Dernière modification: 8 août 2023 | Versions précédentes
Jibe et la partie qui acceptent cet avenant ("Partenaire") ont conclu un accord pour la fourniture des Services de sous-traitance (tel que modifié de temps en temps, le "Contrat").
Le présent Avenant relatif au traitement des données (y compris les annexes, "Avenant relatif au traitement des données") est conclu entre Jibe et le Partenaire, et complète le Contrat. Le présent Avenant relatif au traitement des données entre en vigueur à la Date d'entrée en vigueur et remplace les conditions précédemment applicables relatives à son objet (y compris les conditions relatives au traitement des données et à la sécurité relatives aux Services du sous-traitant).
Si vous acceptez le présent Avenant relatif au traitement des données au nom du Partenaire, vous garantissez que: (a) vous disposez de l'autorité juridique pour engager le Partenaire vis-à-vis de cet Avenant, (b) vous avez lu et compris le présent Avenant relatif au traitement des données et (c) vous acceptez, au nom du Partenaire, cet Avenant relatif au traitement des données. Si vous n'êtes pas légalement habilité à engager le Partenaire, veuillez ne pas accepter le présent Avenant relatif au traitement des données.
1. Introduction
Le présent Avenant relatif au traitement des données reflète l'accord des parties sur les conditions régissant le traitement et la sécurité de certaines données dans le cadre de la Législation européenne sur la protection des données et de la Législation non européenne sur la protection des données.
2. Définitions et interprétation
2.1 Dans le présent Avenant relatif au traitement des données:
"Produit supplémentaire" désigne un produit, un service ou une application fournis par Jibe ou un tiers qui (a) ne fait pas partie des Services de sous-traitance et (b) sont accessibles pour être utilisés dans l'interface utilisateur des Services de sous-traitance ou intégrés à ces Services.
"Conditions supplémentaires liées à la législation non européenne sur la protection des données" désigne les conditions supplémentaires mentionnées à l'annexe 3, qui reflètent l'accord des parties sur les conditions régissant le traitement de certaines données dans le cadre de certaines législations non européennes.
"Pays approprié" désigne:
(a) pour les données traitées sujettes au RGPD de l'UE: l'EEE, ou un pays ou territoire reconnu comme assurant une protection des données adéquate en vertu du RGPD de l'UE
(b) pour les données traitées sujettes au RGPD du Royaume-Uni: le Royaume-Uni, ou un pays ou territoire reconnu comme assurant une protection des données adéquate en vertu du RGPD du Royaume-Uni et du Data Protection Act 2018 ; et/ou
(c) pour les données traitées sujettes à la LPD suisse: Suisse, ou à un pays ou territoire (i) inclus dans la liste des États dont la législation garantit un niveau de protection adéquat, tel que publié par le commissaire fédéral suisse à la protection et aux données des données, ou (ii) reconnu à un niveau approprié de protection des données par le Conseil fédéral suisse, dans le cadre de la protection des données, en tout cas,
"Solution de transfert alternative" désigne une solution, autre que les CCT, qui permet le transfert légal de données à caractère personnel vers un pays tiers conformément à la Législation européenne sur la protection des données, par exemple un cadre de protection des données reconnu comme s'assurant que les entités locales participantes offrent une protection adéquate.
"Incident relatif aux données" désigne une violation de la sécurité de Jibe entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données à caractère personnel du Partenaire sur des systèmes gérés ou contrôlés par Jibe. Les "incidents liés aux données" n'incluent pas les tentatives infructueuses ni les activités qui ne compromettent pas la sécurité des données à caractère personnel du partenaire, y compris les tentatives de connexion infructueuses, les pings, les analyses de port, les attaques par déni de service et d'autres attaques réseau sur les pare-feu ou les systèmes en réseau.
"Outil pour les personnes concernées" : outil (le cas échéant) mis à disposition par une Entité Jibe aux personnes concernées, qui permet à Jibe de répondre directement et de manière standard à certaines demandes des personnes concernées en lien avec les Données à caractère personnel du Partenaire (par exemple, paramètres de publicité en ligne ou plug-in de navigateur pour la désactivation).
"EEE" désigne l'Espace économique européen.
"RGPD de l'UE" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et de la libre circulation de ces données, abrogeant la directive 95/46/EC.
"Législation européenne sur la protection des données" désigne, selon le cas, (a) le RGPD et/ou (b) la LPD suisse.
« Lois européennes » désigne, selon le cas: (a) la législation de l'UE ou d'un État membre de l'UE (si le RGPD de l'UE s'applique au traitement des Données à caractère personnel du Partenaire) ; et/ou (b) la loi du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données à caractère personnel du Partenaire).
"RGPD" signifie, selon le cas, (a) le RGPD de l'UE et/ou (b) le RGPD du Royaume-Uni.
"Jibe" : l'Entité Jibe qui est partie à l'Accord.
"Jibe Entity" désigne Jibe Mobile, Inc, Jibe Mobile Limited ou toute autre entité qui contrôle directement ou indirectement Jibe Mobile, Inc., ou est sous contrôle commun avec elle.
"Certification ISO 27001" : certification ISO/CEI 27001:2013 ou une certification comparable pour les Services de sous-traitance.
"Nouveau Sous-traitant indirect" a la signification qui lui est donnée à la Section 11.1 (Consentement de l'engagement des Sous-traitants indirects).
"Législation non européenne sur la protection des données" : lois en vigueur en dehors de l'EEE, du Royaume-Uni et de la Suisse sur la protection des données.
"Adresse e-mail de notification" désigne l'adresse e-mail (le cas échéant): (i) fournie par le Partenaire à Jibe ou (ii) indiquée par le Partenaire via l'interface utilisateur des Services de sous-traitance ou par tout autre moyen fourni par Jibe, pour recevoir certaines notifications de Jibe concernant le présent Avenant relatif au traitement des données. Par souci de clarté, il appartient au Partenaire de lui fournir une Adresse e-mail de notification et d'informer Jibe des mises à jour apportées à cette Adresse e-mail.
"Données à caractère personnel du Partenaire" désigne les données à caractère personnel traitées par Jibe au nom du Partenaire dans le cadre de la fourniture des Services de sous-traitance par Jibe.
"CCT partenaires" désigne les CCT (Responsable du traitement-Sous-traitant), les CCT (Sous-traitant-Responsable du traitement) et/ou les CCT (Sous-traitant-Sous-traitant), selon le cas.
"Services de sous-traitance" désigne les services de messagerie d'entreprise RCS (tels que décrits à l'adresse developers.google.com/business-communications/rcs-business-messaging).
"CCT" désigne les CCT du Partenaire et/ou les CCT du Sous-traitant-traitant (Jibe Export), selon le cas.
"SCC (Controller-to-Processor)" (Clauses contractuelles types du Responsable du traitement-Responsable du traitement) désigne les conditions disponibles à l'adresse business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"SCC (Processor-to-Controller)" (Clauses contractuelles types du Responsable du traitement) désigne les conditions disponibles à l'adresse business.safety.google/gdprprocessorterms/sccs/p2c.
