencier ou mettre à disposition des tiers des produits Sophos en combinaison avec ses produits dans le cadre d’une unité groupée («Accord OEM”); (3) l’utilisateur final ("Utilisateur final"), si l’Accord principal est directement avec le client ;

“Sujet de la Personne« désigne la personne à qui le Contrôleur Les données personnelles concernent :

“Demandes de sujets de données« désigne toute demande des personnes concernées exerçant des droits conformément aux lois applicables sur la protection des données ;

“EEE » désigne l’Espace économique européen, y compris les États membres de l’Union européenne ;

“Client final" a la signification qui lui est donnée dans l’accord OEM ;

“SCC de l’UE« désigne les clauses contractuelles standard pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la décision d’application (UE) 2021/914 de la Commission européenne du 4 juin 2021 ;

“RGPD« désigne le Règlement général sur la protection des données (UE) 2016/679, tel que modifié de temps à autre ;

“Données personnelles« signifie « données personnelles » ou « informations personnelles », telles que ces termes sont définies par les lois applicables sur la protection des données, et inclut toute information relative à un identifié ou individu ou ménage identifiable ;

“Violation de données personnelles« désigne une violation de sécurité (autre que celle causée par le Client ou ses utilisateurs) entraînant la destruction, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles du Contrôleur ;

“Processeur« désigne une personne ou une entité qui traite des données personnelles au nom et sous les instructions d’un responsable de traiteur, y compris toute entité agissant en tant que « fournisseur de services » conformément à la CCPA ;

“Transfert restreint« désigne un transfert de données personnelles vers un pays tiers où un tel transfert serait interdit par le droit européen de la protection des données en l’absence de mécanismes de transfert appropriés, tels que des règles d’entreprise contraignantes ou des clauses contractuelles standard ;

“Services« désigne tout produit fourni et/ou service fourni par Sophos conformément à l’Accord Principal ;

“Sophos » signifie Sophos Limited, une société enregistrée en Angleterre et au Pays de Galles, numéro 2096520 dont le siège social est situé au Pentagone, Abingdon, OX14 3YP, Royaume-Uni ;

“Clauses contractuelles standard« ou « SCC » signifie : (i) lorsque le RGPD s’applique à un transfert restreint, les SCC de l’UE ; (ii) lorsque la loi britannique sur la protection des données s’applique à un transfert restreint, l’Addendum britannique ; et (iii) lorsque la DPA suisse s’applique à un transfert restreint, les SCC suisses ;

“Sous-processeur« désigne toute entité nommée par Sophos pour effectuer le traitement des données Activités concernant les données personnelles du contrôleur;

“Autorité de surveillance« désigne l’autorité réglementaire compétente en matière de lois applicables sur la protection des données, y compris, le cas échéant, une autorité de surveillance telle que définie par le RGPD ;

“DPA suisse« désigne la Loi fédérale suisse sur la protection des données du 25 septembre 2020, telle que modifiée de temps à autre ;

“SCC suisses« désigne les clauses standard applicables à la protection des données pour le transfert de données personnelles vers des pays tiers émises, approuvées ou autrement reconnues par le Commissaire fédéral suisse à la protection des données et à l’information (« FDPIC ») ;

“Tiers pays« désigne un pays en dehors de l’EEE, du Royaume-Uni (« Royaume-Uni ») ou de la Suisse qui n’a pas été désigné par la Commission européenne ou un organisme ou une personne équivalente en Suisse ou au Royaume-Uni comme garantissant un niveau adéquat de protection conformément aux lois sur la protection des données de l’EEE, du Royaume-Uni ou de la Suisse ( »Droit européen de la protection des données”);

“Addendum au Royaume-Uni« désigne l’Addendum sur le transfert international de données aux CSC de l’UE, publié par le Bureau du Commissaire à l’Information du Royaume-Uni et soumis au Parlement conformément à l’article 119A de la loi sur la protection des données de 2018 le 2 février 2022 ;

“Législation britannique sur la protection des données« désigne la loi britannique sur la protection des données de 2018 et le RGPD tels que conservés dans la législation britannique en vertu de l’article 3 de la loi britannique sur le retrait de l’Union européenne de 2018, tous deux modifiés de temps à autre.

1.2. Dans cette DPA, les termes minuscules « responsable de la loi », « traitant », « personne concernée », « données personnelles » et « traitement » (et leurs dérivés) auront la signification donnée dans la législation applicable sur la protection des données.

