Accord sur le traitement des données de Fortra ("DPA")

1. Champ d'application du présent DPA

  1. Le présent DPA est incorporé par référence dans le contrat-cadre de Fortra et les conditions des services professionnels ( & ) à l'adresse suivante : https://www.fortra.com/legal. ou tout autre accord de services exécuté applicable (chacun étant dénommé "accord de services"). Lors de la prestation des services, Fortra peut traiter des données à caractère personnel pour le compte du client et les parties acceptent de se conformer aux dispositions de la présente DPA.
  2. En cas de conflit entre le présent DPA et l'accord de services sous-jacent, le présent DPA prévaut. En cas de conflit entre les clauses contractuelles types et le présent DPA, les clauses contractuelles types prévalent. 

2. Définitions

Dans le présent DPA, les termes suivants ont la signification suivante :

  1. "Décision d'adéquation" : selon le cas, une décision de la Commission européenne, du gouvernement britannique et/ou du Conseil fédéral suisse indiquant qu'un pays tiers offre un niveau adéquat de protection des données.
  2. "CCPA" désigne le California Consumer Privacy Act de 2018, tel que modifié par le California Privacy Rights Act à compter du 1er janvier 2023, ainsi que tout amendement ou règlement d'application ultérieur.
  3. "Données personnelles du client" : toutes les données personnelles traitées par Fortra pour le compte du client conformément au contrat de services.
  4. "Contrôleur" : une entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel, y compris tout terme équivalent en vertu de la loi sur la protection des données.
  5. "Loi sur la protection des données" désigne, le cas échéant, toute loi et réglementation sur la protection de la vie privée et des données, y compris : (i) le GDPR et les lois des États membres mettant en œuvre le GDPR ; (ii) le GDPR et le Data Protection Act 2018 du Royaume-Uni ; (iii) la loi fédérale suisse sur la protection des données ("FADP") ; (iv) et le CCPA, chacun tel que modifié, mis à jour ou remplacé de temps à autre.
  6. La "personne concernée" est une personne identifiée ou identifiable.
  7. "GDPR" désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  8. "Données à caractère personnel" : toute information relative à une personne concernée, y compris tout terme équivalent en vertu de la loi sur la protection des données.
  9. On entend par "violation de données à caractère personnel" une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès à celles-ci.
  10. On entend par "traitement" toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
  11. Le terme "sous-traitant" désigne une entité qui traite des données à caractère personnel pour le compte d'un contrôleur, y compris tout terme équivalent en vertu de la loi sur la protection des données.
  12. "Clauses contractuelles types" désigne, selon le cas, (i) la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au GDPR ("CCS de l'UE") ; et (ii) l'addendum sur le transfert international de données aux CCS de l'UE publié par l'Information Commissioner's Office en vertu de S119A(1) du Data Protection Act 2018 ("addendum du Royaume-Uni").
  13. "Sous-traitant" : tout tiers désigné par Fortra pour traiter les données à caractère personnel du client pour le compte de ce dernier.
  14. "Autorité de surveillance" a la même signification ou une signification équivalente que celle donnée par la loi sur la protection des données.
  15. "GDPR UK" désigne le GDPR tel qu'incorporé dans le droit britannique par la loi sur la protection des données de 2018 et modifié par le règlement sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (sortie de l'UE) de 2019.
  16. Les termes en majuscules qui ne sont pas définis dans le présent DPA ont la signification qui leur est donnée dans le contrat de services. 

