.png?width=1024&quality=80&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000)
Privacy
REMARQUE : Cette traduction a été générée automatiquement et est fournie uniquement pour des raisons de commodité. Cette traduction générée automatiquement n'est pas comparable à la qualité d'une traduction humaine et peut contenir des erreurs. Cette traduction est fournie « telle quelle » et sans aucune garantie quant à l'exactitude, l'exhaustivité ou la fiabilité de la traduction. En cas de divergences entre la version anglaise de ce contrat et la version traduite dans une langue étrangère, seule la version anglaise sera considérée comme valide.
ANNEXE DE TRAITEMENT DES DONNÉES
Cette Annexe de Traitement des Données (« DPA ») fait partie intégrante et est expressément incorporée dans l'accord conclu entre Sophos et le Client pour la fourniture par Sophos au Client de certains produits et/ou services (« Main Agreement »). Sauf définition contraire, tous les termes en majuscules auront les significations données à la Section 1 ci-dessous.
DÉFINITIONS
1.1 Dans cette DPA, les termes suivants auront les significations suivantes :
« Affilié » désigne, pour chaque partie, une entité qui contrôle, est contrôlée par, ou est sous contrôle commun avec cette partie. Aux fins de cette définition,
« contrôle » désigne la propriété bénéficiaire de plus de cinquante pour cent (50 %) du pouvoir de vote ou des capitaux dans une entité ou le droit contractuel ou légal de diriger la gestion de cette entité ;
« Législations Applicables en Matière de Protection des Données » désigne toutes les lois et réglementations applicables au Traitement des Données Personnelles du Responsable conformément à l'Accord Principal, y compris, le cas échéant, le RGPD, la Loi sur la Protection des Données du Royaume-Uni et la CCPA ;
« Bénéficiaire » a le sens qui lui est donné dans l'Accord MSP ;
« CCPA » désigne la Loi californienne sur la protection de la vie privée des consommateurs telle que modifiée par la Loi de 2020 sur les droits à la vie privée en Californie, codifiée à Cal. Civ. Code §§ 1798.100 - 1798.199.100 et les Règlements de la Loi californienne sur la protection de la vie privée des consommateurs émis à cet égard, Cal. Code Regs. tit. 11, div. 6, ch. 1, chacun tel que modifié;
“ Contrôleur ” désigne soit : (a) le Client, si le Client est un Utilisateur Final ; (b) le Bénéficiaire, si le Client est un MSP ; ou (c) le Client Final, si le Client est un OEM ;
“ Données Personnelles du Contrôleur ” désigne les Données Personnelles que Sophos traite pour le compte du Contrôleur dans le cadre de la fourniture des Services ;
“ Client ” désigne : (1) le fournisseur de services gérés ou le fournisseur de services de sécurité gérés (chacun désigné par “ MSP ”) si l'Accord Principal est entre Sophos et un MSP (“ Accord MSP ”), (2) le fabricant d'équipement d'origine (“ OEM ”) si l'Accord Principal est avec un OEM autorisé à distribuer, sous-licencier ou mettre à disposition des tiers les produits Sophos en combinaison avec ses produits dans le cadre d'une unité groupée (“ Accord OEM ”) ; (3) l'utilisateur final (“ Utilisateur Final ”), si l'Accord Principal est directement avec le client ;
“ Personne Concernée ” désigne l'individu auquel les Données Personnelles du Contrôleur se rapportent ;
“ Demandes des Personnes Concernées ” désigne toute demande des Personnes Concernées exerçant des droits en vertu des lois applicables sur la protection des données ;
“EEE” désigne l'Espace Économique Européen, y compris les États membres de l'Union Européenne ;
“ Client Final ” a le sens qui lui est donné dans l'Accord OEM ;
“ Clauses contractuelles types de l'UE ” désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement Européen et du Conseil approuvé par la décision d'exécution de la Commission Européenne (UE) 2021/914 du 4 juin 2021 ;
“ RGPD ” désigne le règlement général sur la protection des données (UE) 2016/679, tel que modifié de temps à autre ;
“ Données Personnelles ” désigne “données personnelles” ou “informations personnelles”, tels que ces termes sont définis en vertu des lois applicables sur la protection des données, et inclut toute information relative à une personne identifiée ou identifiable ou à un ménage ;
“ Violation de données personnelles ” désigne une violation de la sécurité (autre que causée par le Client ou ses utilisateurs) entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles du Contrôleur ;
“ Processeur ” désigne une personne ou une entité qui traite des Données Personnelles pour le compte et sous les instructions d'un contrôleur, y compris toute entité agissant en tant que “fournisseur de services” conformément à la CCPA ;
“ Transfert Restreint ” désigne un transfert de Données Personnelles vers un Pays Tiers où ce transfert serait interdit en vertu de la loi européenne sur la protection des données en l'absence de mécanismes de transfert appropriés, tels que des règles d'entreprise contraignantes ou des Clauses Contractuelles Types ;
“ Services ” désigne tout produit fourni et/ou service exécuté par Sophos conformément à l'Accord Principal ;
