REMARQUE: Cette traduction a été générée automatiquement et est fournie uniquement pour des raisons de commodité. Cette traduction générée automatiquement n'est pas comparable à la qualité d'une traduction humaine et peut contenir des erreurs. Cette traduction est fournie « EN L'ÉTAT » et sans aucune garantie quant à l'exactitude, l'exhaustivité ou la fiabilité de la traduction. En cas de divergences entre la version anglaise de ce contrat et la version traduite dans une langue étrangère, seule la version anglaise sera considérée comme valide.
ADDENDA DE TRAITEMENT DES DONNÉES
Cet Addenda de Traitement des Données (« DPA ») fait partie intégrante et est expressément incorporé dans l'accord conclu entre Sophos et le Client pour la fourniture par Sophos au Client de certains produits et/ou services (« Accord Principal »). Sauf définition contraire, tous les termes en majuscules auront les significations données à la Section 1 ci-dessous.
1.DÉFINITIONS
1.1. Dans ce DPA, les termes suivants auront les significations suivantes :
« Affilié » désigne, en ce qui concerne chaque partie, une entité qui contrôle, est contrôlée par, ou est sous le contrôle commun de cette partie. Aux fins de cette définition, « contrôle » signifie la propriété bénéficiaire de plus de cinquante pour cent (50 %) du pouvoir de vote ou des capitaux dans une entité ou le droit contractuel ou légal de diriger la gestion de cette entité ;
« Législations Applicables en Matière de Protection des Données » désigne toutes les lois et réglementations applicables au Traitement des Données Personnelles du Responsable en vertu de l'Accord Principal, y compris, le cas échéant, le RGPD, la Loi sur la Protection des Données du Royaume-Uni et le CCPA
« Bénéficiaire » a le sens qui lui est donné dans l'Accord MSP.
« CCPA » désigne la Loi californienne sur la protection de la vie privée des consommateurs telle que modifiée par la Loi de 2020 sur les droits à la vie privée en Californie, codifiée à Cal. Civ. Code §§ 1798.100 - 1798.199.100 et les Règlements de la Loi californienne sur la protection de la vie privée des consommateurs qui y sont associés, Cal. Code Regs. tit. 11, div. 6, ch. 1, chacun tel que modifié;
“Contrôleur” désigne soit : (a) le Client, si le Client est un Utilisateur Final ; (b) le Bénéficiaire, si le Client est un MSP ; ou (c) le Client Final, si le Client est un OEM ;
“Données Personnelles du Contrôleur” désigne les Données Personnelles que Sophos traite pour le compte du Contrôleur dans le cadre de la fourniture des Services ;
“Client” désigne : (1) le fournisseur de services gérés ou le fournisseur de services de sécurité gérés (chacun désigné par “MSP”) si l'Accord Principal est entre Sophos et un MSP ("Accord MSP”), (2) le fabricant d'équipement d'origine (“OEM”) si l'Accord Principal est avec un OEM autorisé à distribuer, sous-licencier ou mettre à disposition des tiers les produits Sophos en combinaison avec ses produits dans le cadre d'une unité groupée (“Accord OEM”); (3) l'utilisateur final (“Utilisateur Final”), si l'Accord Principal est directement avec le client ;
“Personne Concernée” désigne l'individu auquel les Données Personnelles du Contrôleur se rapportent ;
“Demandes des Personnes Concernées” désigne toute demande des Personnes Concernées exerçant des droits en vertu des Lois Applicables sur la Protection des Données ;
“EEE” désigne l'Espace Économique Européen, y compris les États membres de l'Union Européenne ;
“Client Final” a le sens qui lui est donné dans l'Accord OEM ;
“Clauses Contractuelles Types de l'UE” désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement Européen et du Conseil approuvé par la décision d'exécution de la Commission Européenne (UE) 2021/914 du 4 juin 2021 ;
“RGPD” désigne le Règlement Général sur la Protection des Données (UE) 2016/679, tel que modifié de temps à autre ;
“Données Personnelles” désigne “données personnelles” ou “informations personnelles”, tels que ces termes sont définis en vertu des Lois Applicables sur la Protection des Données, et inclut toute information relative à une personne identifiée ou identifiable ou à un ménage ;
“Violation de Données Personnelles” désigne une violation de la sécurité (autre que causée par le Client ou ses utilisateurs) entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles du Contrôleur ;
“Processeur” désigne une personne ou une entité qui traite des Données Personnelles pour le compte et sous les instructions d'un contrôleur, y compris toute entité agissant en tant que “fournisseur de services” conformément à la CCPA ;
“Transfert Restreint” désigne un transfert de Données Personnelles vers un Pays Tiers où un tel transfert serait interdit en vertu de la Loi Européenne sur la Protection des Données en l'absence de mécanismes de transfert appropriés, tels que des règles d'entreprise contraignantes ou des Clauses Contractuelles Types ;
“Services” désigne tout produit fourni et/ou service exécuté par Sophos conformément à l'Accord Principal ;
“Sophos” désigne Sophos Limited, une société enregistrée en Angleterre et au Pays de Galles, numéro 2096520, ayant son siège social au Pentagon, Abingdon, OX14 3YP, Royaume-Uni ;