« SCCs (Processor-to-Processor) » désigne les conditions énoncées à business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"SCC (Processor-to-Processor, Jibe Export)" désigne des conditions disponibles à l'adresse business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
"Documentation de sécurité" désigne la certification ISO 27001, ainsi que toute autre certification ou documentation de sécurité que Jibe peut mettre à disposition dans le cadre des Services de sous-traitance.
"Mesures de sécurité" a la signification donnée par la Section 7.1.1 (Mesures de sécurité de Jibe).
"Sous-traitants indirects" désigne les tiers autorisés en vertu du présent Avenant pour le traitement des données à avoir un accès logique aux Données à caractère personnel du Partenaire et à les traiter afin de fournir une partie des Services de sous-traitance et de toute assistance technique associée.
"Autorité de contrôle" désigne, le cas échéant: (a) une "autorité de contrôle" telle que définie dans le RGPD de l'UE ; et/ou (b) le "Commissaire" tel que défini dans le RGPD du Royaume-Uni et/ou dans la LPD suisse.
"LPD suisse" désigne la loi fédérale (suisse) sur la protection des données du 19 juin 1992.
"Durée" désigne la période comprise entre la Date d'entrée en vigueur des Conditions et la fin de la fourniture par Jibe des Services de sous-traitance en vertu du Contrat.
"Date d'entrée en vigueur des Conditions" : date d'entrée en vigueur du Contrat.
"RGPD du Royaume-Uni" désigne le RGPD de l'UE tel qu'amendé et incorporé dans la législation du Royaume-Uni en vertu de la loi sur les retraits de 2018 dans l'Union européenne, ainsi que toute loi secondaire applicable en vertu de cette loi.
2.2 Les termes "responsable du traitement", "personne concernée", "données à caractère personnel", "traitement" et "sous-traitant" utilisés dans le présent Avenant relatif au traitement des données ont la signification indiquée dans le RGPD, et les termes "importateur de données" et "exportateur de données" ont la signification donnée dans les clauses contractuelles types applicables.
2.3 Les termes inclure et y compris signifient "y compris, mais sans s'y limiter". Les exemples présentés dans le présent Avenant relatif au traitement des données ne sont donnés qu'à titre illustratif et ne constituent pas les seuls exemples d'un concept donné.
2.4 Toute référence à un cadre juridique, une loi ou un autre texte législatif est une référence à sa version en vigueur, susceptible de faire l'objet de modifications de temps en temps.
2.5 En cas de divergences entre la traduction du présent Avenant relatif au traitement des données et la version originale en anglais, la version en anglais prévaudra.
3. Durée du présent Avenant relatif au traitement des données
Le présent Avenant relatif au traitement des données prendra effet à la Date d'entrée en vigueur des Conditions et, quelle que soit sa date d'expiration, restera en vigueur jusqu'à ce que Jibe supprime toutes les Données à caractère personnel du Partenaire, comme décrit dans le présent Avenant.
4. Application du présent Avenant relatif au traitement des données
4.1 Application de la Législation européenne sur la protection des données. Les Sections 5 (Traitement des données) à
(a) le traitement s'effectue dans le contexte des activités d'un Partenaire d'un pays de l'EEE ou du Royaume-Uni ; et/ou
(b) Les Données à caractère personnel du Partenaire sont des données à caractère personnel en lien avec des personnes concernées qui se trouvent dans l'EEE ou au Royaume-Uni et dont le traitement est lié à l'offre de produits ou services à ces personnes, ou à la surveillance de leur comportement dans l'EEE ou au Royaume-Uni.
4.2 Application aux Services de sous-traitance. Cet Avenant ne s'appliquera qu'aux Services de sous-traitance auxquels les parties ont accepté ledit Avenant (par exemple: (a) les Services du sous-traitant pour lesquels le Partenaire a cliqué pour accepter le présent Avenant, ou (b) si l'Accord contient, par référence, l'Avenant relatif au traitement des données faisant l'objet de l'Accord.
4.3 Intégrer des Conditions supplémentaires liées à la législation non européenne sur la protection des données Les Conditions supplémentaires liées à la législation non européenne sur la protection des données complètent le présent Avenant relatif au traitement des données.
5. Traitement des données
5.1 Rôles et conformité réglementaire ; Autorisation.
5.1.1 Responsabilités du sous-traitant et du responsable du traitement. Les parties reconnaissent et acceptent ce qui suit:
(a) L'annexe 1 décrit l'objet et les détails du traitement des Données à caractère personnel du Partenaire.
(b) Jibe est sous-traitant des Données à caractère personnel du Partenaire en vertu de la Législation européenne sur la protection des données.
(c) Le Partenaire est responsable du traitement ou sous-traitant, selon le cas, des Données à caractère personnel du Partenaire en vertu de la Législation européenne sur la protection des données.
(d) Chaque partie respectera les obligations applicables en vertu de la Législation européenne sur la protection des données pour le traitement des Données à caractère personnel du Partenaire.
5.1.2 Partenaires du sous-traitant. Si le partenaire est un sous-traitant:
(a) Le Partenaire garantit de façon continue que le responsable du traitement concerné a autorisé (i) les instructions, (ii) la nomination par le Partenaire de Jibe en tant qu'autre sous-traitant et (iii) l'engagement des Sous-traitants indirects par Jibe, comme décrit à la Section 11 (Sous-traitants indirects) ;
(b) Le Partenaire transmet immédiatement au responsable du traitement concerné tout avis fourni par Jibe en vertu des Sections 5.4 (Notifications relatives aux instructions), 7.2.1 (Notification en cas d'incident), 11.4 (Possibilité de s'opposer à un changement de Sous-traitant indirect) ou en référence à des Clauses contractuelles types.
(c) Le Partenaire peut mettre à la disposition du Responsable du traitement toute information mise à disposition par Jibe en vertu des Sections 7.4 (Certification de sécurité), 10.5 (Informations du Centre de données) et 11.2 (Informations sur les Sous-traitants indirects).
5.2 Instructions pour le Partenaire. En concluant le présent Avenant relatif au traitement des données, le Partenaire indique à Jibe de traiter les Données à caractère personnel du Partenaire uniquement conformément à la loi applicable: (a) pour fournir les Services de sous-traitance et toute assistance technique associée ; (b) spécifié plus en détail par l'utilisation par le Partenaire des Services de sous-traitance (y compris dans les paramètres et autres fonctions des Services de traitement) et par tout support technique associé ; (c) conformément aux instructions
5.3 Conformité de Jibe avec les instructions. Jibe respectera les instructions, sauf si la législation européenne l'interdit.
5.4 Notifications d'instructions. Jibe informera immédiatement le Partenaire si, à son avis: (a) les lois européennes interdisent à Jibe de se conformer à une Instruction ; (b) une instruction ne respecte pas la Législation européenne sur la protection des données ; ou (c) Jibe ne peut pas se conformer à une Instruction dans chaque cas, sauf si une telle notification est interdite par la législation européenne. La présente Section 5.4 (Notifications d'instructions) ne réduit pas les droits et obligations d'aucune des parties dans le présent Contrat.