“ Sophos ” désigne l'entité Sophos identifiée comme la partie contractante de Sophos dans l'Accord Principal ;
“Clauses contractuelles types” ou “CCT” désigne : (i) lorsque le RGPD s'applique à un Transfert Restreint, les CCT de l'UE ; (ii) lorsque la loi sur la protection des données du Royaume-Uni s'applique à un Transfert Restreint, l'Addendum du Royaume-Uni ; et (iii) lorsque la LPD suisse s'applique à un Transfert Restreint, les CCT suisses ;
“ Sous-Processeur ” désigne toute entité désignée par Sophos pour effectuer des activités de traitement de données liées aux Données Personnelles du Contrôleur ;
« Autorité de Contrôle » désigne l'autorité réglementaire compétente en matière de lois applicables sur la protection des données, y compris, le cas échéant, une autorité de contrôle telle que définie dans le RGPD ;
« Swiss DPA » désigne la Loi fédérale suisse sur la protection des données du 25 septembre 2020, telle que modifiée de temps à autre ;
« Clauses types suisses » désigne les clauses types applicables en matière de protection des données pour le transfert de données personnelles vers des pays tiers, émises, approuvées ou reconnues par le Commissaire fédéral à la protection des données et à l'information suisse (« FDPIC ») ;
« Pays tiers » désigne un pays en dehors de l'EEE, du Royaume-Uni (« UK ») ou de la Suisse qui n'a pas été désigné par la Commission européenne ou un organisme ou une personne équivalente en Suisse ou au Royaume-Uni comme garantissant un niveau adéquat de protection conformément aux lois sur la protection des données de l'EEE, du Royaume-Uni ou de la Suisse (« Droit européen de la protection des données ») ;
« Addendum UK » désigne l'Addendum sur le transfert international de données aux clauses types de l'UE, émis par le Bureau du Commissaire à l'information du Royaume-Uni et présenté au Parlement conformément à l'article 119A de la Loi sur la protection des données de 2018 le 2 février 2022 ;
« Droit de la protection des données du Royaume-Uni » désigne la Loi sur la protection des données du Royaume-Uni de 2018 et le RGPD tel qu'il a été intégré dans le droit du Royaume-Uni en vertu de l'article 3 de la Loi de 2018 sur le retrait du Royaume-Uni de l'Union européenne, tous deux modifiés de temps à autre.
1.2. Dans cette DPA, les termes en minuscules « responsable », « sous-traitant », « personne concernée », « données personnelles » et « traitement » (et leurs dérivés) auront les significations données dans la loi applicable sur la protection des données.
1.3. Les termes en majuscules non autrement définis dans cette DPA auront la signification qui leur est attribuée dans l'Accord Principal.
2. CHAMP D’APPLICATION
2.1. Cette DPA s'applique lorsque Sophos traite les Données Personnelles du Contrôleur pour le compte du Client dans le cadre de la fourniture des Services. L'objet et la durée du traitement par Sophos des Données Personnelles du Contrôleur, la nature et le but du traitement, les types de Données Personnelles du Contrôleur à traiter, et les catégories de personnes concernées, seront tels que décrits dans : (a) cette DPA ; (b) l'Accord Principal ; (c) l'Annexe 1 (Détails du traitement des données) ; et (d) les instructions du Client émises conformément à l'article 4 ci-dessous.
2.2. Le Client est responsable de s'assurer que le Responsable (a) dispose d'une base légale pour le traitement des données personnelles du Responsable par Sophos pour le compte du Client, (b) a fourni tous les avis requis et obtenu tous les consentements nécessaires pour le traitement des données personnelles du Responsable par Sophos ; et (c) est par ailleurs conforme aux lois applicables sur la protection des données, et veillera à ce que ses instructions à Sophos pour le traitement des données personnelles du Responsable soient conformes à tous égards aux lois applicables sur la protection des données.
2.3. Les parties conviennent qu'en ce qui concerne les données personnelles du Responsable, Sophos est un sous-traitant, et le Client est soit (a) le Responsable lorsque le Client est un Utilisateur final, soit (b) un sous-traitant, pour le Bénéficiaire ou le Client final, lorsque le Client est un MSP ou un OEM, respectivement.
3. INSTRUCTIONS DU CLIENT
3.1. Le Client demande à Sophos de traiter les données personnelles du Responsable dans la mesure raisonnablement nécessaire pour fournir et exécuter les Services et comme autrement stipulé dans cette DPA et l'Accord principal (« Instructions du Client »). Sophos traitera les données personnelles du Responsable conformément aux Instructions du Client, sauf (a) accord contraire par écrit entre Sophos et le Client ; ou (b) si requis par toute loi à laquelle Sophos est soumis (dans ce cas, Sophos informera le Client de cette exigence légale avant tout traitement, sauf si cette loi interdit la fourniture de telles informations pour des raisons importantes d'intérêt public). Lorsque le Client agit en tant que Sous-traitant en ce qui concerne les données personnelles du Responsable, le Client veillera à ce que les Instructions du Client aient été autorisées par le Responsable concerné et ne soient pas en conflit avec d'autres instructions émises par ce Responsable.