“Clauses Contractuelles Types” ou “CCT” désigne : (i) lorsque le RGPD s'applique à un Transfert Restreint, les CCT de l'UE ; (ii) lorsque la Loi sur la Protection des Données du Royaume-Uni s'applique à un Transfert Restreint, l'Addendum du Royaume-Uni ; et (iii) lorsque la LPD suisse s'applique à un Transfert Restreint, les CCT suisses ;
“Sous-Processeur” désigne toute entité désignée par Sophos pour effectuer des activités de traitement liées aux Données Personnelles du Contrôleur ;
“Autorité de Contrôle” désigne l'autorité réglementaire compétente en matière de Lois Applicables sur la Protection des Données, y compris, le cas échéant, une autorité de contrôle telle que définie dans le RGPD ;
«La LPD suisse» désigne la Loi fédérale suisse sur la protection des données du 25 septembre 2020, telle que modifiée de temps à autre ;<2>
«Les SCC suisses» désigne les clauses types de protection des données applicables pour le transfert de données personnelles vers des pays tiers émises, approuvées ou reconnues par le Commissaire fédéral à la protection des données et à l'information suisse (« FDPIC ») ;
«Pays tiers» désigne un pays en dehors de l'EEE, du Royaume-Uni (« UK ») ou de la Suisse qui n'a pas été désigné par la Commission européenne ou un organisme ou une personne équivalente en Suisse ou au Royaume-Uni comme garantissant un niveau adéquat de protection conformément aux lois sur la protection des données de l'EEE, du Royaume-Uni ou de la Suisse (« Droit européen de la protection des données ») ;
«Addendum UK» désigne l'Addendum international sur le transfert de données aux SCC de l'UE, émis par le Bureau du Commissaire à l'information du Royaume-Uni et présenté au Parlement conformément à l'article 119A de la Loi sur la protection des données de 2018 le 2 février 2022 ;
«Droit de la protection des données du Royaume-Uni» désigne la Loi sur la protection des données du Royaume-Uni de 2018 et le RGPD tel qu'il a été intégré dans le droit du Royaume-Uni en vertu de l'article 3 de la Loi de 2018 sur le retrait du Royaume-Uni de l'Union européenne, tous deux modifiés de temps à autre.
1.2. Dans cette LPD, les termes en minuscules « responsable », « sous-traitant », « personne concernée », « données personnelles » et « traitement » (et leurs dérivés) auront les significations données dans la Loi applicable sur la protection des données.
1.3. Les termes en majuscules non autrement définis dans cette LPD auront la signification qui leur est attribuée dans l'Accord principal.
2. CHAMP D'APPLICATION
- 2.1. Cette LPD s'applique lorsque Sophos traite les données personnelles du Responsable pour le compte du Client dans le cadre de la fourniture des Services. L'objet et la durée du traitement par Sophos des données personnelles du Responsable, la nature et le but du traitement, les types de données personnelles du Responsable à traiter, et les catégories de personnes concernées, seront tels que décrits dans : (a) cette LPD ; (b) l'Accord principal ; (c) l'Exposition 1 (Détails du traitement des données) ; et (d) les instructions du Client émises conformément à l'article 4 ci-dessous.
- 2.2. Le Client est responsable de s'assurer que le Responsable (a) a une base légale pour le traitement des données personnelles du Responsable qui sera effectué par Sophos pour le compte du Client, et (b) a obtenu tous les consentements nécessaires des personnes concernées qui peuvent être requis pour le traitement des données personnelles du Responsable par le Client et Sophos ; et (c) est par ailleurs conforme aux lois applicables sur la protection des données, et veillera à ce que ses instructions à Sophos pour le traitement des données personnelles du Responsable soient conformes à tous égards aux lois applicables sur la protection des données.
- 2.3. Les parties conviennent qu'en ce qui concerne les données personnelles du Responsable, Sophos est un Sous-traitant ou un sous-sous-traitant, et le Client est soit (a) le Responsable lorsque le Client est un Utilisateur final, soit (b) un Sous-traitant, pour le Bénéficiaire ou le Client final, lorsque le Client est un MSP ou un OEM, respectivement.
3. INSTRUCTIONS DU CLIENT
- 3.1. Le Client demande à Sophos de traiter les données personnelles du Responsable dans la mesure raisonnablement nécessaire pour fournir et exécuter les Services et comme autrement stipulé dans cette LPD et l'Accord principal (« Instructions du Client »). Sophos traitera les données personnelles du Responsable conformément aux Instructions du Client, sauf (a) si convenu autrement par écrit entre Sophos et le Client ; ou (b) comme requis par toute loi à laquelle Sophos est soumis (dans ce cas, Sophos informera le Client de cette exigence légale avant tout traitement, à moins que cette loi n'interdise la fourniture de telles informations pour des raisons importantes d'intérêt public). Lorsque le Client agit en tant que Sous-traitant en ce qui concerne les données personnelles du Responsable, le Client doit s'assurer que les Instructions du Client ont été autorisées par le Responsable concerné et ne contredisent pas les instructions émises par ce Responsable.
