Accord relatif au traitement des données pour le compte d'un tiers (AVV)

Conformément à l'article 28, paragraphe 3, du règlement général sur la protection des données (RGPD)

 

1. Objet et durée du traitement

1.1 Le présent accord porte sur les droits et obligations des parties dans le cadre de la prestation de services conformément aux conditions générales (ci-après dénommées « contrat principal ») et, en particulier, sur l'utilisation du logiciel propform.io pour la création de formulaires web personnalisés, dans la mesure où un traitement de données à caractère personnel est effectué par maklerform UG (à responsabilité limitée) (ci-après dénommée « le Prestataire ») en tant que sous-traitant pour le client en tant que responsable du traitement (ci-après dénommé « le Client ») conformément à l’article 28 du RGPD. Cela comprend toutes les activités que le Prestataire effectue pour l’exécution de la commande et qui constituent un traitement de données pour le compte d’un tiers. Cela s’applique également si la commande ne fait pas expressément référence au présent accord de sous-traitance. Les prestations fournies par le donneur d'ordre découlent des CGV et des formules et tarifs qui y sont décrits. La formule de prestations souscrite par le donneur d'ordre (par exemple Basic, Premium, Enterprise) fait partie intégrante du présent contrat.

1.2 Le présent contrat est conclu pour une durée indéterminée et est lié au contrat principal dans le cadre duquel le prestataire traite, pour le compte du donneur d'ordre, les données à caractère personnel de ce dernier. Tant que celui-ci est en vigueur, les dispositions du présent contrat s'appliquent jusqu'à l'expiration normale du ou des contrats principaux.

1.3 Le donneur d'ordre peut résilier le présent contrat sans préavis en cas de violation grave par le prestataire des règles de protection des données ou des dispositions du présent contrat. En particulier, le non-respect des obligations convenues dans le présent contrat et découlant de l'article 28 du RGPD constitue une violation grave.

 

2. Nature et finalité du traitement

2.1 La nature du traitement englobe tous les types de traitements au sens du RGPD nécessaires à l'exécution de la commande. Dans le cadre de la commande, le prestataire traite diverses données pour le compte du donneur d'ordre. Ces données sont temporairement stockées chez le prestataire en vue d'un traitement ultérieur par le donneur d'ordre. Les données sont stockées au sein du logiciel propform.io et transférées vers le logiciel CRM du donneur d'ordre via une API.

2.2 Le logiciel offre au donneur d'ordre un système modulaire pour les formulaires web. Après la publication d'un formulaire web par le donneur d'ordre, celui-ci peut collecter diverses données à l'aide de ce formulaire. Le donneur d'ordre peut déterminer, lors de la création du formulaire web, quelles données doivent être collectées.

2.3 Les finalités du traitement sont toutes celles nécessaires à la fourniture de la prestation convenue contractuellement.

 

3. Nature des données à caractère personnel

3.1 La nature des données que le prestataire traite pour le compte du client ne peut être définie de manière exhaustive, car elle dépend des formulaires web et des questions figurant dans le formulaire web du client.

3.2 En règle générale, les données suivantes sont générées par le logiciel du prestataire :

• Coordonnées professionnelles et données organisationnelles (professionnelles) : par exemple, nom, prénom, adresse, adresse e-mail, numéro de téléphone, numéro de téléphone portable, taille de l'entreprise, titre, fonction, etc.

• Données de contact et d'identification privées : par exemple, nom, prénom, sexe, adresse, adresse e-mail, numéro de téléphone, numéro de téléphone portable, date et lieu de naissance, titre, etc.

• Données immobilières : par exemple, adresse, coordonnées, année de construction, surface habitable, superficie du terrain, prix de vente, équipement, etc.

 

4. Cercle des personnes concernées

4.1 Le cercle des personnes concernées dont le prestataire traite les données au nom du donneur d'ordre ne peut être défini de manière exhaustive, car il dépend des formulaires web et de la mise en ligne de ces formulaires par le donneur d'ordre.

4.2 En règle générale, les groupes de personnes suivants sont considérés comme des groupes de personnes concernées :

• Collaborateurs du donneur d'ordre/du responsable du traitement : les propres collaborateurs du donneur d'ordre/du responsable du traitement (par exemple, salariés, apprentis, candidats, anciens employés).