5.5 Produits complémentaires. Si le Partenaire utilise un Produit supplémentaire, les Services de sous-traitance peuvent permettre à ce Produit supplémentaire d'accéder aux Données à caractère personnel du Partenaire dans le cadre de l'interopérabilité du Produit supplémentaire avec les Services de sous-traitance. Si nécessaire, les parties concluent des conditions distinctes relatives au traitement des données afin de traiter la manière dont le Produit supplémentaire traitera les Données à caractère personnel du Partenaire.
6. Suppression des données
6.1 Suppression pendant la durée.
6.1.1 Services de sous-traitance avec fonctionnalité de suppression. Pendant la Période de validité, si:
(a) la fonctionnalité des Services de sous-traitance permet au Partenaire de supprimer ses Données à caractère personnel du Partenaire.
(b) Le Partenaire utilise les Services du sous-traitant pour supprimer certaines Données à caractère personnel du Partenaire.
(c) les Données personnelles du Partenaire supprimées ne peuvent pas être récupérées par le Partenaire (par exemple, dans la "Corbeille"), puis Jibe supprime ces Données de ses systèmes dès que raisonnablement possible, sauf si la Législation européenne exige le stockage.
6.1.2 Services de sous-traitance sans fonctionnalité de suppression. Pendant la Période de validité, si la fonctionnalité des Services du sous-traitant ne permet pas au Partenaire de supprimer les Données à caractère personnel du Partenaire, alors Jibe se conformera à toute demande raisonnable du Partenaire visant à faciliter une telle suppression, dans la mesure où cela est possible compte tenu de la nature et du fonctionnement des Services de sous-traitance, et sauf si la Législation européenne exige le stockage. Jibe peut facturer des frais (basés sur les coûts raisonnables de Jibe) pour toute suppression de données en vertu de la présente Section 6.1.2 (Services de sous-traitance sans fonctionnalité de suppression). Jibe fournira au Partenaire des informations supplémentaires sur les frais applicables et la base de leur calcul avant la suppression des données.
6.2 Suppression lorsque le terme expire. Lorsque la Durée de validité expire, le Partenaire demande à Jibe de supprimer toutes les Données à caractère personnel du Partenaire (y compris les copies existantes) des systèmes de Jibe conformément à la loi applicable. Jibe respectera ces instructions dès que raisonnablement possible, sauf si la législation européenne exige le stockage.
7. Sécurité des données
7.1 Mesures et assistance de sécurité de Jibe.
7.1.1 Mesures de sécurité de Jibe. Jibe s'engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles pour protéger les Données à caractère personnel du Partenaire contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés ou illégaux, comme décrit dans l'Annexe 2 (les Mesures de sécurité). Comme décrit à l'annexe 2, les Mesures de sécurité incluent des mesures: (a) pour chiffrer les données à caractère personnel ; (b) permettre d'assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services de Jibe ; (c) permettre de rétablir rapidement l'accès aux données à caractère personnel à la suite d'un incident ; et (d) tester régulièrement leur efficacité. Jibe peut mettre à jour ou modifier les Mesures de sécurité de temps en temps, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.
7.1.2 Accès et conformité. Jibe (a) autorisera ses employés, ses sous-traitants et ses Sous-traitants indirects à accéder aux Données à caractère personnel du Partenaire uniquement dans le strict respect des Instructions ; (b) prendre les mesures appropriées pour garantir le respect des Mesures de sécurité par ses employés, ses prestataires et ses Sous-traitants indirects dans la limite de son champ d'application ; et (c) s'assurer que toutes les personnes autorisées à traiter les Données à caractère personnel du Partenaire se sont engagées à respecter la confidentialité ou
7.1.3 Assistance de Jibe. Compte tenu de la nature du traitement des Données à caractère personnel du Partenaire et des informations disponibles pour Jibe, Jibe aidera le Partenaire à s'assurer qu'il respecte ses obligations (ou, lorsque le Partenaire est un sous-traitant, les obligations du responsable du traitement concerné) concernant la sécurité des données à caractère personnel et les violations de données à caractère personnel, y compris les obligations du Responsable du traitement applicables en vertu du RGPD, les articles 32 au 34
(a) implémenter et maintenir les Mesures de sécurité conformément à la Section 7.1.1 (Mesures de sécurité de Jibe) ;
(b) respecter les conditions de la Section 7.2 (Incidents relatifs aux données) ; et
(c) fournir au Partenaire la documentation sur la sécurité conformément à la Section 7.5.1 (Examen de la Documentation sur la sécurité) et les informations contenues dans le présent Avenant relatif au traitement des données.
7.2 Incidents relatifs aux données.
7.2.1 Notification d'incident. Si Jibe prend connaissance d'un Incident relatif aux données, il devra: (a) informer rapidement et sans délai le Partenaire de l'Incident relatif aux données, et (b) prendre rapidement des mesures raisonnables afin de réduire les dommages et de sécuriser les Données à caractère personnel du Partenaire.
7.2.2 Détails de l'Incident relatif aux données. Les notifications effectuées en vertu de la section 7.2.1 (Notification d'incident) décrivent: la nature de l'Incident relatif aux données, y compris les ressources du Partenaire concernées ; les mesures que Jibe a prises, ou prévoit de prendre, pour gérer l'Incident relatif aux données et réduire son risque potentiel ; les mesures, le cas échéant, que le Jibe recommande au Partenaire de prendre pour gérer l'Incident relatif aux données ; et les détails du point de contact qui pourrait être obtenu. S'il est impossible de fournir toutes ces informations en même temps, la notification initiale de Jibe contient les informations alors disponibles et d'autres informations vous seront fournies dans les meilleurs délais dès qu'elles seront disponibles.
7.2.3 Envoi de la notification. Jibe transmettra toute notification d'Incident relatif aux données à l'Adresse e-mail de notification ou, à la discrétion de Jibe (y compris si le Partenaire n'a pas fourni d'Adresse e-mail de notification) par le biais d'autres communications directes (par téléphone ou lors d'un rendez-vous en personne, par exemple). Il revient au Partenaire de fournir l'Adresse e-mail de notification et de s'assurer qu'elle est à jour et valide.
7.2.4 Notifications tierces. Le Partenaire est seul responsable du respect des lois applicables en matière de notification d'incidents et s'engage à remplir toute obligation de notification tierce concernant tout Incident relatif aux données.
7.2.5 Confirmation de la défaillance par Jibe. La notification de Jibe ou la réponse à un Incident sur les données en vertu de la présente Section 7.2 (Incidents relatifs aux données) ne saurait être interprétée comme une reconnaissance par Jibe d'une faute ou d'une responsabilité concernant l'Incident relatif aux données.
7.3 Responsabilités et évaluation de la sécurité par le Partenaire.
7.3.1 Responsabilités du Partenaire en matière de sécurité. Le Partenaire accepte que, sans préjudice des obligations de Jibe en vertu des Sections 7.1 (Mesures et assistance de sécurité de Jibe) et 7.2 (Incidents relatifs aux données):
(a) Le Partenaire est responsable de son utilisation des Services de sous-traitance, y compris:
(i) utiliser de manière appropriée les Services de sous-traitance pour garantir un niveau de sécurité adapté au risque encouru par les Données à caractère personnel du Partenaire ; et
(ii) de sécuriser les identifiants d'authentification du compte, les systèmes et les appareils que le Partenaire utilise pour accéder aux Services de sous-traitance ; et
(b) Jibe n'a aucune obligation de protéger les Données à caractère personnel du Partenaire que le Partenaire choisit de stocker ou de transférer en dehors des systèmes de Jibe et de ses Sous-traitants indirects.