3.2. Si Sophos prend connaissance que les Instructions du Client enfreignent les lois applicables sur la protection des données, il informera rapidement le Client de la même chose et suspendra le
3.3. Sans limiter ce qui précède, dans la mesure où la CCPA s'applique aux données personnelles du Responsable, Sophos convient en outre que :
- Sophos n'utilisera, ne divulguera ni ne traitera autrement les données personnelles du Responsable, sauf pour le but commercial spécifique d'exécuter les Services, conformément aux termes de cette DPA et de l'Accord principal, et comme autrement autorisé par les lois applicables ;
- Sophos peut engager des Sous-traitants pour traiter les données personnelles du Responsable, sous réserve des termes de l'article 7 et cet engagement ne sera pas considéré comme une vente de données personnelles du Responsable ;
- Sophos ne traitera pas les données personnelles du Responsable en dehors de la relation commerciale directe entre le Client et Sophos ou pour les propres fins commerciales de Sophos ;
- Sophos ne "partagera" ni ne "vendra" (tel que ces termes sont définis dans le CCPA) aucune donnée personnelle du Responsable ;
- Sophos respectera ses obligations en vertu du CCPA et fournira le même niveau de protection de la vie privée que celui requis par le CCPA ;
- Si Sophos estime qu'elle ne pourra pas respecter les termes du CCPA, Sophos informera rapidement le Client et accordera au Client le droit de prendre des mesures raisonnables et appropriées pour garantir que les données personnelles du Responsable sont traitées d'une manière conforme aux obligations du Responsable en vertu du CCPA ;
- Sophos ne conservera pas les données personnelles du Responsable à l'expiration ou à la résiliation de l'accord principal, sauf disposition contraire dans la section 4.6.
3.4. Sophos certifie qu'elle comprend et respectera les obligations énoncées dans la section 3.3.
4. OBLIGATIONS DE SOPHOS
4.1. Coopération. Compte tenu de la nature du traitement des données personnelles du contrôleur, Sophos fournira au client (ou, si le client est un MSP ou un OEM, au contrôleur) une assistance raisonnable si nécessaire pour : (i) répondre aux demandes des personnes concernées exerçant leurs droits en vertu des lois applicables sur la protection des données (y compris en informant le client lors de la réception de telles demandes, à condition qu'elle ne réponde pas elle-même à moins d'y avoir été autorisée par le client), (ii) réaliser des évaluations d'impact sur la protection des données ou d'autres évaluations requises par les lois applicables sur la protection des données ; et (iii) consulter et coopérer avec les autorités de contrôle comme requis par les lois applicables sur la protection des données. Sophos se réserve le droit de facturer cette assistance si le coût de l'assistance dépasse un montant nominal.
4.2. Demandes de tiers. Sauf interdiction légale, Sophos informera le client de toute demande de confidentialité, correspondance, enquête ou plainte qu'elle reçoit d'une autorité de contrôle, d'une autorité judiciaire ou d'une agence d'application de la loi en rapport avec le traitement des données personnelles du contrôleur (« Demande de tiers »), en fournissant tous les détails de celle-ci. Sophos ne répondra pas directement à la demande de tiers, sauf (1) sur instructions écrites du client ou (2) comme l'exigent les lois applicables.
4.3. Confidentialité. Tout le personnel de Sophos qui traite les données personnelles du contrôleur doit être correctement formé en ce qui concerne ses obligations en matière de protection des données, de sécurité et de confidentialité, et doit être soumis à des obligations écrites ou légales de confidentialité.
4.4. Sécurité. Sophos mettra en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque et pour protéger les données personnelles du contrôleur contre une violation des données personnelles. Ces mesures tiendront compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de l'étendue, du contexte et des objectifs du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques afin de garantir un niveau de sécurité approprié au risque. En particulier, les mesures prises par Sophos incluront celles décrites dans l'Annexe 2 de ce DPA.
4. 5. Violation de données personnelles. Dès la confirmation de la survenance de toute violation de données personnelles, Sophos informera le Client sans délai injustifié et fournira toutes les informations et la coopération en temps utile que le Client peut raisonnablement exiger afin que le Client (et, si le Client est un MSP ou un OEM, son Responsable) puisse remplir ses obligations de déclaration de violation de données en vertu de (et conformément aux délais requis par) la Loi Applicable sur la Protection des Données. Sophos prendra également des mesures et des actions raisonnablement nécessaires pour remédier ou atténuer les effets de la violation de données personnelles et tiendra le Client informé des développements en lien avec la violation de données personnelles.
4.6 Fin des Services. À la fin de la fourniture des Services ou sur demande écrite du Client, Sophos supprimera les Données Personnelles du Responsable dans un délai raisonnable suivant la fin des Services ou la demande, sauf si la loi applicable exige autrement, ou si cela est nécessaire pour se conformer à une exigence judiciaire ou de conformité. Si Sophos est tenu de conserver des Données Personnelles du Responsable, Sophos prendra des mesures pour garantir la confidentialité et la sécurité continues des Données Personnelles du Responsable tant qu'elles sont conservées.
