Contrat de traitement des commandes selon l’article 28 du RGPD
Le présent contrat de traitement des commandes (“CTA“) s’applique aux activités de traitement des données personnelles par Dibooq GmbH, Heinrich-Mann-Allee 3b, 14473 Potsdam, Allemagne (également désigné par “nous” ou “sous-traitant“), qui sont fournies aux clients (ci-après dénommés “donneurs d’ordre“) en exécution du contrat principal (=CGV DiBooq Desktop-App ainsi que, le cas échéant, CGV DiBooq Mobile-App).
Préambule
Le contractant fournit des services au client conformément au contrat principal conclu entre eux (ci-après dénommé “contrat principal”). Une partie de l’exécution du contrat principal implique le traitement de données personnelles au sens du règlement général sur la protection des données (“RGPD“). Afin de satisfaire aux exigences du RGPD pour de telles constellations, les parties concluent le contrat de traitement des commandes suivant (également appelé “contrat“), qui prend effet à la signature ou à l’entrée en vigueur du contrat principal.
§ 1 Objet/étendue de la mission
- Dans le cadre de la collaboration entre les parties conformément au contrat principal, le prestataire a accès aux données personnelles du client (ci-après “données du client“). Le sous-traitant traite ces données du client pour le compte et selon les instructions du client au sens de l’art. 4 n° 8 et de l’art. 28 du RGPD.
- Le traitement des données du donneur d’ordre par le preneur d’ordre s’effectue de la manière décrite dans l’annexe 1 ainsi que dans l’étendue et la finalité qui y sont spécifiées. Le cercle des personnes concernées par le traitement des données est présenté. La durée du traitement correspond à la durée du contrat principal.
- Si les services du sous-traitant sont destinés au traitement de catégories particulières de données à caractère personnel conformément à l’art. 9, par. 1 RGPD, nécessite une évaluation des risques par le client.
- Il est interdit au preneur d’ordre de traiter les données du donneur d’ordre d’une manière différente des traitements mentionnés dans l’annexe 1.
- Le traitement des données du client a lieu en principe. sur le territoire de la République fédérale d’Allemagne, dans un État membre de l’Union européenne ou dans un autre État signataire de l’accord sur l’Espace économique européen. S’il devait y avoir une délocalisation du traitement de la commande vers un pays tiers, cela nécessite l’accord préalable du client et n’a lieu que si les conditions particulières des articles 44 à 49 du RGPD sont remplies. En concluant ce contrat de sous-traitance, le client accepte déjà le traitement des données à caractère personnel par les sous-traitants mentionnés à l’annexe 1.
- Les dispositions de ce contrat s’appliquent à toutes les activités liées au contrat principal. Il en va de même pour toutes les activités au cours desquelles le contractant et ses employés ou les personnes mandatées par le contractant entrent en contact avec les données du client.
§ 2 Pouvoir d’instruction du donneur d’ordre
- Le sous-traitant traite les données du client dans le cadre de la commande et sur ordre et selon les instructions du client au sens de l’article 28 du RGPD (traitement des commandes). Le client a le droit exclusif de donner des instructions sur le type, l’étendue et la méthode des activités de traitement (ci-après également “droit d’instruction”). Si le droit de l’Union européenne ou des États membres auquel le sous-traitant est soumis l’oblige à effectuer d’autres traitements, il informe le client de ces exigences légales avant le traitement.
- Les instructions sont en principe données par le client par écrit ou sous forme électronique (un e-mail suffit) ; les instructions données oralement doivent être confirmées par le contractant sous forme électronique.
- Si le preneur d’ordre estime qu’une instruction du donneur d’ordre enfreint les dispositions relatives à la protection des données, il doit en informer le donneur d’ordre. Le contractant est en droit de suspendre l’exécution de la directive en question jusqu’à ce qu’elle soit confirmée ou modifiée par le client.
§ 3 Mesures de protection de l’entrepreneur
- Le contractant est tenu de respecter les dispositions légales relatives à la protection des données et de ne pas transmettre les informations obtenues du domaine du client à des tiers ou de les exposer à leur accès. Les documents et les données doivent être protégés contre la prise de connaissance par des personnes non autorisées, en tenant compte de l’état de la technique.