7.3.2 Évaluation de la sécurité par le Partenaire. Le Partenaire reconnaît que les Mesures de sécurité mises en œuvre et gérées par Jibe comme décrit à la Section 7.1.1 (Les Mesures de sécurité de Jibe) offrent un niveau de sécurité adapté au risque encouru par les Données à caractère personnel du Partenaire, compte tenu de la nature, du champ d'application, du contexte et des finalités du traitement des Données à caractère personnel du Partenaire, de l'état de l'art, des coûts d'implémentation et des risques encourus par les individus.
7.4 Certification de sécurité. Afin d'évaluer et de garantir l'efficacité continue des mesures de sécurité, Jibe maintient la certification ISO 27001 ou d'autres mesures appropriées afin de prouver l'efficacité des mesures de sécurité.
7.5 Examens et audits de conformité.
7.5.1 Examen de la Documentation sur la sécurité. Pour prouver que Jibe respecte ses obligations en vertu du présent Avenant relatif au traitement des données, Jibe met à disposition la documentation sur la sécurité pour examen.
7.5.2 Droits d'audit du Partenaire.
(a) Jibe permettra au Partenaire ou à un auditeur tiers désigné par celui-ci d'effectuer des audits (inspections comprises) pour vérifier la conformité de Jibe à ses obligations en vertu du présent Avenant relatif au traitement des données, conformément à la Section 7.5.3 (Conditions commerciales supplémentaires pour les audits). Lors des audits, Jibe met à disposition toutes les informations nécessaires pour démontrer la conformité et contribue aux audits, comme décrit dans les sections 7.4 (Certification de sécurité) et 7.5 (Examens et audits de conformité).
(b) Si les Clauses contractuelles types s'appliquent en vertu de la Section 10.2 (Transferts limités en Europe), Jibe permettra au Partenaire (ou à un vérificateur tiers désigné par le Partenaire) d'effectuer des audits comme décrit dans les CCT applicables et, lors de ces audits, de rendre toutes les informations requises par ces CCT, chacune conformément à la Section 7.5.3 (Conditions commerciales supplémentaires pour les audits).
(c) Le Partenaire peut également effectuer un audit pour vérifier la conformité de Jibe à ses obligations en vertu du présent Avenant relatif au traitement des données en examinant un ou plusieurs certificats émis par Jibe par un vérificateur tiers (par exemple, une certification ISO 27001, le cas échéant).
7.5.3 Conditions commerciales supplémentaires pour les audits.
(a) Le Partenaire enverra toute demande d'audit aux Sections 7.5.2(a) ou 7.5.2(b) à Jibe comme décrit à la Section 12.1 (Contacter Jibe).
(b) Après la réception par Jibe d'une demande en vertu de la Section 7.5.3(a), Jibe et le Partenaire doivent discuter et accepter à l'avance la date de début, la portée et la durée raisonnables des contrôles de sécurité et de confidentialité applicables à tout audit prévu par la Section 7.5.2(a) ou 7.5.2(b).
(c) Jibe peut facturer des frais (en fonction des coûts raisonnables de Jibe) pour tout audit en vertu de la Section 7.5.2(a) ou 7.5.2(b). Jibe fournit au Partenaire des informations supplémentaires sur les frais applicables et la base de leur calcul avant tout audit. Le Partenaire est responsable des frais facturés par tout vérificateur tiers désigné par le Partenaire pour réaliser un tel audit.
(d) Jib peut s'opposer à l'auditeur tiers désigné par le Partenaire d'effectuer un audit conformément à la Section 7.5.2(a) ou 7.5.2(b) si l'auditeur, selon l'avis raisonnable de Jibe, n'est pas suffisamment qualifié ou indépendant, est un concurrent de Jibe ou manifestement inapproprié. Dans le cas d'une telle objection émise par Jibe, le Partenaire doit désigner un autre vérificateur ou réaliser l'audit lui-même.
(e) Aucune disposition du présent Avenant relatif au traitement des données n'impose à Jibe de divulguer au Partenaire ou à son vérificateur tiers, ou d'autoriser le Partenaire ou son vérificateur tiers à y accéder:
(i) toute donnée de tout autre partenaire ou client d'une Entité Jibe
(ii) Les informations financières ou comptables internes de l'Entité Jibe
(iii) Tout secret commercial d'une Entité Jibe
(iv) toute information qui, selon l'avis raisonnable de Jibe, pourrait: (A) compromettre la sécurité des systèmes ou locaux de l'Entité Jibe ; ou (B) causer la violation par une Entité Jibe de ses obligations en vertu de la Législation européenne sur la protection des données ou de ses obligations en matière de sécurité et/ou de confidentialité envers le Partenaire ou un tiers ; ou
(v) toute information à laquelle le Partenaire ou son vérificateur tiers cherche à accéder pour une raison autre que la réalisation en toute bonne foi des obligations du Partenaire en vertu de la Législation européenne sur la protection des données.
8. Évaluations d'impact et consultations
Compte tenu de la nature du traitement et des informations disponibles pour Jibe, Jibe aide le Partenaire à se conformer aux obligations qui lui incombent en ce qui concerne l'analyse de l'impact de la protection des données et la consultation antérieure, y compris, le cas échéant, les obligations du Partenaire ou du responsable du traitement concerné en vertu des articles 35 et 36 du RGPD.
(a) fournir la Documentation de sécurité conformément à la Section 7.5.1 (Examen de la Documentation sur la sécurité) ;
(b) fournir les informations contenues dans le présent Avenant relatif au traitement des données
(c) fournir ou mettre à disposition, d'une manière ou d'une autre, conformément aux pratiques standards de Jibe, d'autres documents concernant la nature des Services de sous-traitance et le traitement des Données à caractère personnel du Partenaire (par exemple, les supports du centre d'aide).
9. Droits de la personne concernée
9.1 Réponses aux Demandes des personnes concernées. Si Jibe reçoit une requête d'une personne concernée en lien avec les Données à caractère personnel du Partenaire, le Partenaire autorise Jibe à informer Jibe qu'il:
(a) répondre directement à la demande de la personne concernée conformément à la fonctionnalité standard de l'Outil pour les personnes concernées (si la demande est effectuée à l'aide d'un tel outil) ; ou
(b) conseiller à la personne concernée d'envoyer sa demande au Partenaire, qui sera tenu de répondre à cette demande (si celle-ci n'est pas effectuée via un Outil destiné aux personnes concernées).
9.2 Assistance de Jibe pour les demandes des personnes concernées. Jibe aidera le Partenaire (ou, si le Partenaire est un sous-traitant, le responsable du traitement concerné) à remplir ses obligations en vertu du RGPD à répondre aux demandes d'exercice des droits de la personne concernée, dans tous les cas, compte tenu de la nature du traitement des Données à caractère personnel du Partenaire et, le cas échéant, de l'article 11 du RGPD, y compris (le cas échéant):
(a) fournir les fonctionnalités des Services de sous-traitance
(b) respecter les engagements présentés à la Section 9.1 (Réponses aux Demandes des personnes concernées) ; et
(c) le cas échéant, fournir les Outils pour les personnes concernées.