- 3.2. Si Sophos prend connaissance que les Instructions du Client enfreignent les lois applicables sur la protection des données, il informera rapidement le Client de la même chose et suspendra le traitement des données personnelles du Responsable.
- 3.3. Sans limiter ce qui précède, dans la mesure où la CCPA s'applique aux données personnelles du Responsable, Sophos s'engage en outre à ce que :
- a. Sophos n'utilisera, ne divulguera ni ne traitera autrement les données personnelles du Responsable sauf pour le but commercial spécifique d'exécuter les Services, conformément aux termes de cette LPD et de l'Accord principal, et comme autrement autorisé par les lois applicables ;
- b. Sophos peut engager des Sous-traitants pour traiter les données personnelles du Responsable, sous réserve des termes de l'article 7 et cet engagement ne sera pas considéré comme une vente de données personnelles du Responsable ;
- c. Sophos ne traitera pas les données personnelles du contrôleur en dehors de la relation commerciale directe entre le client et Sophos ou pour les propres fins commerciales de Sophos ;
- d. Sophos ne "partagera" ni ne "vendra" (tel que ces termes sont définis dans le CCPA) aucune donnée personnelle du contrôleur ;
- e. Sophos respectera ses obligations en vertu du CCPA et fournira le même niveau de protection de la vie privée que celui exigé par le CCPA ;
- f. Si Sophos estime qu'il ne pourra pas respecter les termes du CCPA, Sophos informera rapidement le client et accordera au client le droit de prendre des mesures raisonnables et appropriées pour garantir que les données personnelles du contrôleur sont traitées d'une manière qui est conforme aux obligations du contrôleur en vertu de du CCPA ;
- g. Sophos ne conservera pas les données personnelles du contrôleur à l'expiration ou à la résiliation de l'accord principal, sauf disposition contraire dans la section 4.6.
- 3.4. Sophos certifie qu'il comprend et respectera les obligations énoncées dans la section 3.3.
4. OBLIGATIONS DE SOPHOS
- 4.1. Coopération. En tenant compte de la nature du traitement des données personnelles du contrôleur, Sophos fournira au client (ou, si le client est un MSP ou un OEM, au contrôleur) une assistance raisonnable si nécessaire pour : (i) répondre aux demandes des personnes concernées exerçant leurs droits en vertu des lois applicables sur la protection des données (y compris informer le client lors de la réception de telles demandes, à condition qu'il ne réponde pas lui-même à moins d'y avoir été autorisé par le client), (ii) réaliser des évaluations d'impact sur la protection des données ou d'autres évaluations requises par les lois applicables sur la protection des données ; et (iii) consulter et coopérer avec les autorités de contrôle comme requis par les lois applicables sur la protection des données. Sophos se réserve le droit de facturer cette assistance si le coût de l'assistance dépasse un montant nominal.
- 4.2. Demandes de tiers. Sauf interdiction légale, Sophos informera le client de toute demande de confidentialité, correspondance, enquête ou plainte qu'il reçoit d'une autorité de contrôle, d'une autorité judiciaire ou d'une agence d'application de la loi en rapport avec le traitement des données personnelles du contrôleur ("Demande de tiers "), en fournissant tous les détails de celle-ci. Sophos ne répondra pas directement à la demande de tiers, sauf (1) sur instructions écrites du client ou, (2) comme l'exigent les lois applicables.
- 4.3. Confidentialité. Tout le personnel de Sophos qui traite les données personnelles du contrôleur doit être correctement formé en ce qui concerne ses obligations en matière de protection des données, de sécurité et de confidentialité, et doit être soumis à des obligations écrites ou légales de confidentialité.
- 4.4. Sécurité. Sophos mettra en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié au risque et pour protéger les données personnelles du contrôleur contre une violation des données personnelles. Ces mesures tiendront compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de l'étendue, du contexte et des objectifs du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques afin de garantir un niveau de sécurité approprié au risque. En particulier, les mesures prises par Sophos incluront celles décrites dans l'Annexe 2 de ce DPA.
- 4.5. Données personnelles en cas de violation. Après avoir confirmé la survenance de toute violation de données personnelles, Sophos informera le Client sans délai injustifié et fournira toutes les informations et la coopération en temps utile que le Client peut raisonnablement exiger afin que le Client (et, si le Client est un MSP ou un OEM, son Responsable) puisse remplir ses obligations de déclaration de violation de données en vertu de (et conformément aux délais requis par) la Loi Applicable sur la Protection des Données. Sophos prendra en outre des mesures et des actions qui sont raisonnablement nécessaires pour remédier ou atténuer les effets de la violation de données personnelles et tiendra le Client informé des développements en lien avec la violation de données personnelles.