- En outre, le contractant obligera toutes les personnes auxquelles il confie le traitement et l’exécution de ce contrat (ci-après dénommées “collaborateurs”) à respecter la confidentialité (obligation de confidentialité, article 28, paragraphe 3, point b du RGPD). A la demande du client, le contractant fournira au client une preuve écrite ou électronique de l’engagement de ses employés.
- Le contractant organisera son organisation interne de manière à ce qu’elle réponde aux exigences particulières de la protection des données. Il s’engage à prendre toutes les mesures techniques et organisationnelles appropriées pour assurer une protection adéquate des données du donneur d’ordre conformément à l’article 6. Art. 32 RGPD, en particulier les mesures énumérées à l’annexe 2 du présent contrat, et de les maintenir pendant toute la durée du traitement des données du client.
- Le contractant se réserve le droit de modifier les mesures techniques et organisationnelles prises, tout en veillant à ce que le niveau de protection convenu dans le contrat ne soit pas inférieur.
- A la demande du client, le contractant prouvera au client le respect des mesures techniques et organisationnelles.
§ 4 Obligations d’information et d’assistance du contractant
- En cas de dysfonctionnement, de suspicion de violation de la protection des données ou de violation des obligations contractuelles du contractant, de suspicion d’incidents liés à la sécurité ou d’autres irrégularités dans le traitement des données du client par le contractant, par les personnes qu’il emploie dans le cadre de la commande ou par des tiers, le contractant en informera le client immédiatement, et au plus tard dans les 48 heures, par écrit ou sous forme électronique. Il en va de même pour les audits du sous-traitant par l’autorité de contrôle de la protection des données. Chacune de ces notifications devrait contenir au moins les informations mentionnées à l’article 33, paragraphe 3 du RGPD.
- Dans le cas susmentionné, le fournisseur aidera le client à remplir ses obligations en matière d’éducation, de réparation et d’information dans la mesure du raisonnable.
- Le contractant s’engage à fournir au client, à sa demande et dans un délai raisonnable, tous les renseignements et justificatifs nécessaires à la réalisation d’un contrôle.
§ 5 Autres obligations du contractant
- Si les conditions de l’article 30 du RGPD s’appliquent à lui, le sous-traitant est tenu de tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du client, conformément à l’article 30 du RGPD. Art. 30, paragraphe 2 du RGPD. Le répertoire doit être mis à la disposition du client sur demande.
- Le sous-traitant est tenu d’aider le client à réaliser une analyse d’impact sur la protection des données conformément à l’article 35 du RGPD et à consulter éventuellement l’autorité de contrôle au préalable conformément à l’article 36 du RGPD.
- Le contractant confirme qu’il a désigné un délégué à la protection des données, dans la mesure où il existe une obligation légale à cet égard.
- Si les données du client chez le preneur d’ordre sont menacées par une saisie ou une confiscation, par une procédure de faillite ou de règlement judiciaire ou par d’autres événements ou mesures de tiers, le preneur d’ordre doit en informer immédiatement le client, à moins que cela ne lui soit interdit par une décision judiciaire ou administrative. Dans ce contexte, le contractant informera immédiatement tous les services compétents que le pouvoir de décision concernant les données appartient exclusivement au client en tant que “responsable” au sens du RGPD.
§ 6 Relations de sous-traitance
- Le sous-traitant peut faire appel à d’autres sous-traitants (ci-après dénommés “sous-traitants”) pour effectuer tout ou partie du traitement des données à caractère personnel. Le contractant informe le client par écrit et suffisamment à l’avance de tout recours à la sous-traitance ou de tout changement dans la sous-traitance. En cas de raisons objectives, le client peut s’opposer à la sous-traitance par écrit dans un délai de quatre semaines après en avoir pris connaissance.
- Il n’y a pas de relation de sous-traitance au sens de ces dispositions si le contractant fait appel à des tiers pour des services qui doivent être considérés comme purement accessoires. Il s’agit par exemple des services postaux, de transport et d’expédition, des services de nettoyage, des services de surveillance, des services de télécommunication sans rapport concret avec les services que le contractant fournit au client, ainsi que d’autres mesures visant à garantir la confidentialité, la disponibilité, l’intégrité et la résistance du matériel et des logiciels des installations de traitement des données. L’obligation de l’entrepreneur de garantir le respect de la protection et de la sécurité des données dans ces cas également reste inchangée.