9.3 Rectification. Si le Partenaire constate que des Données à caractère personnel du Partenaire sont inexactes ou obsolètes, il sera responsable de corriger ou de supprimer ces données si la Législation européenne sur la protection des données l'exige, y compris (si disponible) en utilisant la fonctionnalité des Services de sous-traitance.
10. Transferts de données
10.1 Stockage des données et installations de traitement. Sous réserve du reste de cette Section 10 (Transferts de données), Jibe peut traiter les Données à caractère personnel du Partenaire dans tout pays dans lequel Jibe ou l'un de ses Sous-traitants indirects dispose d'installations.
10.2 Transferts limités en Europe. Les parties reconnaissent que la Législation européenne sur la protection des données n'exige pas les CCT ni une Solution de transfert alternative pour traiter les Données à caractère personnel du Partenaire dans un pays approprié.
Si les Données à caractère personnel du Partenaire sont transférées vers un autre pays et que la Législation européenne sur la protection des données s'applique à ces transferts ("Transfert européen limité"), procédez comme suit:
(a) si Jibe adopte une Solution de transfert alternative pour les Transferts limités en Europe, Jibe informera le Partenaire de la solution appropriée et s'assurera que ces Transferts limités en Europe sont effectués conformément à cette solution ; et/ou
(b) si Jibe n'a pas adopté le Partenaire ou a informé son Partenaire que celui-ci n'adopte plus de Solution de transfert alternative pour les Transferts limités en Europe, alors:
(i) si l'adresse de Jibe se trouve dans un Pays approprié:
(A) les CCT (sous-traitant-sous-traitant, Jibe Exportateur) s'appliqueront aux Transferts limités en Europe de Jibe aux Sous-traitants indirects ; et
(B) en outre, si l'adresse du Partenaire n'est pas située dans un Pays approprié, les Clauses contractuelles types (sous-traitant-responsable du traitement) s'appliquent en ce qui concerne les Transferts limités en Europe entre Jibe et le Partenaire (que le Partenaire soit responsable ou sous-traitant) ; ou
(ii) si l'adresse de Jibe n'est pas un pays approprié:
les CCT (Responsable du traitement au Sous-traitant) et/ou les Clauses contractuelles types (le Sous-traitant et le Sous-traitant) s'appliquent (selon que le Partenaire est un responsable du traitement et/ou un sous-traitant) en ce qui concerne les Transferts limités en Europe entre le Partenaire et Jibe ; et
(c) les références à Google LLC ou à Google, et à Vous dans les Clauses contractuelles types, seront respectivement désignées par Jibe et le Partenaire.
10.3 Mesures et informations complémentaires. Jibe fournira au Partenaire des informations concernant les Transferts limités en Europe, y compris des informations sur les mesures supplémentaires visant à protéger les Données à caractère personnel du Partenaire, comme décrit à la Section 7.5.1 (Examen de la documentation sur la sécurité), l'Annexe 2 (Mesures de sécurité) et d'autres documents concernant la nature des Services de sous-traitance et le traitement des Données à caractère personnel du Partenaire (par exemple, les articles du centre d'aide).
10.4 Résiliation. Si le Partenaire conclut, d'après son utilisation actuelle ou prévue des Services de sous-traitance, que la Solution de transfert alternative et/ou les CCC, le cas échéant, ne fournissent pas les garanties appropriées pour les Données à caractère personnel du Partenaire, il peut immédiatement résilier le Contrat pour commodité en notifiant par écrit Jibe.
10.5 Informations sur les centres de données. Pour en savoir plus sur les emplacements des centres de données Google LLC, consultez www.google.com/about/datacenters/locations/index.html.
PCI 11. Sous-traitants indirects
11.1 Consentement de l'engagement des Sous-traitants indirects. Le Partenaire autorise spécifiquement l'engagement des Sous-traitants indirects indiqués à la Section 11.2 (Informations sur les Sous-traitants indirects) à la Date d'entrée en vigueur des Conditions. De plus, le Partenaire autorise généralement l'engagement de tout autre tiers en tant que Sous-traitants indirects ("Nouveaux Sous-traitants indirects"), sous réserve de la Section 11.4 (Possibilité de s'opposer aux modifications des Sous-traitants indirects).
11.2 Informations sur les Sous-traitants indirects. À la demande écrite du Partenaire, Jibe fournira des informations sur les Sous-traitants indirects et leur emplacement. Toute demande de ce type doit être envoyée à Jibe via les coordonnées définies dans la section 12.1 (Contacter Jibe).
11.3 Conditions requises pour l'engagement de Sous-traitants indirects. Lorsqu'un Sous-traitant indirect interagit avec Jibe:
(a) s'assurer par un contrat écrit que:
(i) le Sous-traitant indirect n'accède et n'utilise les Données à caractère personnel du Partenaire que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées et ce, conformément au Contrat (y compris le présent Avenant relatif au traitement des données) ; et
(ii) si le traitement des Données à caractère personnel du Partenaire est soumis à la Législation européenne sur la protection des données, les obligations de protection des données du présent Avenant relatif au traitement des données (conformément à l'article 28(3) du RGPD, le cas échéant) sont imposées au Sous-traitant indirect ; et
(b) demeurent entièrement responsables de toutes les obligations sous-traitées au Sous-traitant indirect, et de tous les actes et omissions de ce dernier.
11.4 Possibilité de s'opposer à un changement de Sous-traitant indirect.
(a) Si un Nouveau Sous-traitant indirect est engagé pendant la Période de validité, au moins trente (30) jours avant que le Nouveau Sous-traitant indirect traite les Données à caractère personnel du Partenaire, Jibe informe le Partenaire de l'engagement (y compris le nom et l'emplacement du Sous-traitant indirect concerné et des activités qu'il effectuera) en envoyant un e-mail à l'Adresse de notification de l'Adresse e-mail.
(b) Le Partenaire peut s'opposer à l'utilisation d'un nouveau Sous-traitant indirect en résiliant le Contrat moyennant immédiatement un préavis écrit à Jibe, à condition que le Partenaire fournisse un tel préavis dans un délai de 90 jours après avoir été informé de l'engagement du Nouveau Sous-traitant indirect comme décrit dans la Section 11.4(a).
12. Contacter Jibe ; traitement des enregistrements
12.1 Contacter Jibe. Lors de l'exercice de ses droits en vertu du présent Avenant relatif au traitement des données, le Partenaire peut contacter Jibe via le contact de protection des données RCS de Jibe disponible à l'adresse issuetracker.google.com ou par tout autre moyen fourni par Jibe.