• Clients et fournisseurs du donneur d'ordre/du responsable : personnes entretenant une relation commerciale avec le donneur d'ordre (par exemple, clients, fournisseurs)

• Tiers : toute personne n'entretenant aucune relation commerciale avec la société concernée (responsable du traitement) (par exemple, visiteurs, invités, personnes intéressées)

 

5. Mesures techniques et organisationnelles

5.1 Le prestataire s'engage envers le donneur d'ordre à respecter les mesures techniques et organisationnelles nécessaires au respect des dispositions applicables en matière de protection des données. Cela inclut notamment les dispositions de l'article 32 du RGPD.

5.2 L'état des mesures techniques et organisationnelles en vigueur au moment de la conclusion du contrat est joint en annexe 1 au présent contrat. 

5.3 Le prestataire doit garantir la sécurité conformément à l’article 28, paragraphe 3, point c), et à l’article 32 du RGPD, notamment en liaison avec l’article 5, paragraphes 1 et 2, du RGPD. Dans l'ensemble, les mesures à prendre sont des mesures de sécurité des données visant à garantir un niveau de protection adapté au risque en matière de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes. À cet égard, il convient de prendre en compte l'état de la technique, les coûts de mise en œuvre, ainsi que la nature, l'étendue et les finalités du traitement, de même que la probabilité et la gravité variables du risque pour les droits et libertés des personnes physiques au sens de l'article 32, paragraphe 1, du RGPD (détails à l'annexe 1). 

5.4 Les mesures techniques et organisationnelles sont soumises au progrès technique et à l'évolution. À cet égard, le prestataire est autorisé à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité des mesures définies ne doit toutefois pas être inférieur. Les modifications importantes doivent être documentées.

 

6. Responsabilité

6.1 Dans le cadre du présent contrat, le donneur d'ordre est seul responsable du respect des dispositions légales des lois sur la protection des données, en particulier de la licéité de la transmission des données au prestataire ainsi que de la licéité du traitement des données (« responsable du traitement » au sens de l'article 4, point 7, du RGPD). Cela s'applique également aux finalités et aux moyens du traitement régis par le présent accord. 

6.2 Le traitement des données convenu contractuellement a lieu exclusivement dans un État membre de l’Union européenne ou dans un autre État partie à l’accord sur l’Espace économique européen, sauf si le transfert de données vers des pays tiers s’avère nécessaire pour la fourniture de la prestation. Tout transfert vers un pays tiers nécessite l'accord préalable du donneur d'ordre et ne peut avoir lieu que si les conditions particulières prévues aux articles 44 et suivants du RGPD sont remplies.

 

7. Traitement sur la base d'instructions documentées

7.1 Les instructions sont initialement définies par le contrat principal et peuvent ensuite être modifiées par le donneur d'ordre sous forme écrite ou électronique (forme textuelle) au moyen d'instructions individuelles (instruction individuelle). Les instructions verbales doivent être confirmées sans délai par écrit ou sous forme textuelle. Les instructions doivent être documentées tant par le donneur d'ordre que par le prestataire. En cas de propositions de modification, le prestataire informe le donneur d'ordre des conséquences qui en découlent pour les prestations convenues, notamment en ce qui concerne la possibilité de fournir les prestations, les délais et la rémunération. 

7.2 Si la mise en œuvre de l'instruction n'est pas raisonnablement exigible du prestataire, celui-ci est en droit de mettre fin au traitement. Il y a notamment caractère déraisonnable lorsque les prestations sont fournies dans une infrastructure utilisée par plusieurs donneurs d'ordre / clients du prestataire et qu'une modification du traitement n'est pas possible ou n'est pas raisonnablement exigible pour certains donneurs d'ordre.

 

8. Obligations générales du prestataire

8.1 Si le prestataire est tenu, en vertu de l'article 37 du RGPD, de désigner un délégué à la protection des données, celui-ci doit exercer ses fonctions conformément aux articles 38 et 39 du RGPD. Conformément aux dispositions légales, le prestataire n'est pas tenu de désigner un délégué à la protection des données, car il emploie moins de 20 personnes chargées du traitement permanent de données à caractère personnel. Aucune désignation n'est donc effectuée à l'heure actuelle. Si cette obligation venait à s'appliquer à l'avenir, le prestataire en informera immédiatement le donneur d'ordre.