1.3. Les termes majuscules non autrement définis dans cette DPA auront la signification qui leur est attribuée dans l’Accord principal. 

2. PORTÉE

2.1. Cette DPA s’applique lorsque Sophos traite les données personnelles du Contrôleur au nom du Client dans le cadre de la fourniture des Services. Le sujet et la durée du traitement des données personnelles du Contrôleur par Sophos, la nature et l’objet du traitement, les types de données personnelles du Responsable à traiter et les catégories de personnes concernées seront les décrits dans : (a) cette DPA ; (b) l’Accord principal ; (c) Pièce 1 (Détails du traitement des données) ; et (d) les instructions du client émises conformément à la section 4 ci-dessous.

2.2. Le Client est responsable de s’assurer que le Responsable (a) dispose d’une base légale pour le traitement des Données personnelles du Contrôleur qui sera effectué par Sophos au nom du Client, et (b) a obtenu tous les consentements nécessaires des personnes concernées qui pourraient être nécessaires pour le traitement des Données personnelles du Responsable par le Client et Sophos ; et (c) est par ailleurs conforme à la législation applicable sur la protection des données des données des responsables et veillera à ce que ses instructions à l’adresse de Sophos pour le traitement des données personnelles soient conformes à tous égards.

2.3. Les parties conviennent qu’en ce qui concerne les données personnelles du Contrôleur, Sophos est un Processeur ou un sous-traiteur, et le Client est soit (a) le Contrôleur lorsque le Client est un Utilisateur Final, soit (b) un Processeur, pour le Bénéficiaire ou le Client Final, où le Client est un MSP ou un OEM, respectivement.

3. INSTRUCTIONS AUX CLIENTS

3.1. Le client demande à Sophos de traiter les données personnelles du Contrôleur dans la mesure raisonnablement nécessaire pour fournir et exécuter les services et comme stipulé dans ce DPA et l’Accord principal ("Instructions aux clients”). Sophos traitera les données personnelles du Contrôleur conformément aux instructions du client, sauf (a) lorsque cela est convenu par écrit entre Sophos et le client ; ou (b) selon toute loi soumise à Sophos (dans ce cas, Sophos doit informer le Client de cette obligation légale avant tout traitement, sauf si cette loi interdit la fourniture de telles informations pour des raisons importantes d’intérêt public). Lorsque le client agit en tant que Traiteur concernant les données personnelles du Contrôleur, le Client doit s’assurer que les Instructions Client ont été autorisées par le Responsable concerné et ne contredisent aucune instruction émise par ce Contrôleur.

3.2. Si Sophos prend connaissance que les Instructions Client enfreignent les lois applicables sur la protection des données, il en informera promptement le Client et suspendra le traitement des

3.3. Sans limiter ce qui est mentionné, dans la mesure où la CCPA s’applique au responsable des données personnelles, Sophos Il est en outre d’accord pour dire que

1. Sophos n’utilisera, divulguera ou ne traitera pas autrement les données personnelles du Contrôleur sauf dans le but commercial spécifique de l’exécution des Services, conformément aux termes de cette DPA et de l’Accord Principal, et selon l’autorisation des lois applicables ; 
2. Sophos peut engager des sous-traitants pour traiter les données personnelles du Contrôleur, sous réserve des termes de la Section 7, et cet engagement ne sera pas considéré comme une vente de Données personnelles du Contrôleur ;
3. Sophos ne traitera pas les données personnelles du Contrôleur en dehors de la relation commerciale directe entre le Client et Sophos ou à des fins commerciales propres à Sophos ; 
4. Sophos ne « partagera » ni ne « vendra » (tels que définis par la CCPA) aucune donnée personnelle de Contrôleur ; 
5. Sophos va se conformer avec ses obligations conformément à la CCPA et qui fourniront le même niveau de protection de la vie privée que celui exigé par la CCPA ;
6. Si Sophos estime qu’elle ne pourra pas se conformer aux termes de la CCPA, Sophos informera rapidement le client et accordera au client le droit de prendre des mesures raisonnables et appropriées pour garantir que les données personnelles du Contrôleur soient traitées de manière cohérente avec les obligations du Contrôleur sous le CCPA ;
7. Sophos ne conservera pas les données personnelles du Responsable à l’expiration ou à la résiliation de l’Accord Principal, sauf disposition contraire à la Section 4.6. 