12.2 Dossiers de traitement de Jibe. Jibe conservera la documentation appropriée sur ses activités de traitement, conformément au RGPD. Le Partenaire reconnaît que Jibe est tenu, en vertu du RGPD: (a) de collecter et de conserver des dossiers de certaines informations, y compris: (i) le nom et les coordonnées de chaque sous-traitant et/ou responsable du traitement au nom duquel Jibe agit et, le cas échéant, le représentant de ce sous-traitant ou responsable du traitement et/ou responsable de la protection des données, et (ii) le cas échéant, en vertu des CCT pertinentes, de la coordination des partenaires Par conséquent, si le Partenaire l'exige, et si nécessaire, il doit fournir ces informations à Jibe via l'interface utilisateur des Services de sous-traitance ou par tout autre moyen fourni par Jibe, et utilisera cette interface ou d'autres moyens pour garantir que toutes les informations fournies sont exactes et à jour.
12.3 Demandes du Responsable du traitement. Si Jibe reçoit une demande ou un e-mail d'un tiers semblant être responsable du traitement des Données à caractère personnel du Partenaire, il conseille au tiers de contacter le Partenaire.
13. Responsabilité
Si le Contrat est régi par les lois:
(a) un État des États-Unis d'Amérique, quoi qu'il en soit, la responsabilité totale de l'une ou l'autre des parties dans le cadre du présent Avenant ou en lien avec celui-ci sera limitée au montant maximal, ou sur la base des paiements, auquel la responsabilité de cette partie sera plafonnée dans le cadre de l'Accord (et donc toute exclusion de réclamations de confidentialité ou d'indemnisation de la limitation de données en vertu de l'Accord) ou
(b) d'une juridiction qui n'est pas un État des États-Unis, la responsabilité totale combinée des parties et de leurs sociétés affiliées en vertu du présent Avenant relatif au traitement des données ou en lien avec celles-ci sera soumise à l'Accord.
14. Conséquences du présent Avenant relatif au traitement des données
14.1 Ordre de priorité. En cas de conflit ou d'incohérence entre les Clauses contractuelles types, les Conditions supplémentaires liées à la législation non européenne sur la protection des données, le présent Avenant relatif au traitement des données et le reste de l'Accord, l'ordre de priorité suivant s'appliquera:
(a) les CCT ;
(b) les Conditions supplémentaires liées à la législation non européenne sur la protection des données ;
(c) le reste du présent Avenant relatif au traitement des données ; et
(d) les autres dispositions du Contrat.
Sous réserve des modifications au présent Avenant relatif au traitement des données, l'Accord reste en vigueur.
14.2 Non-modification des CCT. Aucune disposition de l'Accord (y compris le présent Avenant relatif au traitement des données) n'a pour but de modifier ou de contredire les clauses contractuelles types, ni de réduire les droits ou libertés fondamentals des personnes concernées par la Législation européenne sur la protection des données.
14.3 Aucune incidence sur les Conditions du Responsable du traitement. Le présent Avenant relatif au traitement des données n'affectera pas les conditions distinctes de Jibe et du Partenaire reflétant une relation entre responsable du traitement et responsable du traitement pour un service autre que les Services de sous-traitance.
14.4 Anciennes Clauses contractuelles types au Royaume-Uni. À compter du 21 septembre 2022 ou de la date d'entrée en vigueur de l'Accord, selon la date la plus tardive, les conditions supplémentaires des CCT pour le transfert au RGPD du Royaume-Uni s'appliqueront, et remplaceront et mettront fin à toutes les clauses contractuelles types approuvées en vertu du RGPD du Royaume-Uni et de la loi sur la protection des données de 2018 et précédemment conclues par le partenaire et Jibe ("Anciennes Clauses contractuelles types). La présente Section 14.4 (Anciennes Clauses contractuelles types au Royaume-Uni) n'affectera pas les droits de l'une ou l'autre des parties ni les droits de la personne concernée qui auraient pu être acquis en vertu de ces mêmes CCT lorsqu'elles étaient en vigueur.
15. Modifications apportées au présent Avenant relatif au traitement des données
15.1 Modifications apportées aux URL. De temps en temps, Jibe peut modifier les URL mentionnées dans le présent Avenant relatif au traitement des données et dans son contenu, à l'exception de celles-ci, conformément aux Sections 15.2(b) à 15.2(d) (Modifications des Clauses contractuelles types de traitement des données), ou pour intégrer une nouvelle version des clauses de protection des données en vertu de la loi européenne de protection des données
15.2 Modifications de l'Avenant relatif au traitement des données. Jibe est susceptible de modifier le présent Avenant relatif au traitement des données si la modification:
(a) est expressément autorisée par le présent Avenant relatif au traitement des données, y compris comme décrit à la section 15.1 (Modifications des URL) ;
(b) reflète un changement de nom ou de forme d'une entité juridique.
(c) est requise pour se conformer au droit applicable, à la réglementation, à une ordonnance du tribunal, ou à une directive applicable émise par un organisme de réglementation ou une administration gouvernementale, ou si elle reflète l'adoption par Jibe d'une solution de transfert alternative ; ou
à la portée de tous les créateurs.
15.3 Notification des modifications. Si Jibe a l'intention de modifier le présent Avenant relatif au traitement des données en vertu de la Section 15.2(c) ou (d), Jibe en informera le Partenaire au moins 30 jours (ou toute autre période plus courte si nécessaire pour se conformer au droit applicable, à la réglementation applicable, à une ordonnance du tribunal ou à une directive émise par un organisme de réglementation ou une administration gouvernementale) avant que la modification ne prenne effet : (a) en envoyant un e-mail à l'Adresse e-mail ou au Partenaire Si le Partenaire s'oppose à une telle modification, le Partenaire peut résilier le Contrat pour raison de convenance en avertissant Jibe par écrit dans un délai de 90 jours de la réception de la notification de la modification par Jibe.
Annexe 1 : Objet et détails relatifs au traitement des données
Objet
La fourniture par Jibe des Services de sous-traitance et toute assistance technique associée au Partenaire.
Durée du traitement
La Période de validité et la période allant de la fin de la Période de validité à la suppression de toutes les Données à caractère personnel du Partenaire par Jibe conformément au présent Avenant relatif au traitement des données.
Nature et finalité du traitement
Jibe traitera les Données à caractère personnel du Partenaire, y compris (selon la nature des Services de sous-traitance et les Instructions) la collecte, l'enregistrement, l'organisation, le stockage, la modification, la récupération, l'utilisation, la divulgation, la combinaison, la suppression et la destruction des Données à caractère personnel du Partenaire dans le but de fournir les Services de sous-traitance et toute assistance technique associée au Partenaire conformément au présent Avenant relatif au traitement des données.
Types de données à caractère personnel
Données à caractère personnel relatives aux personnes fournies à Jibe via les Services de traitement, par le partenaire (ou à sa demande) ou par les utilisateurs finaux du Partenaire.
Catégories de personnes concernées
Les personnes concernées incluent les individus à propos desquels des données sont fournies à Jibe via les Services de sous-traitance par (ou à la demande de) ou par un Partenaire.
Annexe 2 : Mesures de sécurité
À compter de la Date d'entrée en vigueur des Conditions, Jibe implémentera et conservera les Mesures de sécurité de la présente Annexe 2. Jibe peut mettre à jour ou modifier de temps en temps lesdites Mesures de sécurité, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.
1. Centre de données et sécurité réseau
(a) Centres de données.
Infrastructure. Jibe gère des centres de données répartis dans différents endroits. Jibe stocke toutes les données de production dans des centres de données physiquement sécurisés.