 

8.2 Le prestataire traite les données à caractère personnel exclusivement dans le cadre des accords conclus et/ou dans le respect des instructions complémentaires éventuellement données par le donneur d'ordre. Font exception à cette règle les dispositions légales qui obligeraient le prestataire à procéder à un traitement différent. Dans un tel cas, le prestataire informe le donneur d'ordre de ces exigences légales avant le traitement, à moins que la législation concernée n'interdise une telle notification pour des raisons d'intérêt public majeur. La finalité, la nature et l'étendue du traitement des données sont par ailleurs exclusivement régies par le présent contrat et/ou les instructions du donneur d'ordre. Tout traitement des données s'écartant de ces dispositions est interdit au prestataire, sauf si le client y a consenti par écrit.

8.3 Le prestataire garantit, dans le cadre du traitement des données à caractère personnel conformément à la commande, l'exécution contractuelle de toutes les mesures convenues. 

8.4 Le prestataire est tenu d'organiser son entreprise et ses processus opérationnels de manière à ce que les données qu'il traite pour le compte du donneur d'ordre soient sécurisées dans la mesure nécessaire et protégées contre toute consultation non autorisée par des tiers. 

8.5 Le prestataire informera immédiatement le donneur d'ordre si, selon lui, une instruction donnée par ce dernier enfreint les dispositions légales. Le prestataire est en droit de suspendre l'exécution de l'instruction en question jusqu'à ce que celle-ci soit confirmée ou modifiée par le donneur d'ordre. Si le prestataire peut démontrer qu'un traitement effectué conformément à l'instruction du donneur d'ordre est susceptible d'engager la responsabilité du prestataire au titre de l'article 82 du RGPD, le prestataire est libre de suspendre la poursuite du traitement jusqu'à ce que la question de la responsabilité soit clarifiée entre les parties.

 

9. Obligations d'assistance du sous-traitant

9.1 Compte tenu de la nature du traitement, le prestataire prend les mesures techniques et organisationnelles appropriées (annexe 1) afin d’assister le donneur d’ordre dans son obligation de répondre aux demandes des personnes concernées conformément aux articles 12 à 22 du RGPD. 

9.2 Compte tenu de la nature du traitement et des informations dont il dispose, le sous-traitant assiste le responsable du traitement dans le respect de ses obligations au titre des articles 32 à 36 du RGPD. Il s'agit notamment de la sécurité du traitement, des notifications de violations à l'autorité de contrôle, de l'information des personnes concernées en cas de violation, de l'analyse d'impact relative à la protection des données et de la consultation de l'autorité de contrôle compétente. Le prestataire est en droit d'exiger du donneur d'ordre une rémunération appropriée pour ces prestations, dans la mesure où cette assistance n'est pas rendue nécessaire par une violation de la loi ou du contrat de la part du prestataire. Le prestataire communiquera au préalable au donneur d'ordre une estimation des coûts.

9.3 Si une personne concernée s'adresse au prestataire avec des demandes de rectification, d'effacement ou d'accès, le prestataire renverra la personne concernée vers le donneur d'ordre, dans la mesure où une attribution au donneur d'ordre est possible selon les indications de la personne concernée. Le prestataire transmet sans délai la demande de la personne concernée au donneur d'ordre. Le prestataire assiste le donneur d'ordre dans la mesure de ses possibilités. Le prestataire n'est pas responsable si le donneur d'ordre ne répond pas, ne répond pas correctement ou ne répond pas dans les délais à la demande de la personne concernée.

 

10. Droits de contrôle du donneur d'ordre

10.1 Le donneur d'ordre a le droit, en concertation avec le prestataire, de procéder à des contrôles ou de les faire effectuer par des contrôleurs à désigner au cas par cas. Il a le droit de s'assurer, par des contrôles par sondage qui doivent en règle générale être annoncés en temps utile, du respect du présent accord par le prestataire dans le cadre de ses activités commerciales.