5. DROITS D'AUDIT DU CLIENT
5.1. Le Client reconnaît que Sophos maintient la certification ISO 27001 et est régulièrement audité selon les normes SSAE 18 SOC 2 par des auditeurs tiers indépendants. Sur demande raisonnable, Sophos fournira une copie de son rapport d'audit SOC 2 au Client, ce rapport étant soumis aux dispositions de confidentialité de l'Accord Principal en tant qu'information confidentielle de Sophos. La certification ISO 27001 de Sophos est disponible publiquement via le Centre de Confiance Sophos à https://www.sophos.com/fr-fr/trust/business-certifications. Sophos répondra également aux questions d'audit écrites raisonnables soumises par le Client, à condition que le Client n'exerce pas ce droit plus d'une fois par an.
5.2. Si, selon l'avis raisonnable du Client, les documents fournis en vertu de la Section 5.1 sont insuffisants pour démontrer la conformité de Sophos avec ce DPA, alors le Client peut demander par écrit que Sophos mette à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité avec les obligations énoncées dans ce DPA et permettre et contribuer aux audits, y compris les inspections, par le Client ou l'auditeur tiers indépendant du Client, sous réserve des dispositions suivantes :
- avant de demander un examen ou un audit conformément à cette Section 5.2, le Client tiendra compte des certifications et audits tiers pertinents de Sophos décrits à la Section 5.1 ;
- Le Client donnera à Sophos un préavis écrit raisonnable, d'au moins 30 jours à l'avance, d'une demande de réalisation d'un audit ou d'une inspection en vertu de cette Section 5.2, en fournissant la portée proposée, la durée et la date de début de l'audit ;
- lorsqu'un auditeur tiers effectue l'audit, cet auditeur tiers doit être un professionnel ou une entreprise réputé(e) et bien établi(e), être soumis à des obligations de confidentialité appropriées, et ne pas être un concurrent de Sophos ;
- Le Client effectuera (et veillera à ce que ses auditeurs effectuent) un audit ou une inspection pendant les heures normales de travail de Sophos avec un minimum de perturbation des activités commerciales ;
- un audit ou une inspection sera effectué au maximum une fois par an, sauf si requis par une Autorité de Contrôle ou des Lois Applicables sur la Protection des Données ;
- Le Client (ou ses auditeurs, le cas échéant) n'aura pas accès aux autres clients de Sophos (et à leurs informations) ;
- sauf si l'audit ou l'inspection révèle un manquement de la part de Sophos à respecter ses obligations matérielles en vertu de ce DPA, Le Client remboursera à Sophos les coûts et dépenses raisonnables engagés par Sophos, y compris les frais pour le temps passé par Sophos, son personnel et ses conseillers professionnels ;
- Le Client fournira à Sophos une copie de tout rapport d'audit généré dans le cadre d'un audit effectué en vertu de cette Section 5.2, sauf interdiction par la loi applicable ;
- Les informations obtenues lors de l'audit ou de l'inspection doivent être considérées comme des informations confidentielles de Sophos.
6. SOUS-TRAITANTS
6.1. Sophos est généralement autorisé à utiliser les Sous-Traitants qui sont listés à https://www.sophos.com/fr-fr/legal/sub-processor (“Liste des Sous-Traitants”), ainsi que les Affiliés de Sophos. Sophos peut engager des Sous-Traitants supplémentaires (chacun étant un “Nouveau Sous-Traitant”) sous réserve des termes énoncés dans cette Section 6.
6.2. Sophos informera le Client de toute addition prévue de Nouveaux Sous-Traitants en publiant les détails de cette addition sur la Liste des Sous-Traitants, en envoyant un e-mail au Client ou en fournissant un avis dans le produit. Le Client reconnaît que l'une de ces méthodes de notification constitue un avis aux fins de cette section.
6.3. Si le Client ne s'oppose pas par écrit à la nomination par Sophos d'un Nouveau Sous-Traitant (pour des motifs raisonnables liés à la protection des Données Personnelles du Responsable) dans les 30 jours suivant cette notification, le Client sera réputé avoir consenti à ce Nouveau Sous-Traitant. Si le Client s'oppose, les parties s'efforceront raisonnablement de convenir d'arrangements alternatifs dans les trente (30) jours suivants. Si les parties ne parviennent pas à un accord dans le délai imparti, le Client peut choisir de résilier la partie des Services affectée par le Nouveau Sous-Traitant en fournissant un préavis écrit de trente (30) jours à Sophos et Sophos autorisera un remboursement ou un crédit au prorata de tous les frais prépayés pour la période restante après la résiliation.
6.4. Sophos imposera des exigences en matière de protection des données aux Sous-Traitants qui sont substantiellement équivalentes aux exigences prévues par ce DPA. Sophos restera pleinement responsable de l'exécution des obligations de chaque Sous-Traitant.