- Le contractant conviendra avec le sous-traitant des dispositions prises dans le présent CUU. En particulier, les TOM à convenir avec le sous-traitant doivent présenter un niveau de protection équivalent.
- Le contractant a établi des relations de sous-traitance avec les entreprises mentionnées à l’annexe 1, auxquelles le client a consenti en concluant le présent contrat de traitement des commandes :
- Avec les sous-traitants, le contractant doit satisfaire aux exigences de l’article 6, paragraphe 1. 3 ont conclu des contrats de traitement des commandes correspondants. Dès l’entrée en vigueur du présent CUU, le client approuve les sous-traitants susmentionnés.
- Les contrats de sous-traitance avec les sous-traitants prévoient notamment que les sous-traitants s’assurent qu’ils ont pris des mesures techniques et organisationnelles adéquates et appropriées conformément à l’article 32 du RGPD en ce qui concerne les traitements de données personnelles qu’ils effectuent en sous-traitance.
§ 7 Droits de contrôle
- Le client est en droit de s’assurer régulièrement du respect des dispositions du présent contrat. Pour ce faire, il peut, par exemple, demander des informations au contractant, se faire présenter les attestations existantes d’experts, de certifications ou d’audits internes, ou faire vérifier lui-même personnellement ou par un tiers compétent les mesures techniques et organisationnelles du contractant pendant les heures de bureau habituelles, à condition que ce dernier n’ait pas de relation de concurrence avec le contractant.
- Le client n’effectuera des contrôles que dans la mesure nécessaire et tiendra compte de manière raisonnable des processus d’exploitation du contractant. Les parties se mettent d’accord en temps utile sur la date et le type d’examen.
- Le client documente le résultat du contrôle et le communique au contractant. En cas d’erreurs ou d’irrégularités constatées par le client, notamment lors de l’examen des résultats de la commande, il doit en informer immédiatement le contractant. Si le contrôle révèle des faits dont la prévention future nécessite des changements dans le déroulement de la procédure ordonnée, le client informe immédiatement le contractant des changements de procédure nécessaires.
§ 8 Droits des personnes concernées
- Dans la mesure du possible, le sous-traitant aide le client à remplir ses obligations conformément aux articles 12 à 22 et 32 à 36 du RGPD en prenant des mesures techniques et organisationnelles appropriées. Il fournira immédiatement au client, et au plus tard dans les 14 jours ouvrables, les renseignements demandés sur les données du client, à moins que le client ne dispose lui-même des informations correspondantes.
- Si la personne concernée fait valoir ses droits conformément aux articles 16 à 18 du RGPD, le sous-traitant est tenu de rectifier, d’effacer ou de limiter les données du client immédiatement, au plus tard dans un délai de 7 jours ouvrables, selon les instructions du client. Sur demande, le prestataire fournira au client la preuve écrite de la suppression, de la rectification ou de la limitation des données.
- Si une personne concernée fait valoir des droits, tels que l’accès, la rectification ou l’effacement de ses données, directement auprès du contractant, ce dernier transmettra cette demande au client et attendra ses instructions. Sans instruction individuelle correspondante, le contractant n’entrera pas en contact avec la personne concernée.
§ 9 Durée et résiliation
La durée de ce contrat correspond à la durée du contrat principal. Il se termine donc automatiquement à la fin du contrat principal. Si le contrat principal peut être résilié de manière ordinaire, les dispositions relatives à la résiliation ordinaire s’appliquent par analogie au présent contrat. Si le prestataire ne traite plus les données du client avant l’expiration du contrat principal, ce contrat prendra également fin automatiquement.