Redondance. Les systèmes d'infrastructure ont été conçus pour éliminer les points de défaillance uniques et minimiser l'impact des risques environnementaux attendus. Les doubles circuits, commutateurs, réseaux ou autres appareils nécessaires permettent d'assurer cette redondance. Les services de sous-traitance sont conçus pour permettre à Jibe d'effectuer certains types de maintenance préventive et corrective sans interruption. Tous les équipements et installations environnementaux disposent de procédures de maintenance préventive documentées, qui détaillent le processus et la fréquence d'exécution en fonction des spécifications du fabricant ou des spécifications internes. La maintenance préventive et corrective des équipements des centres de données est planifiée via un processus standard basé sur des procédures documentées.
Alimentation. Les systèmes d'alimentation électrique des centres de données sont conçus pour être redondants et faciles à entretenir, sans impact sur les opérations continues, 24h/24 et 7j/7. Dans la plupart des cas, une source principale et une source d'alimentation secondaire, de capacité égale, sont fournies pour les composants d'infrastructure critiques du centre de données. La puissance de secours est assurée par divers mécanismes, tels que des batteries d'alimentation sans interruption (UPS), qui fournissent une protection fiable de l'énergie de manière fiable dans les cas de baisses de tension, de coupures de courant, de surtension, de sous-tension et de fréquences hors tolérance. En cas de panne d'alimentation, la puissance de secours est conçue pour fournir une puissance transitoire au centre de données, à pleine capacité, pendant une durée maximale de 10 minutes, jusqu'à ce que les systèmes du générateur de secours prennent le relais. Les générateurs démarrent automatiquement en quelques secondes pour fournir une alimentation électrique d'urgence suffisante pour alimenter le centre de données à pleine capacité, généralement pendant plusieurs jours.
Systèmes d'exploitation des serveurs. Les serveurs Jibe utilisent des systèmes d'exploitation renforcés personnalisés pour les besoins uniques des serveurs de l'entreprise. Les données sont stockées à l'aide d'algorithmes propriétaires afin d'améliorer leur sécurité et leur redondance. Jibe met en œuvre un processus de vérification du code afin d'améliorer la sécurité du code utilisé pour fournir les services de sous-traitance et améliorer les produits de sécurité dans les environnements de production.
Continuité des activités. Jibe réplique les données sur plusieurs systèmes pour éviter toute destruction ou perte accidentelles. Jibe conçoit et teste régulièrement ses programmes de planification de continuité d'activité/de reprise après sinistre.
Technologies de chiffrement. Les règles de sécurité de Jibe exigent le chiffrement au repos pour toutes les données utilisateur, y compris les données personnelles. Les données sont souvent chiffrées à plusieurs niveaux de la pile de stockage de production de Jibe dans les centres de données, y compris au niveau matériel, sans nécessiter aucune action de la part des partenaires ou des clients. L'utilisation de plusieurs couches de chiffrement offre une protection redondante des données et permet à Jibe de sélectionner l'approche optimale en fonction des exigences de l'application. Toutes les données à caractère personnel sont chiffrées au niveau du stockage et utilisent généralement l'algorithme AES256. Jibe utilise des bibliothèques cryptographiques courantes qui intègrent le module validé FIPS 140-2 de Jibe pour implémenter le chiffrement de manière cohérente dans les services de sous-traitance.
(b) Réseaux et transmission.
Transmission de données. Les centres de données sont généralement connectés via des liens privés à haut débit pour assurer un transfert de données rapide et sécurisé entre les centres de données. Cela est conçu pour empêcher la lecture, la copie, la modification ou la suppression sans les données pendant le transport électronique. Jibe transfère les données via des protocoles Internet standards.
Surface d'attaque externe. Jibe utilise plusieurs couches d'appareils réseau et une détection des intrusions pour protéger sa surface d'attaque externe. Jibe examine les vecteurs d'attaque potentiels et intègre des technologies appropriées dédiées aux systèmes externes.
Détection des intrusions. La détection des intrusions est destinée à fournir des informations sur les activités d'attaque en cours et sur la gestion des incidents. La détection des intrusions de Jibe implique les opérations suivantes:
Contrôle précis de la taille et de la composition de la surface d'attaque de Jibe via des mesures préventives
Mettre en place des contrôles de détection intelligents aux points d'entrée des données
Utiliser des technologies qui corrigent automatiquement certaines situations dangereuses
Gestion des incidents. Jibe surveille divers canaux de communication pour détecter les incidents de sécurité, et son personnel réagit rapidement aux incidents connus.
Technologies de chiffrement : Jibe rend le chiffrement HTTPS disponible (également appelé connexion TLS). Les serveurs Jibe sont compatibles avec l'échange de clés cryptographiques Diffie Hellman éphémère, basé sur les RSA et ECDSA. Ces méthodes de confidentialité persistante parfaite (PFS) permettent de protéger le trafic et de minimiser l'impact d'une clé dont la sécurité est compromise, ou d'une avancée cryptographique.
2. Contrôle des accès et des sites
(a) Commandes Site.
Opérations de sécurité sur site des centres de données. Les centres de données de Jibe gèrent les opérations de sécurité sur site de toutes les fonctions de sécurité des centres de données physiques, 24h/24 et 7j/7. Le personnel en charge des opérations de sécurité sur site surveille les caméras TV connectées et tous les systèmes d'alarme. Le personnel chargé des opérations de sécurité sur site effectue régulièrement des patrouilles internes et externes du centre de données.
Procédures d'accès aux centres de données. Jibe applique des procédures d'accès formelles pour permettre un accès physique aux centres de données. Les centres de données sont hébergés dans des installations nécessitant un accès par clé électronique, ainsi que des alarmes liées à l'opération de sécurité sur site. Tous les participants au centre de données doivent s'identifier et présenter une preuve d'identité aux opérations de sécurité sur site. Seuls les employés, les prestataires et les visiteurs autorisés peuvent entrer dans les centres de données. Seuls les employés et les prestataires autorisés peuvent demander une clé électronique pour accéder à ces installations. Les demandes d'accès par clé électronique à un centre de données doivent être faites par écrit et à l'avance, et doivent être approuvées par le personnel autorisé du centre de données. Tous les autres participants qui ont besoin d'un accès temporaire aux centres de données doivent: (i) obtenir à l'avance l'approbation de leurs responsables des centres de données et des zones internes qu'ils souhaitent visiter ; (ii) se connecter aux opérations de sécurité sur site ; et (iii) faire référence à un dossier d'accès approuvé pour identifier l'individu concerné.