6.5. Lorsque l'engagement de Sous-Traitants nécessite un Transfert Restreint de Données Personnelles du Responsable, Sophos mettra en œuvre et maintiendra des mécanismes de transfert appropriés pour garantir la conformité avec les Lois Applicables sur la Protection des Données.
7. TRANSFERTS DE DONNÉES INTERNATIONAUX
7.1. Certains produits permettent au Client de choisir où héberger les Données Personnelles du Responsable pour ces produits, y compris dans des centres de données qui peuvent être situés en dehors de la juridiction d'où proviennent les données. Ces emplacements peuvent inclure (a) l'Espace économique européen, (b) le Royaume-Uni, (c) les États-Unis d'Amérique ; ou un autre emplacement qui peut être spécifié dans l'Accord principal (« Emplacement de stockage central »). Pour ces produits, la sélection est faite par le Client au moment de l'installation du produit, de la création du compte ou de la première utilisation du produit concerné. Une fois sélectionné par le Client, l'Emplacement de stockage central ne peut pas être modifié ultérieurement.
7.2. Le Client accepte par la présente que, indépendamment de l'Emplacement de stockage central sélectionné (le cas échéant), Sophos peut transférer des Données personnelles du Responsable à l'international, sous réserve du respect de la législation applicable en matière de protection des données et des dispositions de ce DPA. Lorsque le transfert est un Transfert restreint, Sophos mettra en œuvre et maintiendra des mécanismes de transfert appropriés, tels que les Clauses contractuelles types, pour garantir le respect des lois européennes sur la protection des données.
7.3. Dans la mesure où des Transferts restreints ont lieu du Client vers Sophos:
- Les Clauses contractuelles types sont expressément incorporées dans le présent DPA par référence et font partie de ce DPA ; et
- Aux fins des Clauses contractuelles types :
- En ce qui concerne les Données personnelles du Responsable, le Client est l'exportateur de données et Sophos est l'importateur de données et un Sous-traitant.
- Lorsque le Client est le Responsable, le Module 2 des Clauses contractuelles types s'applique, sous réserve des termes de l'Annexe 3. Lorsque le Client est un Sous-traitant agissant au nom du Responsable, le Module 3 des Clauses contractuelles types s'applique, sous réserve des termes de l'Annexe 3.
- La signature et la datation des parties de l'Accord principal sont considérées comme la signature et la datation des Clauses contractuelles types.
8. DURÉE
8.1. Ce DPA commence à la date de (a) l'exécution par les deux parties de l'Accord principal ou (b) la date à laquelle l'Accord principal entre en vigueur, si elle est ultérieure, et se poursuit jusqu'à la première des dates suivantes : (i) l'expiration du droit du Client d'utiliser et de recevoir les Services, comme indiqué dans l'Accord principal ou sur tout droit de licence associé ; et (ii) la résiliation de l'Accord principal.
9. AUTRES RÉGLEMENTATIONS
9.1. Toute modification de ce DPA n'est valable que si elle est faite par écrit et signée par ou au nom de chaque partie.
9.2. En aucun cas, la responsabilité de Sophos envers le Client découlant de, ou en relation avec, ce DPA ne dépassera les limitations de responsabilité de Sophos énoncées dans l'Accord principal. Les limitations de responsabilité de Sophos telles qu'énoncées dans l'Accord principal s'appliqueront de manière cumulative à la fois à l'Accord principal et à ce DPA, de sorte qu'un seul régime de limitation de responsabilité s'appliquera à la fois à l'Accord principal et à ce DPA.
9.3. Ce DPA (à l'exclusion des SCC) sera régi et interprété conformément aux lois de l'Angleterre et du Pays de Galles, sans tenir compte des principes de conflit de lois. Dans la mesure permise par la loi applicable, les tribunaux d'Angleterre auront compétence exclusive pour déterminer tout litige ou toute réclamation pouvant découler de, en vertu de, ou en relation avec ce DPA.
9.4. L'Accord Principal, ce DPA et les documents expressément mentionnés dans l'Accord Principal et ce DPA constitueront l'intégralité de l'accord entre les parties concernant les Données Personnelles collectées, traitées et utilisées par Sophos en lien avec l'Accord Principal, et remplaceront tous les accords, arrangements et ententes précédents entre les parties concernant ce sujet.
9.5. Dans la mesure de tout conflit entre les termes de ce DPA et les termes de tout SCC conclu par les parties, les termes des SCC applicables (y compris toutes les Annexes y afférents) prévaudront.
10. CHANGEMENTS DE LOI
10.1. Si une modification de ce DPA est requise en raison d'un changement dans les Lois Applicables sur la Protection des Données, alors chaque partie peut notifier par écrit à l'autre partie ce changement. Les parties discuteront et négocieront de bonne foi toute variation nécessaire à ce DPA pour traiter de tels changements. Les parties ne retiendront pas de manière déraisonnable leur consentement ou leur approbation pour modifier ce DPA conformément à cette Section 10 ou autrement.