3.4.       Sophos certifie qu’il comprend et respectera les obligations énoncées à la Section 3.3.

4. SOPHOS OBLIGATIONS

4.1. Coopération. En tenant compte de la nature du traitement des données personnelles du Contrôleur, Sophos fournira au Client (ou, si le Client est un MSP ou un OEM, le Responsable) une assistance raisonnable si nécessaire pour : (i) répondre aux demandes des personnes concernées exerçant leurs droits en vertu des lois applicables sur la protection des données (y compris en informant le Client lorsqu’il reçoit de telles demandes,  à condition qu’il ne réponde pas lui-même sauf si le client l’a autorisé), (ii) effectuer des évaluations d’impact sur la protection des données ou toute autre évaluation requise par les lois applicables sur la protection des données ; et (iii) consulter et coopérer avec les autorités de surveillance telles que requis par les lois applicables sur la protection des données. Sophos se réserve le droit de facturer pour cette assistance si le coût dépasse un montant nominal.

4.2. Demandes tierces. Sauf interdiction légale, Sophos doit informer le client de toute demande, correspondance, demande ou plainte de confidentialité reçue d’une autorité de surveillance, d’une autorité judiciaire ou d’une agence de maintien de l’ordre en lien avec le traitement des données personnelles du Contrôleur («Demande de tiers”), fournissant tous les détails de la même question. Sophos ne doit pas répondre directement à la demande tierce, sauf (1) sur les instructions écrites du client ou, (2) selon l’exigence des lois applicables.  

4.3. Confidentialité. Tout le personnel Sophos qui traite les données personnelles du Contrôleur doit être suffisamment formé concernant ses obligations en matière de protection, de sécurité et de confidentialité des données, et doit être soumis à des obligations écrites ou légales de confidentialité.

4.4. Sécurité. Sophos mettra en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque et de protéger les données personnelles du Responsable contre toute violation de données personnelles. De telles mesures prendront en compte l’état de l’art, les coûts de mise en œuvre ainsi que la nature, la portée, le contexte et les objectifs du traitement, ainsi que le risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, afin d’assurer un niveau de sécurité adapté au risque. En particulier, les mesures prises par Sophos doivent inclure celles décrites à l’Annexe 2 de cette DPA.

 4. 5. Violation de données personnelles. Après confirmation de toute violation de données personnelles, Sophos informera le client sans délai et fournira toutes les informations et la coopération en temps opportun que le client peut raisonnablement exiger afin que le client (et, si le client est un MSP ou un fabricant de référence, son responsable de mandat) puissent remplir ses obligations de signalement des violations de données conformément (et conformément aux délais exigés par) la loi applicable sur la protection des données. Sophos doit également prendre les mesures et mesures raisonnablement nécessaires pour remédier ou atténuer les effets de la violation de données personnelles et tient le client informé des développements liés à la violation de données personnelles.

 4.6 Fin des services. À la fin de la prestation des services ou sur demande écrite du client, Sophos supprimera les données personnelles du Responsable dans un délai raisonnable suivant la fin des Services ou la demande, sauf si la loi applicable l’exige autrement, ou pour se conformer à une exigence judiciaire ou de conformité. Si Sophos est tenu de conserver des données personnelles du Contrôleur, Sophos doit prendre des mesures pour garantir la confidentialité et la sécurité des données personnelles du Contrôleur aussi longtemps qu’elles seront conservées.

5. DROITS D’AUDIT DU CLIENT

5.1. Le client reconnaît que Sophos est régulièrement audité selon les normes SSAE 18 SOC 2 par des auditeurs indépendants tiers. Sur demande raisonnable, Sophos doit fournir une copie de son rapport d’audit SOC 2 au Client, dont les rapports seront soumis aux dispositions de confidentialité de l’Accord Principal en tant qu’informations confidentielles de Sophos. Sophos doit également répondre aux questions d’audit écrit raisonnables soumises par le Client, à condition que le Client n’exerce pas ce droit plus d’une fois par an.