§ 10 Suppression et restitution après la fin du contrat
- A la fin du contrat principal ou à tout moment à la demande du client, le contractant restituera au client tous les documents, données et supports de données qui lui ont été remis ou les supprimera complètement et irrévocablement à la demande du client, à moins qu’il n’existe un délai de conservation légal. Cela s’applique également aux copies des données du client chez le fournisseur, telles que les sauvegardes de données, mais pas aux documentations qui servent à prouver que les données du client ont été traitées correctement et conformément à la commande. Ces documents doivent être conservés par le titulaire de la commande pendant une durée de 6 mois et être remis au donneur d’ordre sur demande. Les données personnelles partagées par le client avec d’autres utilisateurs de l’application de bureau DiBooq ou de l’application mobile DiBooq ne sont pas couvertes par une obligation de suppression ou de restitution.
- Le contractant confirmera la suppression au client par voie électronique. Le client a le droit de contrôler de manière appropriée la restitution ou la suppression complète et conforme au contrat des données chez le contractant.
- Même après la fin du contrat principal, le contractant est tenu de traiter de manière confidentielle les données dont il a pris connaissance dans le cadre du contrat principal.
§ 11 Responsabilité
- La responsabilité des parties est régie par l’article 82 du RGPD. La responsabilité du preneur d’ordre vis-à-vis du client pour violation des obligations découlant du présent contrat ou du contrat principal n’en est pas affectée.
- Les parties se dégagent chacune de leur responsabilité si l’une d’entre elles prouve qu’elle n’est en aucun cas responsable du fait qui a provoqué le dommage chez une personne concernée. Cette disposition s’applique mutatis mutandis dans le cas d’une amende infligée à l’une des parties, l’exemption étant accordée dans la mesure où l’autre partie partage la responsabilité de l’infraction sanctionnée par l’amende.
§ 12 Confidentialité & secret des données
- Le contractant s’engage à respecter les mêmes règles de protection du secret que celles qui incombent au client.
- Les employés du contractant et les tiers mandatés par le contractant sont tenus au secret professionnel. Le contractant doit informer les personnes employées dans le cadre du traitement des données du client conformément à l’art. 28, al. 3 lit. b du RGPD de s’engager par écrit à respecter la confidentialité. Cela n’est pas nécessaire si les personnes employées sont déjà soumises à une obligation légale de confidentialité appropriée. Le contractant documentera par écrit l’engagement stipulé dans ce paragraphe et le présentera à la demande du client.
- Le contractant confirme qu’il est au courant des dispositions légales applicables en matière de protection des données. Le contractant garantit qu’il familiarisera les collaborateurs engagés dans l’exécution des travaux avec les dispositions relatives à la protection des données qui les concernent et qu’il les obligera à respecter les dispositions en vigueur en matière de protection des données. Il veille au respect de la législation sur la protection des données.
- Ces obligations de confidentialité régies par ce point se poursuivent même après la fin de la relation contractuelle.
- En outre, outre les dispositions légales respectivement applicables (en particulier le § 88 TKG, le § 203 StGB, les §§ 4, 23 GeschGehG ainsi que, le cas échéant, les obligations de confidentialité particulières à la profession), le contractant est également tenu de garder secrètes toutes les informations et données dont il a connaissance dans le cadre des prestations convenues par contrat et de ne pas les divulguer à des tiers (informations confidentielles). Les informations confidentielles sont notamment les secrets commerciaux et d’entreprise, les conclusions de contrats, les informations techniques ou commerciales de toute nature ou toute autre information désignée comme confidentielle ou considérée comme confidentielle de par sa nature. Cela s’applique notamment aussi à :
Les noms, les adresses ainsi que la situation personnelle, juridique et économique de tous les clients du client et la situation personnelle, juridique et économique du client et de toutes les autres personnes travaillant pour le client.
Une information n’est pas considérée comme confidentielle si elle était déjà connue du public au moment où le contractant a pris connaissance de l’information. De même, ne sont pas considérées comme confidentielles les informations qui sont devenues ou ont été rendues publiques ultérieurement avec l’accord du client. - Le contractant s’engage à obliger tous les collaborateurs qui, dans le cadre de leur travail pour le client, prennent connaissance des informations confidentielles susmentionnées du client, de la même manière qu’il s’engage lui-même.
- Si le contractant fait appel à des tiers, il doit veiller à ce que les exigences des paragraphes 1 à 6 soient appliquées en conséquence.
§ 13 Dispositions finales
- Les parties conviennent que l’objection du droit de rétention par le contractant au sens de l’article 273 du Code civil allemand est exclue en ce qui concerne les données à traiter et les supports de données associés.