LISTE DES ANNEXES
Annexe 1 : DÉTAILS DU TRAITEMENT
Annexe 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES
Annexe 3 : CONDITIONS SUPPLÉMENTAIRES POUR LES TRANSFERTS RESTRICTIFS
Pièce jointe (à l'Annexe 3) : Annexe aux SCC (Module 2/Module 3): Responsable du traitement - Sous-traitant / Sous-traitant - Sous-traitant
Annexe 1
DESCRIPTION DU TRAITEMENT
Cette Annexe 1 décrit le traitement que Sophos effectuera en tant que sous-traitant pour le compte du Client.
(a) Sujet du traitement
Sophos fournit des Services conçus pour détecter, prévenir et gérer, ou aider Sophos à détecter, prévenir et gérer les menaces de sécurité au sein ou contre des systèmes, réseaux, dispositifs, fichiers et autres données mises à disposition par le Client. Le contenu de toute information détenue dans ces systèmes, réseaux, dispositifs, fichiers et autres données est déterminé uniquement par le Client.
(b) Nature et objectif des opérations de traitement
- Fournir les Services en vertu et conformément à l'Accord.
- Les Données Personnelles du Responsable seront soumises aux activités de traitement de base suivantes :
Toute opération ou ensemble d'opérations qui est effectuée sur des Données Personnelles ou sur des ensembles de Données Personnelles dans le cadre de la fourniture des Services, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
(c) Durée des opérations de traitement :
Les Données Personnelles du Responsable seront traitées pour la durée de l'Accord Principal et conformément aux dispositions de ce DPA.
(d) Personnes concernées
Les Données Personnelles du Responsable concernent les catégories suivantes de personnes concernées :
- Personnel et utilisateurs finaux du Responsable
- Autres Personnes Concernées dont les Données Personnelles sont traitées pour le compte du Responsable en lien avec les Services
(e) Types de données personnelles
Les Données Personnelles du Responsable concernent les catégories suivantes de données :
- Noms d'utilisateur et autres identifiants
- Informations sur le réseau et l'activité réseau
- Autres informations qui peuvent être transmises ou traitées en lien avec les Services
(f) Catégories spéciales de données (le cas échéant)
Les Données Personnelles du Responsable concernent les catégories spéciales de données suivantes :
Le contenu de toute information détenue dans les systèmes, réseaux, dispositifs, fichiers et autres données de Sophos est déterminé uniquement par le Client. Sauf indication contraire, les Services de Sophos ne sont pas conçus pour traiter des catégories spéciales de données.
Annexe 2
MESURES TECHNIQUES ET ORGANISATIONNELLES
Cette vue d'ensemble de la sécurité de l'information s'applique aux contrôles d'entreprise de Sophos pour protéger les Données Personnelles du Responsable.
Pratiques et Politiques de Sécurité
Sophos s'engage à mettre en œuvre des mesures de protection physiques, techniques, administratives ou organisationnelles qui concernent la protection de ces Données Personnelles du Responsable contre la destruction, la perte, l'accès ou la modification accidentels ou illégaux des Données du Responsable en possession ou sous le contrôle de Sophos. Sophos maintiendra des politiques et des normes pour la protection des Données Personnelles du Responsable qui proviennent de cadres de référence standards de l'industrie et établissent des normes de sécurité et de confidentialité uniformes pour les opérations de Sophos.
Sécurité Organisationnelle
Il incombe aux individus au sein de l'organisation de se conformer à ces pratiques et normes. Pour faciliter l'adhésion de l'entreprise à ces pratiques et normes, la fonction de sécurité de l'information fournit :
- Stratégie et conformité avec les politiques/normes et réglementations, sensibilisation et éducation, évaluations et gestion des risques, gestion des exigences de sécurité contractuelles, consultation sur les applications et l'infrastructure, tests d'assurance et orientation de la sécurité de l'entreprise ;
- Tests de sécurité, conception et mise en œuvre de solutions de sécurité pour permettre l'adoption de contrôles de sécurité dans l'environnement ;
- Opérations de sécurité des solutions de sécurité mises en œuvre, de l'environnement et des actifs, et gestion des activités de réponse aux incidents ;
Sécurité du Personnel
Dans le cadre du processus d'embauche et sous réserve de la législation locale, les employés subissent un processus de vérification à l'embauche. La formation annuelle de conformité de Sophos comprend une exigence pour les employés de suivre un cours en ligne portant sur la sécurité de l'information et la protection des données. Le programme de sensibilisation à la sécurité peut également fournir des documents spécifiques à certaines fonctions professionnelles.
Sécurité Physique et Environnementale
Sophos prend des précautions pour s'assurer que tous les systèmes hébergeant des Données Personnelles du Responsable sont maintenus dans un environnement physiquement sécurisé afin de prévenir tout accès physique non autorisé, et que les restrictions d'accès aux lieux physiques contenant des Données Personnelles du Responsable, tels que les bâtiments, les installations informatiques et les lieux de stockage de dossiers, sont conçues et mises en œuvre pour permettre l'accès uniquement aux personnes autorisées, et pour détecter tout accès non autorisé qui pourrait se produire, y compris, sans limitation, les contrôles d'accès par badge, les restrictions d'accès aux zones sensibles, les alarmes des installations ainsi que l'enregistrement et les journaux des visiteurs.