3. Champ d'application du traitement

  1. Les parties conviennent qu'en ce qui concerne le traitement des données à caractère personnel du client, le client est le contrôleur et Fortra le sous-traitant. Si le client est un sous-traitant des données à caractère personnel du client, Fortra est un sous-traitant secondaire des données à caractère personnel du client. Chaque scénario est régi par les dispositions du présent DPA. Si Fortra est considérée comme un sous-traitant ultérieur, le client sera désigné comme point de contact pour le(s) contrôleur(s) concerné(s) et la notification de Fortra au client sera considérée comme satisfaisant à ses exigences de notification en vertu de la loi sur la protection des données applicable en tant que notification au(x) contrôleur(s) concerné(s). Le client est responsable de la notification au nom de Fortra au(x) contrôleur(s) applicable(s). Dans la mesure où Fortra a fourni une notification au client et que le client ne fournit pas une notification suffisante au nom de Fortra au(x) contrôleur(s) applicable(s) et qu'une autorité de contrôle détermine que Fortra n'a pas satisfait à ses exigences de notification au(x) contrôleur(s), (x) cette non-satisfaction ne sera pas considérée comme une violation substantielle de ce DPA ou du contrat de services par Fortra et (y) le client défendra et indemnisera Fortra pour toute déficience liée à la fourniture de notifications en vertu de la loi sur la protection des données applicable au(x) contrôleur(s) par Fortra agissant en tant que sous-traitant ultérieur.
  2. Chaque partie se conforme à ses obligations respectives en vertu de la loi sur la protection des données.
  3. Fortra ne traite les données personnelles du client que sur instructions écrites du client, sauf si Fortra est légalement tenue de faire autrement. Dans ce dernier cas, Fortra informe le client de cette exigence légale avant le traitement, à moins que cette loi n'interdise cette information pour des raisons importantes d'intérêt public.
  4. Fortra ne doit pas : (a) collecter, conserver, utiliser ou divulguer les données personnelles du client à des fins autres que celles nécessaires à l'exécution des services pour le compte du client ; (b) collecter, conserver, utiliser ou divulguer les données personnelles du client à des fins commerciales autres que la fourniture des services pour le compte du client ; (c) collecter, conserver, utiliser ou divulguer les données personnelles du client en dehors de la relation commerciale directe de Fortra avec le client ; (d) combiner les données personnelles du client avec d'autres données personnelles qu'elle reçoit autrement que comme expressément autorisé par la loi sur la protection des données (sauf pour contribuer à l'amélioration de ses services) ; ou (e) "vendre" ou "partager" les données personnelles du client, comme défini dans la loi sur la protection des données. Toutefois, Fortra peut également collecter, conserver, utiliser, divulguer et combiner les données personnelles des clients sous forme anonyme ou, dans le cas d'informations spécifiques sur les menaces, sous forme non anonyme (tant que le client n'est pas identifié comme la source de ces données).
  5. Le traitement des données à caractère personnel du client par Fortra comprend l'objet, la nature, la finalité et la durée déterminés dans la section pertinente de l'annexe 1 du présent DPA. Le traitement porte sur les types de données à caractère personnel et les catégories de personnes concernées qui y sont identifiées.
  6. Fortra informe immédiatement le client si elle estime qu'une instruction enfreint la loi sur la protection des données. 

4. Besoins en personnel

  1. Fortra s'assure que les personnes autorisées à traiter les données personnelles du client se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité.

5. Sécurité du traitement

  1. Fortra met en œuvre les mesures techniques et organisationnelles appropriées, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, des circonstances et des finalités du traitement des données à caractère personnel du client, ainsi que de la probabilité et de la gravité du risque pour les droits et libertés des personnes concernées, afin d'assurer un niveau de sécurité des données adapté au risque que présentent les données à caractère personnel du client.
  2. Fortra se conforme aux mesures techniques et organisationnelles spécifiées à l'annexe 2 du présent DPA.  Fortra peut mettre à jour ces mesures de temps à autre, à condition que ces mises à jour ne diminuent pas le niveau de sécurité prévu à l'annexe 2 du présent DPA. 

6. Engagement des sous-traitants

  1. Le client autorise par la présente Fortra à engager des sous-traitants de manière générale pour traiter les données personnelles du client. Sur demande écrite du client, Fortra fournira une liste complète des sous-traitants qu'elle engage.
  2. Le client notifie toute objection de la part des sous-traitants dans les 10 jours suivant la réception de la liste. Si l'objection n'a pas été résolue à la satisfaction mutuelle des parties dans les 30 jours suivant la réception de l'objection de l'abonné, l'une ou l'autre des parties peut résilier la convention de services (en tout ou en partie, uniquement dans la mesure nécessaire pour mettre fin à l'accès aux services affectés par l'ajout du sous-traitant proposé), ce qui constituera le seul et unique recours de l'abonné.
  3. Fortra s'engage contractuellement à respecter la législation applicable en matière de protection des données.
  4. Fortra reste entièrement responsable vis-à-vis du client de l'exécution des obligations de chaque sous-traitant ultérieur en ce qui concerne les services. 