- Les modifications et les ajouts au présent accord doivent être effectués sous forme électronique.
- En cas de doute, les règles de ce contrat prévalent sur les règles du contrat principal. Si l’une des dispositions du présent accord s’avère totalement ou partiellement invalide ou inexécutable, ou si elle devient invalide ou inexécutable à la suite de modifications apportées à une législation après la conclusion de l’accord, la validité des autres dispositions n’en sera pas affectée. La disposition invalide ou inexécutable doit être remplacée par la disposition valide et exécutable qui se rapproche le plus possible du sens et de l’objectif de la disposition invalide.
- Le présent accord est régi par le droit allemand. Le lieu de juridiction exclusif est le siège du preneur d’ordre.
Installations
Annexe 1 Spécifications du contrat
Annexe 2 Mesures techniques et organisationnelles du sous-traitant (art. 32 RGPD)
Annexe 1 – Spécifications du contrat
Objet et durée de la mission Aperçu des exigences et des spécifications |
|
Contrat principal | CGV pour la licence du logiciel Dibooq |
Objet de la commande | Le client utilise le logiciel Dibooq. Le logiciel Dibooq offre aux agences de location de maisons de vacances (“agences”) la possibilité de gérer des calendriers d’occupation pour les propriétés de vacances et de partager les disponibilités en temps réel (“Booking Calendar”). Il est possible de définir des conditions de réservation sous lesquelles il est possible d’inscrire des réservations dans le calendrier (“Direct Booking”) ou de faire des demandes de réservation qui peuvent être confirmées ou refusées au sein du système (“Booking inquiry”). |
Objectif de la collecte, du traitement ou de l’utilisation des données | Afin de remplir les obligations de l’entrepreneur dans le cadre du contrat principal, les données personnelles du client sont traitées par l’entrepreneur dans leur intégralité au sens de l’article 4, point 2 du RGPD, en particulier, dans la mesure où cela est nécessaire, elles sont collectées, enregistrées, modifiées, lues, consultées, utilisées, divulguées, comparées, reliées et effacées. La finalité du traitement dépend donc de la mission décrite dans le contrat principal. |
Type de données | Les catégories de données à caractère personnel concernées par le traitement dépendent de l’utilisation que le client fait des services du sous-traitant. Les catégories de données pouvant faire l’objet d’un traitement sont les suivantes – Données de base (par ex. noms, adresses, dates de naissance), – Données de contact (par ex. adresses e-mail, numéros de téléphone), – Données de contenu (par exemple, photographies, vidéos, contenu de documents), – Données contractuelles (par ex. objet du contrat, durées, clients), – Données de paiement (par ex. coordonnées bancaires, prestataire de services de paiement), – Données d’utilisation (par ex. déroulement des services web, temps d’accès), – les données de connexion (par exemple l’ID de l’appareil, les adresses IP, le référent URL), et – Données de localisation (par ex. données GPS, géolocalisation IP). |
Cercle des personnes concernées |
Les catégories de personnes concernées par le traitement dépendent de l’utilisation des services du sous-traitant par le client. Les catégories de personnes concernées sont les suivantes : – Employés |
Sous-traitant
No. | Nom du sous-traitant Adresse / pays | Objet de la commande | Type et étendue des données |
1 | e-pixler NEW MEDIA GmbH Leuchtenfabrik Aufgang E Edisonstraße 63 12459 Berlin Allemagne |
Administration du serveur | Hébergement du logiciel et des bases de données |
2 | united-domains AG Gautinger Straße 10 82319 Starnberg Allemagne |
Hébergement de domaines et de site web | Site web avec formulaire de contact |
3 | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park Leopardstown Dublin 18 D18 P521 Irlande | Microsoft 365 Business, Stockage dans le cloud, fournisseur de messagerie, équipes |
E-mails et stockage de documents |
Annexe 2 – Mesures techniques et organisationnelles
Les responsables du traitement des données sont, conformément à L’article 32 du RGPD oblige à prendre des mesures techniques et organisationnelles qui garantissent la sécurité du traitement des données personnelles. Les mesures doivent être choisies de manière à garantir un niveau de protection adéquat. Dans ce contexte, cet aperçu explique quelles sont les mesures concrètes prises par le sous-traitant en ce qui concerne le traitement des données à caractère personnel dans un cas concret.