Gestion des Communications et des Opérations
Sophos gère les changements apportés à son infrastructure, ses systèmes et ses applications par le biais d'un programme formel de gestion des changements conçu pour garantir l'intégrité et la sécurité des Données Personnelles du Responsable. Les contrôles incluent des tests, une analyse d'impact sur les affaires et l'approbation de la direction lorsque cela est approprié. Des procédures de réponse aux incidents existent pour les incidents de sécurité et de protection des données, qui peuvent inclure l'analyse des incidents, la mise en quarantaine, la réponse, la remédiation, la notification et le retour aux opérations normales.
Pour se protéger contre les attaques de cybersécurité, des contrôles supplémentaires peuvent être mis en œuvre en fonction des risques. Ces contrôles peuvent inclure, sans s'y limiter, des politiques et des normes de sécurité de l'information, un accès restreint, une authentification multifactorielle, des environnements de développement et de test désignés, la détection de logiciels malveillants ; l'analyse du trafic courriel et web ; la détection et la réponse gérées, l'enregistrement et l'alerte sur les événements clés, des procédures de traitement de l'information en fonction du type de données ainsi que l'analyse des vulnérabilités des systèmes et des applications.
Contrôles d'Accès
Sophos maintient des mesures et des procédures de sécurité appropriées pour garantir que l'accès à tous les systèmes hébergeant des Données Personnelles du Responsable soit protégé par l'utilisation de systèmes de contrôle d'accès qui identifient de manière unique chaque individu nécessitant un accès, accordent l'accès uniquement aux personnes autorisées et, sur la base du principe du moindre privilège, empêchent les personnes non autorisées d'accéder aux Données Personnelles du Responsable, limitent et contrôlent de manière appropriée l'étendue de l'accès accordé à toute personne autorisée, et enregistrent tous les événements d'accès pertinents.
Contrôles des Sous-traitants
Sophos sera responsable de s'assurer que ses sous-traitants qui traitent des Données Personnelles du Responsable maintiennent des programmes de sécurité des données qui sont au moins aussi stricts que ceux de Sophos en ce qui concerne le service applicable pour lequel ce sous-traitant a été engagé, et conformément aux normes et pratiques généralement acceptées dans l'industrie. Sophos maintiendra un programme de gestion des risques axé sur l'identification, l'évaluation et la validation des contrôles de sécurité d'un fournisseur.
Développement et Maintenance des Systèmes
Les vulnérabilités de tiers publiquement divulguées sont examinées pour leur applicabilité dans l'environnement de Sophos. En fonction des risques pour les affaires et les clients de Sophos, des délais prédéterminés pour la remédiation sont établis. De plus, des analyses de vulnérabilités et des évaluations sont effectuées sur les nouvelles applications et les applications clés ainsi que sur l'infrastructure en fonction des risques. Des revues de code et des scanners sont utilisés dans l'environnement de développement avant la production pour détecter de manière proactive les vulnérabilités de codage en fonction des risques. Ces processus permettent l'identification proactive des vulnérabilités ainsi que la conformité.
Conformité
Les départements de la sécurité de l'information, juridique, de la vie privée et de la conformité travaillent à identifier les lois et réglementations régionales applicables à Sophos. Ces exigences couvrent des domaines tels que la propriété intellectuelle de l'entreprise et de nos clients, les licences de logiciels, la protection des données personnelles des employés et des clients, la protection des données et les procédures de traitement des données, la transmission de données transfrontalière, les procédures financières et opérationnelles, les contrôles d'exportation réglementaires autour de la technologie, et les exigences en matière d'analyse judiciaire. Des mécanismes tels que le programme de sécurité de l'information, les audits/évaluations internes et externes, la consultation de conseils juridiques internes et externes, l'évaluation des contrôles internes, les tests de pénétration internes et les évaluations de vulnérabilité, la gestion des contrats, la sensibilisation à la sécurité, le conseil en sécurité, les examens d'exceptions de politique et la gestion des risques se combinent pour garantir la conformité à ces exigences.
Annexe 3
TERMES SUPPLÉMENTAIRES POUR LES TRANSFERTS RESTRICTIFS
Cette annexe 3 comprend des termes supplémentaires applicables aux transferts restrictifs, ainsi que les informations nécessaires pour compléter les Annexes I – III aux Clauses Contractuelles Types applicables.
1. Lorsque le Client est un Responsable de traitement concernant les Données Personnelles du Responsable, le Module 2 des Clauses Contractuelles Types s'appliquera, sous réserve des termes de cette annexe 3.
2. Lorsque le Client est un Sous-traitant agissant pour le compte d'un Responsable de traitement concernant les Données Personnelles du Responsable, le Module 3 des Clauses Contractuelles Types s'appliquera, sous réserve des termes de cette annexe 3.