- 4.6. Fin des Services. À la fin de la fourniture des Services ou sur demande écrite du Client, Sophos supprimera les Données Personnelles du Responsable dans un délai raisonnable suivant la fin des Services ou la demande, sauf si la loi applicable exige autrement, ou si cela est nécessaire pour se conformer à une exigence judiciaire ou de conformité. Si Sophos est tenu de conserver des Données Personnelles du Responsable, Sophos prendra des mesures pour garantir la confidentialité et la sécurité continues des Données Personnelles du Responsable tant qu'elles sont conservées.
5. DROITS D'AUDIT DU CLIENT
5.1. Le Client reconnaît que Sophos est régulièrement audité selon les normes SSAE 18 SOC 2 par des auditeurs tiers indépendants. Sur demande raisonnable, Sophos fournira une copie de son rapport d'audit SOC 2 au Client, lequel rapport sera soumis aux dispositions de confidentialité de l'Accord Principal en tant qu'information confidentielle de Sophos. Sophos répondra également aux questions d'audit écrites raisonnables qui lui sont soumises par le Client, à condition que le Client n'exerce pas ce droit plus d'une fois par an.
5.2. Si, selon l'opinion raisonnable du Client, les documents fournis en vertu de la Section 5.1 sont insuffisants pour démontrer la conformité de Sophos avec ce DPA, alors le Client peut demander par écrit que Sophos mette à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité avec les obligations énoncées dans ce DPA et permettre et contribuer aux audits, y compris les inspections, par le Client ou l'auditeur tiers indépendant du Client, sous réserve des dispositions suivantes :
- a. avant de demander un examen ou un audit en vertu de cette Section 5.2, le Client tiendra compte des certifications et audits tiers de Sophos pertinents décrits à la Section 5.1 ;
- b. Le Client donnera à Sophos un préavis raisonnable, d'au moins 30 jours à l'avance, d'une demande de réalisation d'un audit ou d'une inspection en vertu de cette Section 5.2, en <1>fournissant la portée proposée, la durée et la date de début de l'audit ;
- c. lorsqu'un auditeur tiers effectue l'audit, cet auditeur tiers doit être un professionnel ou une entreprise réputé(e) et bien établi(e), être soumis à des obligations de confidentialité appropriées, et ne pas être un concurrent du Fournisseur ;
- d. Le Client (et veillera à ce que ses auditeurs) effectuera cet audit ou cette inspection pendant les heures normales de travail de Sophos avec un minimum de perturbation des activités commerciales ;
- e. un audit ou une inspection ne sera effectué(e) pas plus d'une fois par an, sauf si cela est requis par une Autorité de Contrôle ou des Lois Applicables sur la Protection des Données ;
- f. Le Client (ou ses auditeurs, le cas échéant) n'aura pas accès aux autres clients de Sophos (et à leurs informations) ;
- g. sauf lorsque l'audit ou l'inspection révèle un manquement de la part de Sophos à respecter ses obligations matérielles en vertu de ce DPA, Le Client remboursera Sophos pour les coûts et dépenses raisonnables engagés par Sophos, y compris les frais pour le temps passé par Sophos, son personnel et ses conseillers professionnels;
- h. Le Client doit fournir à Sophos une copie de tout rapport d'audit généré dans le cadre d'un audit effectué en vertu de cette Section 5.2, sauf interdiction par la loi applicable;
- i. Les informations apprises lors de l'audit ou de l'inspection doivent être considérées comme des informations confidentielles de Sophos.
6. SOUS-TRAITANTS
- 6.1. Sophos est généralement autorisé à utiliser les Sous-Traitants qui sont énumérés à https://www.sophos.com/en-us/legal/sub-processor (“Liste des Sous-Traitants”), ainsi que les Affiliés de Sophos. Sophos peut engager des Sous-Traitants supplémentaires (chacun un “Nouveau Sous-Traitant”) sous réserve des termes énoncés dans cette Section 6.
- 6.2. Sophos informera le Client de toute addition prévue de Nouveaux Sous-Traitants en publiant les détails de cette addition sur la Liste des Sous-Traitants et en envoyant un e-mail au Client.
- 6.3. Si le Client ne s'oppose pas par écrit à la nomination par Sophos d'un Nouveau Sous-Traitant (pour des raisons raisonnables liées à la protection des Données Personnelles du Responsable) dans les 30 jours suivant cette notification, le Client sera réputé avoir consenti à ce Nouveau Sous-Traitant. Si le Client s'oppose, les parties s'efforceront raisonnablement de convenir d'arrangements alternatifs dans les trente (30) jours suivants. Si les parties ne parviennent pas à s'accorder dans le délai imparti, le Client peut choisir de résilier la partie des Services affectée par le Nouveau Sous-Traitant en fournissant un préavis écrit de trente (30) jours à Sophos et Sophos autorisera un remboursement ou un crédit au prorata de tous les frais prépayés pour la période restante après la résiliation.
- 6.4. Sophos imposera des exigences de protection des données aux Sous-Traitants qui sont substantiellement équivalentes aux exigences prévues par ce DPA. Sophos restera pleinement responsable de l'exécution des obligations de chaque Sous-Traitant.