Instructions sur les mesures techniques et organisationnelles |
1. organisation de la sécurité de l’information Il faut définir des directives, des processus et des responsabilités permettant de mettre en œuvre et de contrôler la sécurité de l’information. |
Mesures à prendre : ☒ Politique de sécurité de l’information. ☐ Définir les rôles et les responsabilités pour le fonctionnement des applications et du système, la protection des données et la sécurité de l’information. ☐ Obligation pour les employés de respecter la confidentialité et le secret des données. |
2. privacy by design La privacy by design implique l’idée que les systèmes devraient être conçus et construits de manière à minimiser la quantité de données personnelles traitées. Les éléments essentiels de la minimisation des données sont la séparation des caractéristiques d’identification personnelles et des données de contenu, l’utilisation de pseudonymes et l’anonymisation. De plus, la suppression des données personnelles doit être réalisée selon une période de conservation configurable. |
Mesures à prendre : ☒ Nous ne collectons pas plus de données personnelles que ce qui est nécessaire pour chaque objectif. ☒ Les traitements et les systèmes sont conçus de manière à permettre et à garantir une suppression conforme au RGPD des données personnelles traitées. |
3. privacy by default La privacy by default fait référence aux paramètres par défaut/par défaut respectueux de la vie privée. Dans quelle mesure l’as-tu fait ? Exemple : lors de la visite d’un site web, le visiteur peut s’attendre à ce que tous les programmes qui collectent des données personnelles soient d’abord désactivés. |
Mesures à prendre : ☒ Les fonctions de suivi qui surveillent la personne concernée sont désactivées par défaut. ☒ Toutes les présélections de choix respectent les exigences du RGPD en matière de présélections respectueuses de la vie privée (par exemple, pas de présélections d’opt-ins). |
4. contrôle d’accès et contrôle d’accès Mesures garantissant que les personnes autorisées à utiliser les procédures de traitement des données ne peuvent accéder qu’aux données personnelles ou aux informations et données sensibles soumises à leur autorisation d’accès (description des mécanismes de sécurité inhérents au système, procédures de cryptage conformes à l’état de la technique. En cas d’accès en ligne, préciser quel site est responsable de l’émission et de la gestion des codes de sécurité d’accès). Le contractant garantit que les utilisateurs autorisés à utiliser l’infrastructure informatique ne peuvent accéder qu’aux contenus pour lesquels ils sont autorisés et que les données personnelles ne peuvent pas être copiées, modifiées ou effacées sans autorisation pendant le traitement et après le stockage. |
Mesures à prendre : ☒ Concepts d’autorisation documentés. ☒ L’accès aux données est limité et réservé aux personnes autorisées. ☒ Blocage du compte utilisateur en cas d’échec / d’inactivité. ☐ Verrouillage du terminal en cas de départ du poste de travail ou d’inactivité. ☒ Nombre d’administrateurs réduit au “strict minimum”. ☒ Enregistrement des accès aux applications, notamment lors de la saisie, de la modification et de la suppression des données. |
5. cryptographie et/ou pseudonymisation utilisation de méthodes de cryptage pour assurer une protection correcte et efficace de la confidentialité, de l’authenticité ou de l’intégrité des données personnelles ou des informations vulnérables. Mesures susceptibles de rendre plus difficile l’identification de la personne concernée. |
Mesures à prendre : ☒ Crypter les accès aux accès et connexions réseau. |
Autres mesures mises en œuvre pour la cryptographie : Dans le CUU incl. TOM convenu entre le contractant et e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Allemagne. AVV incl. TOM entre le contractant et e-pixler peut être mis à disposition si nécessaire. |
6) Protection des bâtiments Prévention de l’accès physique non autorisé aux informations et aux installations de traitement de l’information de l’organisation, ainsi que de leur endommagement et de leur dégradation. Le contractant prend des mesures pour empêcher les personnes non autorisées d’accéder (au sens spatial) aux installations de traitement des données qui traitent des données personnelles. |
Autres mesures mises en œuvre pour protéger les bâtiments : Dans le CUU incl. TOM convenu entre le contractant et e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Allemagne. AVV incl. TOM entre le contractant et e-pixler peut être mis à disposition si nécessaire. |