5.2. Si, selon l’avis raisonnable du Client, les documents fournis en vertu de la Section 5.1 sont insuffisants pour démontrer la conformité de Sophos à cette DPA, alors le Client peut demander par écrit que Sophos mette à disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations énoncées dans cette DPA et permettre et contribuer aux audits, y compris les inspections,  par un auditeur indépendant tiers du Client ou du Client, sous réserve des dispositions suivantes :

1. avant de demander un examen ou un audit conformément à la présente Section 5.2, le client prendra en compte les certifications et audits tiers Sophos pertinents décrits à la Section 5.1 ;
2. Le client donnera à Sophos un avis raisonnable, au moins 30 jours à l’avance, d’une demande de réalisation d’audit ou d’inspection en vertu de la présente Section 5.2, en fournir le périmètre, la durée et la date de début de l’audit proposés ;
3. lorsqu’un auditeur tiers effectue l’audit, ce dernier doit être un professionnel ou une entreprise réputée et bien établie, être soumis à des obligations de confidentialité appropriées et ne pas être un concurrent de Sophos ;
4. Le client effectuera (et doit s’assurer que ses auditeurs le feront) cet audit ou cette inspection pendant les heures normales de bureau de Sophos avec un minimum de perturbations des activités commerciales ;
5. un audit ou une inspection ne sera pas réalisé plus d’une fois par an, sauf lorsque cela est exigé par une autorité de surveillance ou par les lois applicables sur la protection des données ;
6. Le client (ou ses auditeurs, selon le cas) n’aura pas accès aux autres clients Sophos (ni à leurs informations) ;
7. sauf lorsque l’audit ou l’inspection révèle un non-respect de la part de Sophos à ses obligations matérielles en vertu de cette DPA, Le client remboursera Sophos pour les coûts et dépenses raisonnables encourus par Sophos, y compris les frais liés au temps consacré à Sophos, son personnel et ses conseillers professionnels ;
8. Le client doit fournir à Sophos une copie de tout rapport d’audit généré dans le cadre d’un audit effectué en vertu de la présente Section 5.2, sauf interdiction de la loi applicable ;
9. Les informations obtenues lors de l’audit ou de l’inspection doivent être considérées comme des informations confidentielles de Sophos.

6. SOUS-PROCESSEURS

6.1. Sophos est Généralement autorisé pour utiliser le  Sous-processeurs qui sont Listé à https://www.sophos.com/en-us/legal/sub-processor (“Liste des sous-processeurs"), ainsi que des affiliés Sophos. Sophos peut engager des sous-processeurs supplémentaires (chacun un "Nouveau sous-processeur») sous réserve des termes énoncés dans la présente section 6.

6.2. Sophos informera le client de toute addition prévue de nouveaux sous-traiteurs en publiant les détails de cette addition à la liste des sous-traiteurs et en envoyant un e-mail au client.

6.3. Si le Client ne s’oppose pas par écrit à la nomination par Sophos d’un Nouveau Sous-Traiteur (pour des raisons valables liées à la protection des Données Personnelles du Contrôleur) dans les 30 jours suivant cette notification, le Client sera considéré comme ayant consenti à ce Nouveau Sous-Traiteur. Si le client s’y oppose, Les parties feront preuve de démarches raisonnables pour convenir d’arrangements alternatifs dans les trente (30) jours suivants. Si les parties ne parviennent pas à s’entendre dans ce délai, le client peut choisir de résilier la partie des services concernée par le nouveau sous-traiteur après avoir fourni un préavis écrit de trente (30) jours à Sophos, et Sophos doit autoriser un remboursement au prorata ou un crédit de tout frais prépayé pour la période restante après la résiliation.

6.4. Sophos imposera des exigences de protection des données aux sous-traiteurs qui sont substantiellement équivalentes à celles prévues par ce DPA. Sophos restera entièrement responsable de l’exécution des obligations de chaque sous-processeur.

6.5. Lorsque l’engagement des sous-traiteurs nécessite un transfert restreint des données personnelles du contrôleur, Sophos mettra en œuvre et maintiendra des mécanismes de transfert appropriés afin d’assurer le respect des lois applicables sur la protection des données.

7. TRANSFERTS INTERNATIONAUX DE DONNÉES

7.1. Certains produits permettent au client de choisir où héberger les données personnelles du contrôleur pour ces produits, y compris dans des centres de données situés en dehors de la juridiction d’origine des données. Ces lieux peuvent inclure (a) l’Espace économique européen, (b) le Royaume-Uni, (c) les États-Unis d’Amérique ; ou un autre lieu tel que spécifié dans l’accord principal ("Emplacement central de stockage”). Pour ces produits, la sélection est faite par le client au moment de l’installation du produit, de la création du compte ou de la première utilisation du produit concerné. Une fois sélectionné par le client, le lieu de stockage central ne peut pas être modifié ultérieurement.