- 6.5. Lorsque l'engagement de Sous-Traitants nécessite un Transfert Restreint de Données Personnelles du Responsable, Sophos mettra en œuvre et maintiendra des mécanismes de transfert appropriés pour garantir le respect des Lois Applicables sur la Protection des Données.
7. TRANSFERTS INTERNATIONAUX DE DONNÉES
- 7.1. Certains produits permettent au Client de choisir où héberger les Données Personnelles du Responsable pour ces produits, y compris dans des centres de données qui peuvent être situés en dehors de la juridiction dans laquelle les données proviennent. Ces emplacements peuvent inclure (a) l'Espace Économique Européen, (b) le Royaume-Uni, (c) les États-Unis d'Amérique; ou un autre emplacement qui peut être spécifié dans l'Accord Principal (“Emplacement de Stockage Central”). Pour ces produits, la sélection est faite par le Client au moment de l'installation du produit, de la création du compte ou de la première utilisation du produit concerné. Une fois sélectionné par le Client, l'Emplacement de Stockage Central ne peut pas être modifié ultérieurement.
- 7.2. Le Client accepte par la présente que, indépendamment de l'Emplacement de Stockage Central sélectionné (le cas échéant), Sophos peut transférer des Données Personnelles du Responsable à l'international, sous réserve du respect de la loi applicable sur la protection des données et des dispositions de ce DPA. Lorsque le transfert est un Transfert Restreint, Sophos mettra en œuvre et maintiendra des mécanismes de transfert appropriés, tels que Clauses Contractuelles Types, pour garantir le respect des Lois Européennes sur la Protection des Données.
- 7.3. Dans la mesure où des Transferts Restreints ont lieu de le Client à Sophos:
- 7.3.1 Les Clauses Contractuelles Types sont expressément incorporées aux présentes par référence et font partie de ce DPA ; et
- 7.3.2. Aux fins des Clauses Contractuelles Types :
- 7.3.2.1. En ce qui concerne les Données Personnelles du Responsable, le Client est l'exportateur de données et Sophos est l'importateur de données et un Processeur.
- 7.3.2.2. Lorsque le Client est le Responsable, le Module 2 des Clauses Contractuelles Types s'appliquera, sous réserve des termes de l'Annexe 4. Lorsque le Client est un Processeur agissant au nom du Responsable, le Module 3 des Clauses Contractuelles Types s'appliquera, sous réserve des termes de l'Annexe 4.
- 7.3.2.3. La signature et la datation des parties de l'Accord Principal sont considérées comme la signature et la datation des Clauses Contractuelles Types.
8. DURÉE
- 8.1. Ce DPA commence à (a) l'exécution par les deux parties de l'Accord Principal ou (b) la date à laquelle l'Accord Principal devient effectif, si plus tard, et se poursuit jusqu'à la première des dates suivantes : (i) l'expiration du droit du Client d'utiliser et de recevoir les Services, comme indiqué dans l'Accord Principal ou sur tout droit de licence associé ; et (ii) la résiliation de l'Accord Principal.
9. AUTRES RÉGLEMENTATIONS
- 9.1. Toute modification de ce DPA n'est valable que si elle est faite par écrit et signée par ou au nom de chaque partie.
- 9.2. En aucun cas, la responsabilité de Sophos envers le Client en relation avec tout problème découlant de, ou en relation avec, ce DPA ne dépassera les limitations de responsabilité de Sophos énoncées dans l'Accord Principal. Les limitations de responsabilité de Sophos telles qu'énoncées dans l'Accord Principal s'appliqueront de manière cumulative à la fois à l'Accord Principal et à ce DPA, de sorte qu'un seul régime de limitation de responsabilité s'appliquera à la fois à l'Accord Principal et à ce DPA.
- 9.3. Ce DPA (à l'exclusion des SCC) sera régi et interprété conformément aux lois de l'Angleterre et du Pays de Galles, sans égard aux principes de conflit de lois. Dans la mesure permise par la loi applicable, les tribunaux d'Angleterre auront compétence exclusive pour déterminer tout litige ou réclamation pouvant découler de, en vertu de, ou en relation avec ce DPA.
- 9.4. L'Accord Principal, ce DPA et les documents expressément référencés dans l'Accord Principal et ce DPA constitueront l'intégralité de l'accord entre les parties en ce qui concerne les Données Personnelles collectées, traitées et utilisées par Sophos en relation avec l'Accord Principal, et remplaceront tous les accords, arrangements et ententes précédents entre les parties concernant ce sujet.
- 9.5. Dans la mesure de tout conflit avec les termes de ce DPA et les termes de tout SCC conclu par les parties, les termes des SCC applicables (y compris tout Annexe y afférente), prévaudront.
10. CHANGEMENTS DE LOI
- 10.1. Si une modification de ce DPA est requise en raison d'un changement dans les Lois de Protection des Données Applicables, alors chaque partie peut notifier par écrit à l'autre partie ce changement. Les parties discuteront et négocieront de bonne foi toute variation nécessaire à ce DPA pour traiter de tels changements. Les parties ne refuseront pas de manière déraisonnable de donner leur consentement ou leur approbation pour modifier ce DPA conformément à cette Section 10 ou autrement.