10.2 Le prestataire met à la disposition du donneur d'ordre, à la demande de ce dernier, toutes les informations nécessaires pour prouver le respect des obligations prévues dans le présent contrat et à l'article 28 du RGPD. En particulier, le prestataire fournit au donneur d'ordre des informations sur les données enregistrées et les programmes de traitement des données.

10.3 Le prestataire doit fournir au donneur d'ordre, sur demande, la preuve appropriée du respect des obligations prévues à l'article 28, paragraphes 1 et 4, du RGPD. Cette preuve peut être apportée par la mise à disposition de documents et de certificats attestant de codes de conduite approuvés au sens de l'article 40 du RGPD ou de procédures de certification approuvées au sens de l'article 42 du RGPD.

 

11. Confidentialité

11.1 Le prestataire confirme qu’il a pris connaissance des dispositions du RGPD relatives à la protection des données applicables au traitement des données pour le compte du client. Il garantit la confidentialité des données ainsi que le secret des données lors du traitement des données à caractère personnel du client. Cette obligation subsiste même après la fin de la présente relation contractuelle.

11.2 Le prestataire s'engage à familiariser les collaborateurs affectés à l'exécution des travaux avec les dispositions en matière de protection des données qui leur sont applicables. Il oblige ces collaborateurs, par accord écrit, à respecter la confidentialité pendant la durée de leur activité et même après la fin de la relation de travail, dans la mesure où ils ne sont pas soumis à une obligation légale de confidentialité appropriée. Le prestataire veille au respect des dispositions relatives à la protection des données au sein de son entreprise.

11.3 Le prestataire ne peut communiquer des informations à des tiers qu'après avoir obtenu l'accord écrit préalable du donneur d'ordre, ou un accord sous forme électronique.

 

12. Obligations d'information du prestataire et violation de la protection des données à caractère personnel

12.1 Le prestataire informe immédiatement le donneur d'ordre de toute violation ou suspicion de violation du présent contrat ou des dispositions relatives à la protection des données à caractère personnel.

12.2 Le prestataire assiste le donneur d'ordre dans l'enquête, la limitation des dommages et la résolution des violations.

12.3 Si les données à caractère personnel traitées dans le cadre du présent contrat sont menacées chez le prestataire par une saisie ou une confiscation, par une procédure d'insolvabilité ou de concordat, ou par d'autres événements ou mesures de tiers, le prestataire doit en informer immédiatement le donneur d'ordre. Le prestataire informera également sans délai toutes les instances concernées que le contrôle des données appartient au donneur d'ordre.

12.4 Dans la mesure où des contrôles sont effectués par les autorités de contrôle de la protection des données, le prestataire s'engage à communiquer le résultat au donneur d'ordre, dans la mesure où cela concerne le traitement des données à caractère personnel dans le cadre du présent contrat. Le prestataire remédiera sans délai aux lacunes constatées dans le rapport de contrôle et en informera le donneur d'ordre.

12.5 Le présent paragraphe 10 s'applique mutatis mutandis aux incidents survenant dans le cadre de processus exécutés par des sous-traitants.

 

13. Sous-traitants

13.1 Des sous-traitants sont engagés pour exécuter la commande du donneur d'ordre. Tous les sous-traitants sont énumérés ci-dessous.

• IONOS SE, Elgendorfer Str. 57, 56410 Montabaur : hébergement du domaine et du serveur (emplacement du serveur : Allemagne)

13.2 Le prestataire peut faire appel à d'autres sous-traitants si leurs services l'aident à exécuter la commande. Il informe le client par écrit de toute modification envisagée concernant le recours à d'autres sous-traitants ou leur remplacement, ce qui donne au client la possibilité de s'opposer à ces modifications dans un délai de deux semaines. Si le donneur d'ordre s'oppose aux modifications, les deux parties disposent d'un droit de résiliation extraordinaire du contrat général à compter du jour de l'opposition. Les modalités de la résiliation extraordinaire sont régies par les conditions générales du prestataire. À cette fin, le prestataire transmettra au donneur d'ordre, par écrit, les informations suivantes : description de la modification prévue, nom et adresse du sous-traitant ; nature des prestations que le sous-traitant doit fournir, type de données à caractère personnel et catégorie de personnes concernées.

13.3 Le prestataire doit garantir contractuellement que les dispositions convenues dans le présent contrat s'appliquent également aux sous-traitants. Le contrat du prestataire avec le sous-traitant doit être conclu par écrit ou sous forme électronique.