7.2. Le client accepte par la présente que, quel que soit le lieu de stockage central sélectionné (si pertinent), Sophos puisse transférer les données personnelles du Contrôleur à l’international, sous réserve de conformité la loi applicable sur la protection des données et les dispositions de ce DPA. Si le transfert est un transfert restreint, Sophos le fera mettre en œuvre et maintenir des mécanismes de transfert appropriés, tels que Clauses contractuelles standard, pour garantir le respect des lois européennes sur la protection des données.

7.3. Dans la mesure où tout transfert restreint A lieu De le Client à Sophos :

1. Les clauses contractuelles types sont expressément incorporées ici par référence et font partie de cette DPA ; et
2. Aux fins des clauses contractuelles types :
   1. En ce qui concerne les données personnelles du contrôleur, le client est l’exportateur de données et Sophos est l’importateur de données et le Processeur.
   2. Lorsque le Client est le Contrôleur, le Module 2 des Clauses Contractuelles Types s’appliquera, sous réserve des dispositions de l’Annexe 3. Lorsque le client est un Prestataire agissant au nom du Contrôleur, le Module 3 des Clauses Contractuelles Types s’applique, sous réserve des dispositions de l’Annexe 3.
   3. La signature et la datation de l’Accord principal par les parties sont considérées comme la signature et la datation des clauses contractuelles types.  

8. DURÉE

8.1. Cette DPA débute à la (a) signature par les deux parties de l’Accord Principal ou (b) à la date à laquelle l’Accord Principal devient effective, si elle est ultérieure, et se poursuit jusqu’à la date plus ancienne de : (i) l’expiration du droit du Client à utiliser et recevoir les Services, comme indiqué dans l’Accord Principal ou sur tout droit de licence associé ; et (ii) la résiliation de l’Accord principal.

9. AUTRES RÉGLEMENTATIONS

9.1. Tout amendement de cette APD n’est valable que s’il est écrit et signé par ou au nom de chaque partie.

9.2. En aucun cas, la responsabilité de Sophos envers le Client en lien avec un problème découlant ou en lien avec ce DPA ne dépassera les limites de responsabilité de Sophos énoncées dans le Contrat Principal. Les limitations de responsabilité de Sophos telles que définies dans l’Accord principal s’appliqueront dans l’ensemble de l’Accord Principal et de la présente DPA, de sorte qu’un régime unique de limitation de responsabilité s’applique à la fois à l’Accord Principal et à la présente DPA.

9.3. Cette DPA (à l’exclusion des SCC) sera régie et interprétée conformément aux lois d’Angleterre et du Pays de Galles, sans égard aux principes de conflit de lois. Dans la mesure permise par la loi applicable, les tribunaux d’Angleterre ont compétence exclusive pour statuer sur tout litige ou réclamation pouvant découler de, sous ou en lien avec cette DPA.

9.4. L’Accord Principal, cette DPA ainsi que les documents expressément mentionnés dans l’Accord Principal et la présente Accord Principal constituent l’intégralité de l’accord entre les parties concernant les données personnelles collectées, traitées et utilisées par Sophos dans le cadre de l’Accord Principal, et prévalent sur tous les accords, arrangements et ententes antérieurs entre les parties concernant cette matière.

9.5. Dans la mesure où tout conflit entre les termes de cette DPA et les termes de tout SCC conclu par les parties, les termes des SCC applicables (y compris les annexes qui y sont incluses) prévalent.

10. MODIFICATIONS DE LA LOI

10.1. Si un amendement à cette DPA est nécessaire à la suite d’un changement dans les lois applicables sur la protection des données, l’une ou l’autre partie peut fournir un avis écrit à l’autre partie concernant ce changement. Les parties discuteront et négocieront de bonne foi toute modification nécessaire à cette DPA pour faire face à ces changements. Les parties ne refuseront pas de manière déraisonnable le consentement ou l’approbation pour modifier cette DPA conformément à la présente Section 10 ou autrement.

LISTE DES EXPOSITIONS

Exemple 1: DÉTAILS DU TRAITEMENT

Exemple 2: MESURES TECHNIQUES ET ORGANISATIONNELLES

Exemple 3: CONDITIONS SUPPLÉMENTAIRES POUR LES TRANSFERTS RESTREINTS

Pièce jointe (à la pièce 3): Annexe aux SCC (Module 2/Module 3) : Contrôleur-vers-processeur/ Processeur-vers-processeur

Exemple 1

DESCRIPTION DU TRAITEMENT

Cette pièce 1 décrit le traitement que Sophos effectuera en tant que processeur au nom du client.