LISTE DES ANNEXES
Annexe 1 : DÉTAILS DU TRAITEMENT
Annexe 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES
Annexe 3 : CONDITIONS SUPPLÉMENTAIRES POUR LES TRANSFERTS RESTRICTIFS
Pièce jointe (à l'Annexe 3) : Annexe aux SCC (Module 2/Module 3) : Responsable du traitement - Sous-traitant / Sous-traitant - Sous-traitant
Annexe 1
DESCRIPTION DU TRAITEMENT
Cette Annexe 1 décrit le traitement que Sophos effectuera en tant que sous-traitant pour le compte du Client.
(a) Objet du traitement
Sophos fournit des services conçus pour détecter, prévenir et gérer, ou aider Sophos à détecter, prévenir et gérer les menaces de sécurité au sein ou contre des systèmes, réseaux, dispositifs, fichiers et autres données mises à disposition par le Client. Le contenu de toute information détenue dans ces systèmes, réseaux, dispositifs, fichiers et autres données est déterminé uniquement par le Client.
(b) Nature et objectif des opérations de traitement
- Fournir les services en vertu de l'accord.
- Les données personnelles du contrôleur seront soumises aux activités de traitement de base suivantes : <br> Toute opération ou ensemble d'opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles dans le cadre de la fourniture des services, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
(c) Durée des opérations de traitement :
Les données personnelles du contrôleur seront traitées pour la durée de l'accord principal et conformément aux dispositions de ce DPA.
(d) Sujets de données
Les données personnelles du contrôleur concernent les catégories suivantes de sujets de données :
- Personnel et utilisateurs finaux du contrôleur
- Autres sujets de données dont les données personnelles sont traitées pour le compte du contrôleur liées aux services
(e) ypes de données personnelles
Les données personnelles du contrôleur concernent les catégories suivantes de données :
- Noms d'utilisateur et autres identifiants
- Informations sur le réseau et l'activité réseau
- Autres informations qui peuvent être transmises ou traitées en relation avec les services
(f) Catégories spéciales de données (le cas échéant)
Les données personnelles du contrôleur concernent les catégories spéciales de données suivantes :
Le contenu de toute information détenue dans les systèmes, réseaux, dispositifs, fichiers et autres données de Sophos est déterminé uniquement par le client. Sauf indication contraire, les services de Sophos ne sont pas conçus pour traiter des catégories spéciales de données.
Exposition 2
MESURES TECHNIQUES ET ORGANISATIONNELLES
Cette vue d'ensemble de la sécurité de l'information s'applique aux contrôles d'entreprise de Sophos pour protéger les données personnelles du contrôleur.
Pratiques et Politiques de Sécurité
Sophos s'engage à mettre en œuvre des mesures de protection physiques, techniques, administratives ou organisationnelles qui concernent la protection de ces données personnelles du contrôleur contre la destruction, la perte, l'accès ou la modification accidentels ou illégaux des données du contrôleur en possession ou sous le contrôle de Sophos. Sophos maintiendra des politiques et des normes pour la protection des données personnelles du contrôleur qui proviennent de cadres normatifs de l'industrie et établit des normes de sécurité et de confidentialité uniformes pour les opérations de Sophos.
Sécurité Organisationnelle
Il est de la responsabilité des individus au sein de l'organisation de se conformer à ces pratiques et normes. Pour faciliter l'adhésion de l'entreprise à ces pratiques et normes, la fonction de sécurité de l'information fournit :
- 1. Stratégie et conformité avec les politiques/normes et réglementations, sensibilisation et éducation, évaluations et gestion des risques, gestion des exigences de sécurité contractuelles, conseil en applications et infrastructures, tests d'assurance et dirige la direction de la sécurité de l'entreprise ;
- 2. Tests de sécurité, conception et mise en œuvre de solutions de sécurité pour permettre l'adoption de contrôles de sécurité dans l'environnement ;
- 3. Opérations de sécurité des solutions de sécurité mises en œuvre, de l'environnement et des actifs, et gestion des activités de réponse aux incidents ;
Sécurité du Personnel
Dans le cadre du processus d'embauche et sous réserve de la législation locale, les employés subissent un processus de sélection à l'embauche. La formation annuelle de conformité de Sophos comprend une exigence pour les employés de suivre un cours en ligne couvrant la sécurité de l'information et la protection des données. Le programme de sensibilisation à la sécurité peut également fournir des matériaux spécifiques à certaines fonctions de travail.
Sécurité Physique et Environnementale
Sophos prend des précautions pour s'assurer que tous les systèmes hébergeant des données personnelles du contrôleur sont maintenus dans un environnement physiquement sécurisé pour prévenir tout accès physique non autorisé, et que les restrictions d'accès aux emplacements physiques contenant des données personnelles du contrôleur, tels que des bâtiments, des installations informatiques et des installations de stockage de dossiers, sont conçues et mises en œuvre pour permettre l'accès uniquement aux personnes autorisées, et pour détecter tout accès non autorisé qui pourrait se produire, y compris, sans limitation, les contrôles d'accès par badge, les restrictions d'accès aux zones sensibles, les alarmes d'installation ainsi que l'enregistrement et les journaux des visiteurs.