13.4 Le recours à des sous-traitants situés dans des pays tiers n'est autorisé que si les conditions particulières prévues aux articles 44 et suivants du RGPD sont remplies.

13.5 Le prestataire veille à ce que le donneur d'ordre dispose, vis-à-vis du sous-traitant, des mêmes droits d'instruction et de contrôle que ceux dont il dispose vis-à-vis du prestataire en vertu du présent contrat. Si un sous-traitant ne respecte pas ses obligations en matière de protection des données, le prestataire est responsable vis-à-vis du donneur d'ordre du respect des obligations dudit sous-traitant.

 

14. Effacement des données à caractère personnel

14.1 À l’issue de la prestation de traitement convenue dans le contrat principal, le prestataire est tenu d’effacer toutes les données à caractère personnel qu’il a reçues dans le cadre du traitement de la commande. Cela inclut notamment les résultats du traitement des données, les documents et supports de données remis ainsi que les copies des données à caractère personnel. L'obligation de suppression ne s'applique pas si le prestataire est légalement tenu, en vertu du droit de l'UE ou des États membres, de conserver les données. En cas d'obligation de conservation, le prestataire doit limiter le traitement des données à caractère personnel et n'utiliser les données qu'aux fins pour lesquelles l'obligation de conservation s'applique. Les obligations en matière de sécurité du traitement subsistent pendant toute la durée de la conservation. Le prestataire doit effacer les données sans délai dès que l'obligation de conservation prend fin.

14.2 La suppression doit être effectuée de manière à ce que les données ne soient pas récupérables.

 

15. Responsabilité

15.1 Le donneur d'ordre et le prestataire sont responsables vis-à-vis des tiers, conformément à l'article 82, paragraphe 1, du RGPD, des dommages matériels et immatériels subis par une personne en raison d'une violation du RGPD. Si le donneur d'ordre et le prestataire sont tous deux responsables d'un tel dommage conformément à l'article 82, paragraphe 2, du RGPD, les parties sont responsables de ce dommage entre elles proportionnellement à leur part de responsabilité. Si, dans un tel cas, une personne fait valoir un droit à dommages-intérêts à l'encontre d'une partie, en totalité ou en grande partie, celle-ci peut exiger de l'autre partie une exonération ou une indemnisation, dans la mesure où cela correspond à sa part de responsabilité.

15.2 Le prestataire assiste le donneur d'ordre en lui fournissant toutes les informations dont il dispose lorsque le donneur d'ordre fait l'objet d'une procédure administrative ou pénale, d'une action en responsabilité d'une personne concernée ou d'un tiers, ou de toute autre action en rapport avec le traitement des données chez le prestataire.

15.3 Le prestataire est responsable, dans les limites prévues par la loi, des dommages résultant d'un comportement fautif à l'encontre des dispositions relatives à la protection des données ou du présent accord de protection des données.

 

16. Dispositions finales

16.1 L'exception du droit de rétention au sens de l'article 273 du Code civil allemand (BGB) est exclue en ce qui concerne les données traitées pour le compte du donneur d'ordre.

16.2 Toute modification ou clause accessoire doit être consignée par écrit ou sous forme électronique. Cette exigence s'applique également à toute modification de cette exigence de forme.

16.3 Si une disposition du présent accord s'avère invalide, cela n'affecte pas la validité des autres dispositions de l'accord.

 

Annexe 1 : Mesures techniques et organisationnelles du prestataire

Le prestataire prend les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données au sens de l'article 32 du RGPD.

 

1. CONFIDENTIALITÉ (art. 32, al. 1, let. b du RGPD)

1.1 Contrôle d'accès

Le prestataire prend notamment les mesures suivantes pour empêcher l'accès de personnes non autorisées aux installations de traitement des données avec lesquelles les données sont traitées ou utilisées :

• Système de barrières à plusieurs niveaux : accès au bâtiment, accès à l'unité organisationnelle au sein du bâtiment. L'accès nécessite différentes clés, qui ne sont mises à la disposition que des personnes autorisées à y accéder.