7. protection des ressources / des actifs informationnels Prévention de la perte, de la détérioration, du vol ou de la dégradation des actifs et des interruptions des activités de l’organisation. |
Mesures à prendre : ☒ Placement sûr des systèmes, de sorte que la protection contre le vol soit garantie. ☒ Protection des équipements contre le feu, l’eau ou les surtensions. ☒ Placer les composants du serveur et du réseau dans des pièces sécurisées, des armoires, etc. ☒ Entretien régulier du matériel d’exploitation. ☒ Effacement, destruction et élimination des ressources en toute sécurité. |
Autres mesures mises en œuvre pour la protection des moyens de production : Dans le CUU incl. TOM convenu entre le contractant et e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Allemagne. AVV incl. TOM entre le contractant et e-pixler peut être mis à disposition si nécessaire. |
8) Procédures opérationnelles et responsabilités Assurer le fonctionnement correct et sûr des systèmes et des procédures de traitement des informations. |
Mesures à prendre : ☒ Configurations de systèmes et procédures opérationnelles documentées, manuels de gestion opérationnelle. ☒ Attribution claire des responsabilités pour la maintenance du système et des applications. ☐ Séparation du traitement des données de chaque client. ☒ Séparation des systèmes de développement, de test et de production. ☒ Surveillance du fonctionnement du système et des installations. ☐ Contrats de maintenance avec temps de réponse approprié |
9. sauvegardes des données Mesures qui garantissent que les données personnelles ou les informations et données sensibles sont protégées contre une destruction ou une perte accidentelle. |
Mesures à prendre : ☒ Concept de sauvegarde des données avec des sauvegardes régulières. ☒ Externalisation de la sauvegarde dans d’autres zones d’incendie. ☒ Externalisation des sauvegardes dans d’autres bâtiments. |
Autres mesures mises en œuvre pour la sauvegarde des données : Dans le CUU incl. TOM convenu entre le contractant et e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Allemagne. AVV incl. TOM entre le contractant et e-pixler peut être mis à disposition si nécessaire. |
10. protection contre les logiciels malveillants et gestion des correctifs Empêche l’exploitation des vulnérabilités techniques en utilisant un logiciel antivirus à jour et en mettant en place une gestion des correctifs. |
Mesures à prendre : ☒ Surveiller régulièrement l’état des mises à jour de sécurité et des vulnérabilités du système. ☒ Utilisation d’un logiciel anti-malware. ☒ Appliquer régulièrement les correctifs de sécurité et les mises à jour. |
11. journalisation et surveillance Mesures garantissant qu’il est possible de vérifier et de constater a posteriori si des données personnelles ont été introduites, modifiées ou supprimées dans des systèmes informatiques et par qui. (Toutes les activités du système sont consignées ; les journaux sont conservés par le prestataire pendant au moins 3 ans). |
Mesures à prendre : ☒ Enregistrement des accès. ☒ Évaluation des fichiers journaux. |
12. gestion de la sécurité du réseau Une protection adéquate doit être mise en œuvre pour le réseau, de sorte que les informations et les composants de l’infrastructure soient protégés. |
Mesures à prendre : ☒ Utiliser un logiciel de gestion de réseau. ☒ Utiliser des systèmes de pare-feu. ☒ Utilisation de systèmes de détection / prévention des intrusions. ☒ Authentification des utilisateurs et cryptage des accès externes. |
13. transmission de l’information des mesures garantissant que les données à caractère personnel ou les informations et données sensibles ne peuvent pas être lues, copiées, modifiées ou supprimées de manière non autorisée lors de leur transmission électronique ou pendant leur transport ou leur stockage sur des supports de données, et qu’il est possible de vérifier et de déterminer à quels endroits les données à caractère personnel ou les informations et données sensibles sont destinées à être transmises par des dispositifs de transmission de données. (description des dispositifs et des protocoles de transmission utilisés, par exemple identification et authentification, cryptage selon l’état de l’art, rappel automatique, etc.) |