7. Obligations de soutien

  1. Compte tenu de la nature du traitement, Fortra aide le client, dans la mesure du possible, à prendre les mesures techniques et organisationnelles nécessaires pour s'acquitter de ses obligations de répondre aux demandes d'exercice des droits des personnes concernées par les données à caractère personnel du client. Fortra ne peut répondre à ces demandes directement auprès de la personne concernée qu'avec l'autorisation écrite préalable du client. Si une personne concernée contacte directement Fortra pour exercer ses droits, Fortra transmet immédiatement cette demande au client.
  2. Fortra notifie au client, dans les meilleurs délais, toute violation effective de données à caractère personnel impliquant les données à caractère personnel du client. La notification contient une description du :
    1. la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    2. le nom et les coordonnées du point de contact de Fortra où il est possible d'obtenir de plus amples informations ;
    3. les conséquences probables de la violation de données à caractère personnel ; et
    4. les mesures prises ou proposées par Fortra pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs.
  • S'il n'est pas possible de fournir ces informations en même temps, Fortra peut les fournir par étapes, sans retard excessif.
  1. Dans la mesure où la loi sur la protection des données l'exige, compte tenu de la nature du traitement et des informations dont dispose Fortra, Fortra aide raisonnablement le client à assurer le respect de la sécurité du traitement, des notifications de violation, des évaluations de l'impact sur la protection des données et des consultations préalables avec les autorités de contrôle, aux frais du client.

8. Suppression et restitution des données personnelles des clients

  1. La présente DPA restera en vigueur aussi longtemps que Fortra traitera les données personnelles du client pour le compte de ce dernier. Sur demande écrite, Fortra supprimera ou retournera les données personnelles du client au plus tard 90 jours après la date de cessation de tout service impliquant le traitement des données personnelles du client. Si Fortra est tenu par la loi de conserver les données personnelles du client, Fortra informera le client de cette obligation.

9. Audit

  1. Aux frais du client, Fortra met à sa disposition toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA et, dans la mesure où la loi sur la protection des données l'exige, autorise les audits effectués par le client ou par un autre auditeur mandaté par le client, et y contribue. Le client ne peut exercer son droit d'audit qu'une fois par année civile et n'aura pas accès aux locaux ou aux systèmes. Fortra et le client discuteront et conviendront par écrit de la date raisonnable de début, de la portée et de la durée de l'audit, ainsi que des contrôles de sécurité et de confidentialité applicables à cet audit, et le client prendra toutes les mesures nécessaires pour minimiser la perturbation des activités de Fortra. Le client ou l'auditeur concerné n'a pas le droit d'accéder à d'autres données personnelles des clients de Fortra ou à un système qui n'est pas impliqué dans le traitement des données personnelles du client. Toute information obtenue dans le cadre d'un audit est considérée comme une information confidentielle de Fortra.  