• Serrures de sécurité

• Règlement relatif aux clés (remise / restitution des clés)

• Ronde de contrôle à la sortie du site

• Les visiteurs et les prestataires de services sont accompagnés

• Vidéosurveillance de l'extérieur

 

1.2 Contrôle d'accès 

Le prestataire prend notamment les mesures suivantes afin d'empêcher toute utilisation non autorisée des installations de traitement des données :

• Authentification sécurisée grâce à des mots de passe forts et régulièrement mis à jour pour tous les systèmes (système de développement, serveur, base de données, gestion de domaine).

• Règles relatives aux mots de passe et à leur modification

• Authentification à deux facteurs (2FA) pour l'accès aux systèmes critiques

• Utilisation de pare-feu et de bloqueurs d'adresses IP au niveau des serveurs et des bases de données afin d'empêcher tout accès non autorisé et de contrer les menaces potentielles provenant d'adresses IP non autorisées.

• Utilisation de Fail2ban

• Les mots de passe ne sont stockés qu'après avoir été convertis à l'aide de fonctions à sens unique (fonctions de hachage). L'accès aux données de mots de passe converties est sécurisé par des concepts d'autorisation et n'est autorisé qu'aux collaborateurs ayant la responsabilité correspondante.

• Concept de droits et de rôles (principe du « besoin d'en connaître »)

• Serrures de sécurité

• Réglementation relative aux clés (remise / restitution des clés)

• Les visiteurs et les prestataires de services sont accompagnés

• Chiffrement des supports de données mobiles et des ordinateurs

• Utilisation de logiciels antivirus

 

1.3 Contrôle d'accès 

Le prestataire prend notamment les mesures suivantes afin d'empêcher toute lecture, copie, modification ou suppression non autorisée au sein du système :

• Concept de droits et de rôles (principe du « besoin d'en connaître »)

• Réduction du nombre d'administrateurs au strict minimum

• Règles relatives aux mots de passe et à leur modification

• Chiffrement des supports de données mobiles et des ordinateurs

• Destruction conforme des supports de données physiques et des supports d'information (par exemple, déchiqueteuse)

 

1.4 Contrôle de la séparation

Le prestataire prend, entre autres, les mesures suivantes afin de garantir le traitement séparé des données collectées à des fins différentes :

• Séparation entre les environnements local, de développement, de test et de production (système en production)

• Concept de droits et de rôles (principe du « besoin d'en connaître »)

• Séparation de la conservation des données sous forme de séparation logique des données avec des comptes spécifiques à chaque client

• Stockage chiffré de toutes les données envoyées via des formulaires créés par les clients

 

1.5 Pseudonymisation 

Le prestataire prend, entre autres, les mesures suivantes afin de traiter les données à caractère personnel, dans la mesure du possible, de manière à ce qu'elles ne puissent être associées à une personne sans informations supplémentaires :

• Les données à caractère personnel sont cryptées à l'aide d'un code alphanumérique aléatoire avant d'être stockées dans la base de données

• Choix approprié des clés de pseudonymisation

 

1.6 Chiffrement 

Le prestataire prend, entre autres, les mesures suivantes pour convertir le texte en clair en texte chiffré illisible à l'aide de clés :

• Choix approprié du cryptage (AES-256)

• Chiffrement des ordinateurs de développement et des sauvegardes

• Journalisation automatique de l'utilisation des clés

• Contrôle d'accès (principe du « besoin d'en connaître »)

• Gestion sécurisée et à sécurité intégrée des clés

 

2. INTÉGRITÉ (art. 32, al. 1, let. b du RGPD)

2.1 Contrôle des transmissions 

Le prestataire prend notamment les mesures suivantes afin d'empêcher toute lecture, copie, modification ou suppression non autorisée lors de la transmission ou du transport électroniques :

• Tous les transferts de données s'effectuent via des protocoles cryptés (HTTPS) afin de protéger l'intégrité et la confidentialité des données (cryptage SSL de la communication des données)

• Chiffrement des e-mails conformément aux exigences légales (IMAPS, STMPS, STARTTLS, SSL)

• Prévention des injections SQL et du cross-site scripting : utilisation de requêtes préparées et paramétrage des requêtes, validation et nettoyage des entrées, utilisation de pare-feu d'applications web (WAF)

 