3. Pour les besoins des CCS de l'UE :
3.1. Clause 7 : la clause d'amarrage optionnelle ne s'appliquera pas ;
3.2. Clause 9(a) : l'option 2 (Autorisation Générale) s'appliquera et l'importateur de données devra notifier l'exportateur de données par écrit au moins 30 jours avant tout changement prévu.
3.3. Clause 11 : la langue optionnelle ne s'appliquera pas.
3.4. Clause 17 : les Clauses Contractuelles Types de l'UE seront régies par les lois de la République d'Irlande;
3.5. Clause 18 : les litiges seront résolus devant les tribunaux de la République d'Irlande ;
3.6. L'Appendice aux CCT de l'UE devra être complété avec les informations de l'Annexe à cet Exhibit 3.
4. Pour les besoins de l'Addendum du Royaume-Uni, les dispositions suivantes s'appliqueront:
4.1. Les détails des Parties pertinents pour le Tableau 1 sont tels que décrits dans l'Annexe I de la pièce jointe à cette annexe 3;
4.2. Pour les besoins du Tableau 2, l'Addendum du Royaume-Uni sera ajouté aux Clauses Contractuelles Types de l'UE avec les mêmes options et délais mentionnés ci-dessus;
4.3. Les informations de l'Annexe figurant dans le Tableau 3 doivent être complétées avec les informations de l'Annexe I et de l'Annexe II de la pièce jointe à cet Exhibit 3.
5. Aux fins des CCT suisses, les CCT de l'UE s'appliqueront comme suit:
5.1. Toute référence dans les SCC de l'UE au RGPD sera interprétée comme une référence à la LPD suisse ;
5.2. Les références à "UE", "Union", "État membre" et "droit de l'État membre" seront interprétées comme des références à la Suisse et au droit suisse, selon le cas ;
5.3. Les références à "l'autorité de surveillance compétente" et "aux tribunaux compétents" seront interprétées comme des références au Préposé fédéral à la protection des données et aux tribunaux compétents en Suisse ;
5.4. Les annexes pertinentes des CCT suisses doivent être complétées avec les informations de la pièce jointe à cette Annexe 3.
Pièce jointe à l'Annexe 3
ANNEXE AUX SCCS
MODULE 2 ou MODULE 3 (le cas échéant)
ANNEXE I
A. LISTE DES PARTIES
1. Exportateur(s) de données :
| Nom : | Tel que fourni à Sophos dans le cadre de l'Accord Principal |
| Adresse : | Tel que fourni à Sophos dans le cadre de l'Accord Principal |
| Nom, poste et coordonnées de la personne de contact : | Tel que fourni à Sophos dans le cadre de l'Accord Principal |
| Activités pertinentes aux données transférées dans le cadre de ces SCC : | L'achat de Produits tel que défini dans l'Accord Principal |
| Rôle : | Contrôleur (lorsque le Client est l'Utilisateur Final) ou Processeur (lorsque le Client est un MSP ou un OEM) |
| Signature et Date de l'Exportateur de Données : | Date et signature comme indiqué dans l'Accord Principal |
2. Importateur(s) de Données :
| Nom : | Sophos |
| Adresse : | Le Pentagone, Abingdon Science Park, Abingdon, OX14 3YP, Royaume-Uni |
| Nom, poste et coordonnées de la personne de contact : | Conseiller en Protection de la Vie Privée à [email protected] |
| Activités pertinentes aux données transférées dans le cadre de ces SCC : | La fourniture de Produits comme indiqué dans l'Accord Principal |
| Rôle : | Processeur |
| Signature et Date de l'Importateur de Données : | Date et signature comme indiqué dans l'Accord Principal |
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données personnelles sont transférées :
- Comme indiqué dans l'Annexe 1.
Catégories de données personnelles transférées :
- Comme stipulé dans l'Annexe 1.
Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui prennent pleinement en compte la nature des données et les risques encourus, telles que, par exemple, une limitation stricte des finalités, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires :
- Comme indiqué dans l'Annexe 1. Si des données sensibles sont transférées, voir l'Annexe 2 pour les restrictions appliquées.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) :
- Continue.
Nature du traitement :
- Comme indiqué dans l'Annexe 1.
Objectif(s) du transfert de données et du traitement ultérieur :
- Comme indiqué dans l'Annexe 1.
La durée pendant laquelle les données personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée :
- Comme indiqué dans l'Annexe 1.
Pour les transferts vers des (sous-)traitants, spécifiez également l'objet, la nature et la durée du traitement :
- Comme indiqué dans l'Annexe 1.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
L'autorité de contrôle compétente est l'autorité de contrôle de l'État membre où l'exportateur de données est établi ou comme autrement déterminé conformément au RGPD.
ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES
- Comme indiqué dans l’Annexe 2 au DPA.
ANNEXE III – LISTE DES SOUS-TRAITANTS
Non applicable car les parties ont convenu d'une autorisation générale pour l'utilisation de sous-traitants.
Date de révision : 1 juillet 2026