(a) Objet du traitement

Sophos propose des services conçus pour détecter, prévenir, gérer ou aider Sophos à détecter, prévenir et gérer les menaces de sécurité au sein ou contre les systèmes, réseaux, appareils, fichiers et autres données mises à disposition par le Client. Le contenu de toute information contenue dans ces systèmes, réseaux, appareils, fichiers et autres données est déterminé uniquement par le Client.

(b) Nature et objectif des opérations de traitement

• Fourniture des services en vertu de l’Accord.
• Les données personnelles du Responsable de la Traite seront soumises aux activités de traitement de base suivantes :

Toute opération ou ensemble d’opérations réalisé sur des données personnelles ou sur des ensembles de données personnelles dans le cadre de la fourniture des Services, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d’une autre manière, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.

(c) Durée des opérations de traitement:

Les données personnelles du contrôleur seront traitées pour le durée de l’Accord principal et conformément aux dispositions de ce DPA.

(d) Sujets de données

Les données personnelles du Contrôleur concernent les catégories suivantes de personnes concernées :

• Personnel et utilisateurs finaux de Controller  
• Autres personnes concernées dont les données personnelles sont traitées au nom du Responsable de Traite en lien avec les Services

(e) Types de données personnelles

Les données personnelles du Contrôleur concernent les catégories de données suivantes :

• Noms d’utilisateur et autres identifiants
• Informations sur le réseau et l’activité réseau
• D’autres informations pouvant être transmises ou traitées en lien avec les Services

(f) Catégories spéciales de données (si applicable)

Les données personnelles du Contrôleur concernent les catégories particulières de données suivantes :

Le contenu de toute information contenue dans les systèmes, réseaux, appareils, fichiers et autres données Sophos est déterminé uniquement par le Client. Sauf indication contraire, les services de Sophos ne sont pas conçus pour traiter des catégories particulières de données.

Exemple 2

MESURES TECHNIQUES ET ORGANISATIONNELLES

Cet aperçu de la sécurité de l’information s’applique aux contrôles corporatifs de Sophos pour la protection des données personnelles du contrôleur.

Pratiques et politiques de sécurité

Sophos s’engage à mettre en place des mesures de protection physiques, techniques, administratives ou organisationnelles relatives à la protection de ces données personnelles contre la destruction, la perte, l’accès ou la modification accidentelle ou illégale des données du Contrôleur en possession ou sous le contrôle de Sophos.  Sophos doit maintenir des politiques et normes de protection des données personnelles du Contrôleur provenant des cadres standards industriels et établir des normes uniformes de sécurité et de confidentialité pour les opérations de Sophos.  

Sécurité organisationnelle

Il est de la responsabilité des individus de l’organisation de se conformer à ces pratiques et normes. Pour faciliter l’adhésion des entreprises à ces pratiques et normes, la fonction de la sécurité de l’information fournit :

1. La stratégie et la conformité aux politiques/normes et réglementations, la sensibilisation et l’éducation, l’évaluation et la gestion des risques, la gestion des exigences de sécurité des contrats, le conseil en applications et infrastructures, les tests d’assurance et la direction de la sécurité de l’entreprise ;
2. les tests de sécurité, la conception et la mise en œuvre de solutions de sécurité permettant l’adoption des contrôles de sécurité dans l’ensemble de l’environnement ;
3. les opérations de sécurité des solutions de sécurité mises en œuvre, l’environnement et les actifs, ainsi que la gestion des activités de réponse aux incidents ;

Sécurité du personnel

Dans le cadre du processus d’embauche et soumis à la législation locale, les employés passent un processus de sélection lors de l’embauche. La formation annuelle de Sophos sur la conformité inclut une obligation pour les employés de suivre un cours en ligne portant sur la sécurité de l’information et la protection des données. Le programme de sensibilisation à la sécurité peut également fournir des documents spécifiques à certaines fonctions professionnelles.

Sécurité physique et environnementale

Sophos prend des précautions pour s’assurer que tous les systèmes hébergeant les données personnelles du contrôleur sont maintenus dans un environnement physiquement sécurisé afin d’éviter tout accès physique non autorisé, et que les restrictions d’accès aux lieux physiques contenant des données personnelles du contrôleur, tels que les bâtiments, les installations informatiques et les installations de stockage des dossiers, soient conçues et mises en œuvre pour permettre l’accès uniquement aux personnes autorisées, et pour détecter tout accès non autorisé pouvant survenir.  y compris, sans limitation, les contrôles d’accès aux badges, les restrictions d’accès aux zones sensibles, les alarmes des installations ainsi que l’enregistrement des visiteurs et les registres.