10. Transferts internationaux

  1. Fortra s'assurera, le cas échéant, que tout transfert de données personnelles du client, soumis au GDPR, au GDPR britannique et/ou au FADP, en dehors de l'EEE, du Royaume-Uni et/ou de la Suisse vers un pays tiers sans décision d'adéquation, est conforme à la loi sur la protection des données.
  2. Si le client transfère à Fortra, dans un pays tiers, des données à caractère personnel le concernant qui sont soumises au GDPR, au GDPR britannique et/ou au FADP en dehors de l'EEE, du Royaume-Uni et/ou de la Suisse, selon le cas, sans décision d'adéquation, les parties conviennent de se conformer au module 2 et/ou 3 des Clauses contractuelles types, selon le cas, qui sont incorporées dans le présent DPA par référence, comme si elles avaient été énoncées dans leur intégralité, et qui sont reprises dans la présente clause 10. Les parties conviennent qu'aux fins des clauses contractuelles types, le client est l'exportateur de données et Fortra l'importateur de données.
  3. Les parties conviennent que l'exécution ou l'acceptation du contrat de services constitue l'exécution des clauses contractuelles types dans la mesure requise par la loi sur la protection des données.
  4. Les Parties conviennent de compléter les CCAP de l'UE comme suit en ce qui concerne les Données à caractère personnel du Client soumises au GDPR : (i) toute clause optionnelle est exclue ; (ii) les coordonnées des parties sont celles indiquées dans le contrat de services et le présent DPA ; (iii) la description du transfert est celle indiquée dans la section correspondante de l'annexe 1 du présent DPA ; (iv) l'autorité de contrôle compétente est déterminée conformément à la clause 13 des CCAP de l'UE ; (v) les mesures de sécurité techniques et organisationnelles de l'importateur de données sont conformes à la clause 5 du présent DPA ; (vi) les mesures de sécurité techniques et organisationnelles de l'importateur de données sont conformes à la clause 6 du présent DPA (v) les mesures de sécurité techniques et organisationnelles de l'importateur de données sont conformes à la clause 5 du présent DPA ; et (vi) l'importateur de données dispose d'une autorisation générale écrite pour nommer des sous-traitants secondaires conformément à la clause 6 du présent DPA.
  5. Les parties conviennent de compléter l'addendum britannique en ce qui concerne les données à caractère personnel du client soumises au GDPR britannique : (i) la version des CCAP de l'UE à laquelle l'addendum britannique est annexé est la version définie dans le présent DPA et alimentée à la clause 10.4 ; (ii) la date de début est la date de l'accord de services ; (iii) les détails des parties et les détails de l'annexe sont conformes à la clause 10.4 ; (iv) l'autorité de contrôle compétente est le commissaire à l'information ; et (v) l'importateur de données a le droit de mettre fin à l'addendum britannique.
  6. Les Parties conviennent de se conformer aux CSC de l'UE telles que décrites dans la clause 10.4 du présent DPA en ce qui concerne les Données à caractère personnel du Client soumises au FADP, et telles qu'amendées comme suit : (i) l'autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence ; (ii) le terme "État membre" ne sera pas interprété comme excluant les personnes concernées en Suisse de l'ouverture d'une procédure judiciaire en Suisse ; et (iii) les références au "GDPR" seront comprises comme des références au FADP.
  7. Les garanties supplémentaires suivantes sont destinées à soutenir davantage l'utilisation des clauses contractuelles types par les parties : (a) Fortra déclare qu'elle n'a pas reçu, à la date d'entrée en vigueur du présent DPA, de demande au titre de la section 702 du U.S. Foreign Intelligence Surveillance Act pour des données à caractère personnel concernant des résidents de l'EEE, du Royaume-Uni, de la Suisse ou de tout autre pays ; (b) Fortra informera le client si elle n'est pas en mesure de respecter les clauses contractuelles types ; (c) Fortra s'engage à respecter les clauses contractuelles types. a) Fortra déclare qu'elle n'a pas reçu, à la date d'entrée en vigueur du présent DPA, de demande au titre de la section 702 de la loi américaine sur la surveillance des renseignements étrangers (Foreign Intelligence Surveillance Act) concernant les données à caractère personnel de résidents de l'EEE, du Royaume-Uni, de la Suisse ou de tout autre pays ; et (c) si Fortra reçoit une demande de données personnelles du client de la part d'un tiers, y compris d'un gouvernement ou d'une autorité chargée de l'application de la loi ou en vertu de la section 702 de la loi sur la surveillance des renseignements étrangers, Fortra fera des efforts commercialement raisonnables pour faire valoir les moyens de défense disponibles contre la divulgation et réduira la portée de toute divulgation légalement requise à ce qui est strictement nécessaire pour satisfaire à l'obligation de divulgation.

11. Limitation de la responsabilité

Le présent DPA est soumis aux termes et conditions de l'accord de services et les limitations de responsabilité énoncées dans l'accord de services s'appliquent au présent DPA, y compris, sans limitation, à toute violation du présent DPA par l'une ou l'autre des parties. Pour éviter toute ambiguïté, ces limitations de responsabilité sont des limites globales et toutes les réclamations au titre du présent DPA doivent être regroupées avec toutes les réclamations au titre de l'accord de services. 