Gestion des Communications et des Opérations
Sophos gère les changements apportés à son infrastructure, ses systèmes et ses applications par le biais d'un programme de gestion des changements formel conçu pour garantir l'intégrité et la sécurité des données personnelles du contrôleur. Les contrôles incluent des tests, une analyse d'impact sur les affaires et une approbation de la direction lorsque cela est approprié. Des procédures de réponse aux incidents existent pour les incidents de sécurité et de protection des données, qui peuvent inclure l'analyse des incidents, la containment, la réponse, la remédiation, le reporting et le retour aux opérations normales.
Pour se protéger contre les cyberattaques, des contrôles supplémentaires peuvent être mis en œuvre en fonction du risque. Ces contrôles peuvent inclure, mais ne sont pas limités à, des politiques et des normes de sécurité de l'information, un accès restreint, une authentification multifactorielle, des environnements de développement et de test désignés, la détection de logiciels malveillants ; le scan des e-mails et du trafic web ; la détection et la réponse gérées, la journalisation et l'alerte sur les événements clés, des procédures de traitement de l'information en fonction du type de données ainsi que le scan des vulnérabilités des systèmes et des applications.
Contrôles d'accès
Sophos maintient des mesures et des procédures de sécurité appropriées pour garantir que l'accès à tous les systèmes hébergeant des données personnelles du contrôleur soit protégé par l'utilisation de systèmes de contrôle d'accès qui identifient de manière unique chaque individu nécessitant un accès, accordent l'accès uniquement aux personnes autorisées et, sur la base du principe du moindre privilège, empêchent les personnes non autorisées d'accéder aux données personnelles du contrôleur, limitent et contrôlent de manière appropriée la portée de l'accès accordé à toute personne autorisée, et enregistrent tous les événements d'accès pertinents.
Contrôles des sous-traitants
Sophos sera responsable de s'assurer que ses sous-traitants qui traitent des données personnelles du contrôleur maintiennent des programmes de sécurité des données qui sont au moins aussi stricts que les propres programmes de Sophos en ce qui concerne le service applicable pour lequel ce sous-traitant a été engagé, et conformément aux normes et pratiques généralement acceptées dans l'industrie. Sophos maintiendra un programme de gestion des risques axé sur l'identification, l'évaluation et la validation des contrôles de sécurité d'un fournisseur.
Développement et maintenance des systèmes
Les vulnérabilités tierces publiquement divulguées sont examinées pour leur applicabilité dans l'environnement de Sophos. En fonction du risque pour les affaires et les clients de Sophos, il existe des délais prédéterminés pour la remédiation. De plus, des scans de vulnérabilités et des évaluations sont effectués sur les nouvelles applications clés ainsi que sur l'infrastructure en fonction du risque. Des revues de code et des scanners sont utilisés dans l'environnement de développement avant la production pour détecter de manière proactive les vulnérabilités de codage en fonction du risque. Ces processus permettent une identification proactive des vulnérabilités ainsi qu'une conformité.
Conformité
Les départements de sécurité de l'information, juridique, de la vie privée et de la conformité travaillent à identifier les lois et réglementations régionales applicables à Sophos. Ces exigences couvrent des domaines tels que, la propriété intellectuelle de l'entreprise et de nos clients, les licences de logiciels, la protection des données personnelles des employés et des clients, la protection des données et les procédures de traitement des données, la transmission de données transfrontalières, les procédures financières et opérationnelles, les contrôles d'exportation réglementaires autour de la technologie, et les exigences d'analyse judiciaire. Des mécanismes tels que le programme de sécurité de l'information, les audits/évaluations internes et externes, la consultation d'avocats internes et externes, l'évaluation des contrôles internes, les tests de pénétration internes et les évaluations de vulnérabilités, la gestion des contrats, la sensibilisation à la sécurité, le conseil en sécurité, les examens d'exceptions de politique et la gestion des risques se combinent pour garantir la conformité à ces exigences.
Exposition 3
TERMES SUPPLÉMENTAIRES POUR LES TRANSFERTS RESTRICTIFS
Cette Exposition 3 comprend des termes supplémentaires applicables aux Transferts Restreints, ainsi que les informations nécessaires pour compléter les Annexes (Annexes I – III) aux Clauses Contractuelles Types applicables.
- Lorsque le Client est un Responsable du traitement concernant les Données Personnelles du Responsable, le Module 2 des Clauses Contractuelles Types s'appliquera, sous réserve des termes de cette Exposition 3.
- Lorsque le Client est un Sous-traitant agissant pour le compte d'un Responsable du traitement concernant les Données Personnelles du Responsable, le Module 3 des CCT s'appliquera, sous réserve des termes de cette Exposition 3.