Mesures à prendre : ☒ Transmission des données à des tiers uniquement après vérification de la base juridique. ☒ Légalité et définition écrite du transfert de données vers des pays tiers. ☒ Transmission sécurisée des données entre le client et le serveur. ☒ Utilisation d’accès externes cryptés. ☒ Transport et envoi sécurisés de supports de données, de données et de documents. |
14. acquisition, développement et maintenance de systèmes Mesures visant à garantir que la sécurité de l’information fait partie intégrante tout au long du cycle de vie des systèmes d’information. |
Mesures à prendre : ☒ Lignes directrices pour le développement de systèmes sûrs. ☒ Protection des données de test. |
15. relations avec les fournisseurs Les mesures relatives à la sécurité de l’information visant à réduire les risques liés à l’accès des fournisseurs aux valeurs de l’entreprise doivent être convenues et documentées avec les sous-traitants / fournisseurs. |
Mesures à prendre : ☒ Sélectionner le sous-traitant avec soin (notamment en ce qui concerne la sécurité des données). ☒ Instructions écrites au sous-traitant (par ex. par contrat de sous-traitance) au sens du RGPD le sous-traitant a désigné des délégués à la protection des données. ☒ Droits de contrôle effectifs convenus avec le contractant. ☒ Examen préalable et documentation des mesures de sécurité prises chez le contractant. ☒ Obligation pour les employés du sous-traitant de respecter la confidentialité des données. ☒ Assurer la destruction des données une fois la mission terminée. ☒ Contrôle continu du contractant et de ses activités. |
16. gestion des incidents de sécurité de l’information Des mesures cohérentes et efficaces doivent être mises en place pour la gestion des incidents de sécurité de l’information (vol, panne de système, etc.). |
Mesures à prendre : ☒ Procédure documentée de gestion des incidents de sécurité ☒ Informer immédiatement le donneur d’ordre en cas d’incident lié à la protection des données. |
17. aspects de la sécurité de l’information de la gestion de la continuité des activités / de la gestion des urgences Maintenir la disponibilité du système dans des situations difficiles, comme les crises ou les sinistres. Une gestion des urgences doit garantir cela. Les exigences en matière de sécurité de l’information doivent être définies lors de la planification de la continuité des opérations et de la reprise après sinistre. |
Mesures à prendre : ☒ Informer le client à l’avance en cas d’urgence. |
Autres mesures mises en œuvre pour la gestion de la continuité des activités ainsi que pour la gestion des urgences : Dans le CUU y compris TOM convenu entre le contractant et e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Allemagne. AVV incl. TOM entre le contractant et e-pixler peut être mis à disposition si nécessaire. |
18. respect des exigences légales et contractuelles Mise en œuvre de mesures visant à éviter toute violation des obligations légales, officielles ou contractuelles, ainsi que de toute exigence de sécurité. |
Mesures à prendre : ☒ Assurer le respect des obligations légales dans le cadre de la coopération. ☒ Restitution de toutes les données, ressources et actifs d’information au client à la fin du contrat. ☒ Mettre en place une gestion des licences. ☒ Obligations de confidentialité avec les employés ainsi que les sous-traitants et les prestataires de services. |
19. exigences en matière de protection des données et gestion de la protection des données La vie privée et la protection des données personnelles doivent être assurées conformément aux exigences des dispositions légales, des autres réglementations et des dispositions contractuelles applicables. |
Mesures à prendre : ☐ Mettre en place une organisation de protection des données. ☐ Liste des activités de traitement. ☐ Organiser des formations sur la protection des données. ☐ Mettre en place un système de gestion de la protection des données. ☐ Concept de protection des données documenté. ☐ Politiques mises en œuvre en matière de protection des données. |
20. audits de sécurité de l’information Il faut vérifier régulièrement si le traitement de l’information est effectué conformément aux mesures de sécurité définies. Pour cela, le contractant effectuera des contrôles réguliers. Le contractant accorde au client le droit d’effectuer des audits / contrôles réguliers chez lui. |
Mesures à prendre : ☒ Réaliser régulièrement des audits internes sur les thèmes de la protection des données et de la sécurité de l’information. ☒ Réalisation de tests d’intrusion. |