Annexe 1

Instruction sur le traitement des données

Nature du traitementLa nature du traitement implique, sans s'y limiter, la collecte, l'utilisation, le stockage et le transfert des données à caractère personnel des clients.
Finalités du traitementAux fins de la fourniture des services conformément à l'accord sur les services.
Types de données à caractère personnel, y compris les données à caractère personnel de catégorie spéciale

L'exportateur de données peut soumettre des données de clients, dont l'étendue est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories suivantes de données de clients : 

Comme indiqué dans l'accord de services.

Catégories de personnes concernées

L'exportateur de données peut soumettre à la (aux) solution(s) des données du client, dont l'étendue est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, des données du client relatives aux catégories suivantes de personnes concernées : 

Comme indiqué dans l'accord de services.

Fréquence et durée du traitementDe manière continue pendant toute la durée de l'accord de services.

Annexe 2

Annexe 2

Mesures techniques et organisationnelles

Les mesures suivantes peuvent être applicables en fonction du service fourni :

  1. Contrôle de l'organisation
    • Politiques et procédures internes de traitement des données, lignes directrices, instructions de travail, descriptions de processus et réglementations pour la programmation, les tests et la diffusion des données.
    • Formation régulière des employés en matière de protection des données
    • Désignation d'un délégué à la protection des données
    • Principe des quatre yeux
  2. Contrôle de l'accès des personnes
    • Établir les autorisations d'accès pour les employés et les tiers, y compris les documentations correspondantes.
    • Cartes d'identité, cartes de codage ou cartes biométriques
    • Serrures de sécurité ou serrures électroniques
    • Restrictions sur les clés / codes de clés
    • Système d'alarme de sécurité
    • Mesures constructives (clôtures, portes et fenêtres verrouillées)
    • Zones de sécurité spécifiques avec contrôle d'accès propre ("closed shops")
  3. Contrôle d'accès aux données
    • Système d'autorisation d'accès avec des niveaux d'autorisation spécifiques pour les employés et les tiers
    • Pseudonymisation et cryptage des données
    • Utilisation fonctionnelle et/ou limitée dans le temps des terminaux et/ou des utilisateurs de terminaux et caractéristiques d'identification
    • Lignes directrices pour la création de mots de passe sécurisés
    • Verrouillage automatique de l'écran après un certain temps
    • Enregistrement des événements (surveillance des tentatives d'effraction)
    • Enregistrement et analyse de l'utilisation des fichiers
    • Protection des réseaux internes contre les accès non autorisés (par exemple, au moyen de pare-feu)
  4. Contrôle de la transmission
    • Authentification du personnel autorisé tant pour la diffusion que pour la réception des données
    • Enregistrement des mises en circulation et analyse des journaux
    • Cryptage des données lors de la transmission ou du transport
    • Signature électronique
    • Contrôle de l'exhaustivité et de l'exactitude
    • Mise en place d'un concept de télémaintenance
  5. Contrôle des entrées
    • Enregistrement et analyse du traitement des données
    • Signature électronique
  6. Contrôle de la disponibilité
    • Réalisation d'une analyse des risques et des points faibles
    • Séparation des fonctions entre le département informatique et les autres départements
    • Maintenir tous les logiciels utilisés à jour (par exemple par des mises à jour, des correctifs, des corrections, etc.)
    • Existence d'un plan d'urgence (plan de secours)
    • Générer des copies de sauvegarde à intervalles réguliers et les stocker séparément et en toute sécurité.
    • Installation du serveur dans une salle de serveurs ou un centre de données sécurisé séparément.
    • Mesures de protection contre l'incendie
    • Générateur d'électricité de secours
    • Mise en miroir des données
  7. Contrôle de la séparation
    • Stockage des données dans des collecteurs de données séparés (séparation physique)
    • Politique d'autorisation (séparation logique)
    • Capacité multi-clients
    • Séparation des données de test et des données de production