2.2 Contrôle des entrées 

Le prestataire prend notamment les mesures suivantes afin de garantir qu'il soit possible de vérifier et de déterminer a posteriori si des données ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données, et par qui :

• Journalisation de toutes les modifications (saisie, modification et suppression de données) dans le code et les bases de données

 

2.3 Intégrité des données en cas de dysfonctionnements

Garantir que les données à caractère personnel stockées ne puissent pas être endommagées par des dysfonctionnements du système :

• Les mises à jour, mises à niveau et correctifs sont installés régulièrement

• Des sauvegardes sont effectuées régulièrement (par exemple, serveurs, bases de données, base de code)

• Les nouveaux logiciels ou versions sont testés dans des environnements de test afin d'éviter de tels dysfonctionnements.

 

3. DISPONIBILITÉ ET RÉSILIENCE (art. 32, al. 1, let. b et c du RGPD)

3.1 Contrôle de la disponibilité 

Le prestataire prend notamment les mesures suivantes pour garantir que les données sont protégées contre toute destruction ou perte accidentelle ou intentionnelle : 

• Mises à jour régulières et gestion des correctifs : mise à jour régulière de tous les systèmes (serveurs, systèmes et environnements de développement, logiciels de base de données, langages de programmation, frameworks, logiciels antivirus, etc.) avec les derniers correctifs de sécurité, après tests préalables sur le système local et le système de développement.

• Utilisation de pare-feu et de logiciels antivirus pour se protéger contre les menaces externes.

• Utilisation de Fail2ban

• Sauvegardes régulières

• Utilisation de logiciels antivirus

• Utilisation de pare-feu

• Réalisation de tests d'intrusion internes et externes à intervalles réguliers

 

3.2 Récupérabilité

Le prestataire prend, entre autres, les mesures suivantes afin de garantir que la disponibilité des données à caractère personnel et l'accès à celles-ci puissent être rapidement rétablis en cas d'incident physique ou technique :

• Élaboration d'un plan d'urgence

• Sauvegardes régulières/redondances

 

3.3 Maintenance et mise à jour

• Mises à jour régulières et gestion des correctifs : mise à jour régulière de tous les systèmes (serveurs, systèmes et environnements de développement, logiciels de base de données, langages de programmation, frameworks, logiciels antivirus, etc.) avec les derniers correctifs de sécurité, après des tests préalables sur les systèmes locaux, de développement et de test.

• Réalisation de tests automatiques et manuels pendant le développement

• Utilisation d'environnements de test avant la mise en production des modifications de code et des mises à jour

• Surveillance constante des systèmes en matière de journalisation et de notification à l'administrateur en cas de dysfonctionnements en production

 

4. PROCÉDURES DE VÉRIFICATION, D'ANALYSE ET D'ÉVALUATION RÉGULIÈRES (art. 32, al. 1, let. d du RGPD ; art. 25, al. 1 du RGPD)

 

4.1 Gestion de la protection des données

• Nomination d'un délégué à la protection des données, dans la mesure où le prestataire y est légalement tenu

• Nomination de coordinateurs de la protection des données, si la taille et la structure de l'entreprise du sous-traitant l'exigent

• Registre des activités de traitement

• Mesures de formation / de sensibilisation des collaborateurs

• Engagement de confidentialité des employés

• Processus définis et documentés

• Instructions de travail / politiques relatives à la protection des données

• Révisions régulières des mesures techniques et organisationnelles

 

4.2 Gestion des incidents

• Définition des compétences et des responsabilités

• Processus de signalement défini

• Mesures définies pour les cas pertinents et envisageables

• Voies d'escalade définies

• Listes de signalement et de contacts à jour

• Processus d'examen des incidents signalés et classification des risques qui s'ensuit, le cas échéant

• Réponses préparées à l'incident

• Processus de réflexion et de suivi

 

4.3 Paramètres par défaut respectueux de la protection des données

• Processus visant à garantir le respect de la vie privée dès la conception et par défaut en cas de modifications

 

4.4 Contrôle des contrats

• Les responsabilités du donneur d'ordre et du prestataire découlent du contrat principal

• Vérification de l'existence de CGV et de dispositions contractuelles avec tous les sous-traitants

• Respect de la confidentialité et du secret des données