Gestion des communications et des opérations

Sophos gère les modifications de son infrastructure, de ses systèmes et de ses applications à travers un programme formel de gestion des changements conçu pour garantir l’intégrité et la sécurité des données personnelles du contrôleur. Les contrôles incluent les tests, l’analyse de l’impact sur l’entreprise et l’approbation de la direction lorsque cela est approprié. Des procédures de réponse aux incidents existent pour les incidents de sécurité et de protection des données, qui peuvent inclure l’analyse des incidents, le confinement, la réponse, la remédiation, le rapport et le retour à la normale.

Pour se protéger contre les attaques de cybersécurité, des contrôles supplémentaires peuvent être mis en place en fonction du risque. Ces contrôles peuvent inclure, sans s’y limiter, les politiques et normes de sécurité de l’information, l’accès restreint, l’authentification multifacteur, les environnements de développement et de test désignés, la détection de logiciels malveillants ; le scan des emails et du trafic web ; gérait la détection et la réponse, la consignation et l’alerte sur les événements clés, les procédures de gestion de l’information basées sur le type de données ainsi que la détection des vulnérabilités système et application.

Contrôles d’accès

Sophos maintient des mesures et procédures de sécurité appropriées afin de garantir que l’accès à tous les systèmes hébergeant les données personnelles du contrôleur soit protégé grâce à l’utilisation de systèmes de contrôle d’accès qui identifient de manière unique chaque individu nécessitant l’accès, accordent l’accès uniquement aux personnes autorisées et, selon le principe des privilèges moindres, empêchent les personnes non autorisées d’accéder aux données personnelles du contrôleur,  limiter et contrôler de manière appropriée la portée de l’accès accordé à toute personne autorisée, et consigner tous les événements d’accès pertinents.

Contrôles des sous-traitants

Sophos sera responsable de veiller à ce que ses sous-traitants qui traitent les données personnelles du Contrôleur maintiennent des programmes de sécurité des données au moins aussi stricts que les programmes propres de Sophos en ce qui concerne le service applicable auquel ce sous-traitant a été engagé, et conformément aux normes et pratiques généralement acceptées dans l’industrie. Sophos doit maintenir un programme de gestion des risques axé sur l’identification, l’évaluation et la validation des contrôles de sécurité d’un fournisseur.

Développement et maintenance du système

Les vulnérabilités tierces publiées sont examinées pour leur applicabilité dans l’environnement Sophos. En fonction du risque pour l’entreprise et les clients de Sophos, des délais prédéterminés sont prévus pour la remédiation. De plus, des analyses et des évaluations des vulnérabilités sont réalisées sur les applications nouvelles et clés ainsi que sur l’infrastructure en fonction des risques. Les revues de code et les scanners sont utilisés dans l’environnement de développement avant la production pour détecter de manière proactive les vulnérabilités de codage basées sur le risque. Ces processus permettent une identification proactive des vulnérabilités ainsi que la conformité.

Conformité

Les départements de sécurité de l’information, de droit, de confidentialité et de conformité travaillent à identifier les lois et réglementations régionales applicables à Sophos. Ces exigences couvrent des domaines tels que la propriété intellectuelle de l’entreprise et de nos clients, les licences logicielles, la protection des données personnelles des employés et des clients, la protection des données et les procédures de gestion des données, la transmission transfrontalière des données, les procédures financières et opérationnelles, les contrôles réglementaires à l’exportation technologique, ainsi que les exigences en matière de criminalistique. Des mécanismes tels que le programme de sécurité de l’information, les audits/évaluations internes et externes, la consultation de conseillers juridiques internes et externes, l’évaluation des contrôles internes, les tests d’intrusion internes et les évaluations de vulnérabilités, la gestion des contrats, la sensibilisation à la sécurité, le conseil en sécurité, les revues des exceptions politiques et la gestion des risques se combinent pour favoriser la conformité à ces exigences.

Exemple 3

CONDITIONS SUPPLÉMENTAIRES POUR LES TRANSFERTS RESTREINTS

Cette annexe 3 inclut des termes supplémentaires applicables aux transferts restreints, ainsi que les informations nécessaires pour compléter les annexes (annexes I à III) aux clauses contractuelles standard applicables.