- Aux fins des CCT de l'UE :
- 3.1. Clause 7 : la clause d'amarrage optionnelle ne s'appliquera pas ;
- 3.2. Clause 9(a) : l'option 2 (Autorisation Générale) s'appliquera et l'importateur de données devra notifier l'exportateur de données par écrit au moins 30 jours avant tout changement prévu.
- 3.3. Clause 11 : la langue optionnelle ne s'appliquera pas.
- 3.4. Clause 17 : les CCT de l'UE seront régis par les lois de la République d'Irlande ;
- 3.5. Clause 18 : les litiges seront résolus devant les tribunaux de la République d'Irlande ;
- 3.6. L'Annexe aux CCT de l'UE sera remplie avec les informations dans l'Annexe de cette Exposition 3.
4. Aux fins de l'Addendum UK, les dispositions suivantes s'appliqueront :
- 4.1. Les détails des Parties pertinents pour le Tableau 1 sont tels que définis dans l'Annexe I de l'Annexe de cette Exposition 3 ;
- 4.2. Aux fins du Tableau 2, l'Addendum UK sera ajouté aux CCT de l'UE avec les mêmes options et délais notés ci-dessus ;
- 4.3. Les informations de l'annexe énumérées dans le Tableau 3 seront remplies avec les informations dans l'Annexe I et l'Annexe II de l'Annexe de cette Exposition 3.
5. Aux fins des CCT suisses, les CCT de l'UE s'appliqueront comme suit :
- 5.1. Toute référence dans les CCT de l'UE au RGPD sera interprétée comme une référence à la LPD suisse ;
- 5.2. Les références à "UE", "Union", "État membre" et "droit de l'État membre" seront interprétées comme des références à la Suisse et au droit suisse, le cas échéant ;
- 5.3. Les références à "l'autorité de surveillance compétente" et "aux tribunaux compétents" seront interprétées comme des références au Préposé fédéral à la protection des données et aux tribunaux compétents en Suisse ;
6. Les annexes pertinentes des SCC suisses doivent être complétées avec les informations de l'annexe de cette exposition 3.
Annexe à l'exposition 3
ANNEXE AUX SCC
MODULE 2 ou MODULE 3 (le cas échéant)
ANNEXE I
A. LISTE DES PARTIES
1. Exportateur(s) de données :
1. Exportateur(s) de données : | |
|---|---|
Nom | Tel que fourni à Sophos en vertu de l'accord principal |
Adresse | Tel que fourni à Sophos en vertu de l'accord principal |
| Autres informations nécessaires pour identifier l'organisation | Tel que fourni à Sophos en vertu de l'accord principal |
Nom de la personne de contact : Poste : Coordonnées : | Tel que fourni à Sophos en vertu de l'accord principal |
| Activités pertinentes aux données transférées en vertu de ces SCC | L'achat de produits tel que défini dans l'accord principal |
Rôle | Contrôleur (lorsque le client est l'utilisateur final) ou processeur (lorsque le client est un MSP ou un OEM) |
Signature et date de l'exportateur de données :
Date et signature comme indiqué dans l'Accord Principal
2. Importateur(s) de données : | |
|---|---|
Nom | Sophos Limited |
Adresse | Le Pentagone, Abingdon Science Park, Abingdon, OX14 3YP, Royaume-Uni |
| Autres informations nécessaires pour identifier l'organisation | Tel que défini dans l'Accord Principal. |
Nom de la personne de contact : Poste : Coordonnées : | Conseiller en confidentialité |
| Activités pertinentes aux données transférées en vertu de ces SCC | La fourniture de Produits comme indiqué dans l'Accord Principal |
Rôle | Sous-traitant |
Signature et date de l'importateur de données : Date et signature comme indiqué dans l'Accord Principal
B. DESCRIPTION DU TRANSFERT
- 1.1. Catégories de sujets de données dont les données personnelles sont transférées.
- Tel que indiqué dans l'Exposition 1.
- 1.2. Catégories de données personnelles transférées.
- Tel que stipulé dans l'Exposition 1.
Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte des finalités, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
- Tel que indiqué dans l'Exposition 1. Si des données sensibles sont transférées, voir l'Exposition 2 pour les restrictions appliquées.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
- Continu.
Nature du traitement
- Tel que indiqué dans l'Exposition 1.
- Objectif(s) du transfert de données et du traitement ultérieur
- Tel que indiqué dans l'Exposition 1.
La période pendant laquelle les données personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période
- Tel que indiqué dans l'Exposition 1.
Pour les transferts vers des (sous-)traitants, spécifiez également l'objet, la nature et la durée du traitement
- Tel que indiqué dans l'Exposition 1.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
L'autorité de contrôle compétente est l'autorité de contrôle de l'État membre où l'exportateur de données est établi ou comme autrement déterminé conformément au RGPD.
ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES
- Comme indiqué dans l'Annexe 2 au DPA.
ANNEXE III – LISTE DES SOUS-TRAITANTS
Non applicable car les parties ont convenu d'une autorisation générale pour l'utilisation de sous-traitants