1. Lorsque le client est un Responsable de l’information concernant les données personnelles du Contrôleur, le Module 2 des Clauses Contractuelles Types s’appliquera, sous réserve des termes de cette Annexe 3.
2. Lorsque le Client est un Traiteur agissant au nom d’un Responsable de Traiteur concernant les Données personnelles du Responsable, le Module 3 des SCC s’appliquera, sous réserve des termes de cette Annexe 3.
3. Aux fins des CSC de l’UE:
   3.1. Clause 7 : la clause d’amarrage optionnelle ne s’appliquera pas ;
   3.2. Clause 9(a) : l’option 2 (Autorisation générale) s’applique et l’importateur de données doit informer l’exportateur de données par écrit au moins 30 jours à l’avance de toute modification prévue.
   3.3. Clause 11 : la clause optionnelle ne s’appliquera pas.
   3.4. Clause 17 : les SCC de l’UE sont régis par les lois de la République d’Irlande
   3.5. Clause 18 : les litiges seront réglés devant les tribunaux de la République d’Irlande ;
   3.6. L’annexe aux CSC de l’UE doit être remplie des informations contenues dans la pièce jointe à cette annexe 3.

4. Aux fins de l’Addendum britannique, Les éléments suivants s’appliquent :

   4.1. Les détails des parties pertinentes pour le tableau 1 sont ceux qui sont exposés à l’annexe I de l’annexe à cette pièce annexe 3 ;

   4.2. Aux fins du tableau 2, l’Addendum britannique doit être ajouté aux CSC de l’UE avec les mêmes options et délais mentionnés ci-dessus ;

   4.3. Les informations annexes listées dans le Tableau 3 doivent être complétées par les informations de l’Annexe I et de l’Annexe II de l’Annexe à cette Annexe

5. Aux fins des CSC suisses, les CSC de l’UE s’appliquent comme suit :
   5.1. Toute référence dans les SCC de l’UE au RGPD doit être interprétée comme une référence à la DPA suisse ;
   5.2. Les références à « UE », « Union », « État membre » et « loi des États membres » doivent être interprétées comme des références à la Suisse et au droit suisse, selon le cas ;
   5.3. Les références à « l’autorité de surveillance compétente » et aux « tribunaux compétents » doivent être interprétées comme des références au FDPIC et aux tribunaux compétents en Suisse ;
   5.4. Les annexes pertinentes des CSC suisses doivent être remplies des informations figurant en pièce jointe à cette pièce 3.

Pièce jointe à la pièce 3 

ANNEXE AUX SCCS 

MODULE 2 ou MODULE 3 (selon le cas) 

ANNEXE I 

Un. LISTE DES PARTIS 

1. Exportateur(s) de données(s) :  

Signature et date de l’exportateur de données: Date et signature telles qu’indiquées dans l’Accord principal 

2. Importateur(s) de données : 

Signature et date de l’importateur de données: Date et signature telles qu’indiquées dans l’Accord principal 

B. DESCRIPTION DU TRANSFERT 

1.1. Catégories de Personnes concernées dont les données personnelles sont transférées. 

Comme exposé à la pièce 1.

1.2 Catégories de Données personnelles transférées. 

Comme exposé à l’Exhibit 1.

Données sensibles transférées (le cas échéant) et appliquées restrictions ou garanties qui tiennent pleinement compte de la nature des données et des risques encourus, telles que par exemple une limitation stricte de l’objectif, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un enregistrement de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Comme exposé à la pièce 1. Si des données sensibles sont transférées, voir l’Annexe 2 pour les restrictions appliquées.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

Continu.

Nature du traitement

Comme exposé à la pièce 1.

Objectif(s) du transfert des données et du traitement ultérieur

Comme exposé à la pièce 1.

La période pendant laquelle les données personnelles seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période

Comme exposé à la pièce 1.

Pour les transferts vers des (sous-)processeurs, spécifiez également le sujet, la nature et la durée du traitement

Comme exposé à la pièce 1.

C. AUTORITÉ DE SUPERVISION COMPÉTENTE 

L’autorité de surveillance compétente est l’autorité de surveillance de l’État membre où l’exportateur de données est établi ou selon la mesure du RGPD.

ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES, POUR GARANTIR LA SÉCURITÉ DES DONNÉES

Comme indiqué dans l’Exhibit 2 de la DPA. 

ANNEXE III – LISTE DES SOUS-PROCESSEURS 

Non applicable puisque les parties se sont accordées sur une autorisation générale à l’utilisation de sous-traiteurs

Date de révision : 10 décembre 2025