Appareils de sécurité des centres de données sur site. Les centres de données de Jibe emploient une clé électronique de carte et un système de contrôle d'accès biométrique qui est associé à une alarme système. Le système de contrôle d'accès surveille et enregistre la clé électronique de la carte de chaque individu, ainsi que les accès aux portes de périmètre, aux livraisons et à la réception, ainsi qu'à d'autres domaines critiques. Les activités non autorisées et les tentatives d'accès infructueuses sont consignées par le système de contrôle des accès et font l'objet d'une enquête, le cas échéant. L'accès autorisé dans l'ensemble des opérations commerciales et des centres de données est limité en fonction des zones et des responsabilités professionnelles de la personne. Les portes coupe-feu du centre de données sont équipées d'alarmes. Les caméras de surveillance sont opérationnelles à l'intérieur et à l'extérieur des centres de données. Le positionnement des caméras a été conçu pour s'adapter aux zones stratégiques, telles que le périmètre, les portes du bâtiment du centre de données et les zones de livraison et de réception. Le personnel chargé des opérations de sécurité sur site gère l'équipement de surveillance, d'enregistrement et de contrôle des caméras de surveillance. Des câbles sécurisés sont installés dans tous les centres de données pour connecter l'équipement de vidéosurveillance. Les caméras enregistrent les images du site grâce à des enregistreurs vidéo numériques 24h/24, 7j/7. Les enregistrements de surveillance sont conservés pendant au moins sept jours en fonction de l'activité.
(b) Contrôle des accès.
Personnel de sécurité des infrastructures. Jibe a mis en place et maintient des règles de sécurité pour son personnel, et exige un entraînement de sécurité dans son package de formation. Le personnel de sécurité de l'infrastructure de Jibe est responsable de la surveillance continue de l'infrastructure de sécurité, de l'examen des services de sous-traitance et de la réponse aux incidents de sécurité.
Contrôle des accès et gestion des droits. Les administrateurs et les utilisateurs du partenaire doivent s'authentifier à l'aide d'un système d'authentification central ou d'un système d'authentification unique pour pouvoir utiliser les services de sous-traitance.
Processus et règles internes d'accès aux données – Règlement d'accès. Les processus et règles d'accès aux données internes de Jibe sont conçus pour empêcher les personnes et/ou les systèmes non autorisés à accéder aux systèmes utilisés pour traiter les données à caractère personnel. Jibe a pour objectif de concevoir ses systèmes de manière à: (i) autoriser uniquement les personnes autorisées à accéder aux données auxquelles elles sont autorisées à accéder ; et (ii) s'assurer que les données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après l'enregistrement. Les systèmes sont conçus pour détecter tout accès inapproprié. Jibe utilise un système centralisé de gestion des accès pour contrôler l'accès du personnel aux serveurs de production et ne fournit un accès qu'à un nombre limité de collaborateurs autorisés. LDAP, Kerberos et un système propriétaire utilisant des certificats numériques sont conçus pour fournir à Jibe des mécanismes d'accès sécurisés et flexibles. Ces mécanismes sont conçus pour n'accorder que les droits d'accès approuvés aux hôtes de sites, aux journaux, aux données et aux informations de configuration. Jibe nécessite l'utilisation d'ID utilisateur uniques, de mots de passe sécurisés, de l'authentification à deux facteurs et de listes d'accès surveillées avec précision, afin de réduire le risque d'utilisation non autorisée du compte. L'octroi ou la modification des droits d'accès sont basés sur les responsabilités professionnelles du personnel autorisé, les obligations de travail nécessaires pour effectuer les tâches autorisées et le besoin de connaître. L'attribution ou la modification des droits d'accès doivent également être conformes aux règles et à l'entraînement internes d'accès aux données de Jibe. Les approbations sont gérées par les outils de workflow qui conservent les enregistrements d'audit de toutes les modifications. L'accès aux systèmes est enregistré afin de créer une piste d'audit pour la responsabilité. Lorsque des mots de passe sont utilisés pour l'authentification (par exemple, pour la connexion aux stations de travail), des règles de mots de passe qui respectent au moins les pratiques standards de l'industrie. Ces normes incluent des restrictions sur la réutilisation des mots de passe et un niveau de sécurité suffisant.
3. Données
(a) Stockage, isolation et authentification des données.
Jibe stocke les données dans un environnement mutualisé sur des serveurs appartenant à Google LLC. Les données, la base de données des services de sous-traitance et l'architecture du système de fichiers sont répliquées entre plusieurs centres de données dispersés géographiquement. Jibe isole logiquement les données de chaque partenaire ou client. Un système d'authentification central est utilisé dans tous les services de sous-traitance pour renforcer la sécurité uniforme des données.
(b) Consignes relatives aux disques hors service et à la destruction des disques.
Certains disques contenant des données peuvent rencontrer des problèmes de performances, des erreurs ou des défaillances matérielles entraînant leur mise hors service ("Disque hors service"). Chaque disque hors service est soumis à une série de processus de destruction des données (consignes relatives à la destruction des données) avant de quitter les locaux de Jibe afin de les réutiliser ou de les détruire. Les disques hors service sont effacés selon un processus en plusieurs étapes et validés par au moins deux validateurs indépendants. Les résultats de l'effacement sont enregistrés par le numéro de série du disque hors service à des fins de suivi. Enfin, le disque hors service effacé est libéré dans l'inventaire afin de pouvoir être réutilisé et redéployé. Si, en raison d'une défaillance matérielle, le disque hors service ne peut pas être effacé, il est stocké de manière sécurisée jusqu'à sa destruction. Chaque installation fait l'objet d'un audit régulier pour surveiller le respect des consignes relatives à la destruction des données.
(c) Données pseudonymes.
Les données publicitaires en ligne sont généralement associées à des identifiants en ligne qui sont eux-mêmes considérés comme "pseudonymes" (autrement dit, elles ne peuvent pas être attribuées à un individu spécifique sans l'utilisation d'informations supplémentaires). Jibe a mis en place un ensemble de règles solides, ainsi que des contrôles techniques et organisationnels, pour assurer la séparation entre des données pseudonymes et des informations permettant d'identifier personnellement les utilisateurs (c'est-à-dire des informations pouvant être utilisées seules pour identifier, contacter ou localiser précisément un individu), comme ses données de compte Jibe. Les règles Jibe n'autorisent les flux d'informations entre des données pseudonymes et des données personnelles que dans des cas strictement limités.
(d) Lancer les Avis.
Jibe examine les nouveaux produits et fonctionnalités avant leur lancement. Cela inclut un examen de la confidentialité mené par des ingénieurs spécialisés dans ce domaine. Dans le cadre de l'examen de confidentialité, les ingénieurs chargés du respect de la confidentialité s'assurent que toutes les règles et consignes applicables à Jibe sont suivies, y compris, mais sans s'y limiter, celles concernant la pseudonymisation, ainsi que la conservation et la suppression des données.
4. Personnel de Google et sécurité des données
Le personnel de Jibe est tenu de se comporter de manière conforme aux consignes de l'entreprise en matière de confidentialité, d'éthique commerciale, d'utilisation appropriée et de normes professionnelles. Jibe effectue des vérifications raisonnables et appropriées des antécédents, dans la mesure autorisée par la loi et selon la réglementation locale en vigueur sur le travail.
Le personnel est tenu de signer un accord de confidentialité, et doit accepter les règles de confidentialité et de confidentialité de Jibe. Il reçoit aussi une formation à la sécurité. Le Personnel gérant les Données à caractère personnel du Partenaire est tenu de respecter des exigences supplémentaires adaptées à son rôle. Le personnel de Jibe ne traite pas les Données à caractère personnel du Partenaire sans autorisation.
5. Sous-traitants indirects et sécurité
Avant d'intégrer des Sous-traitants indirects, Jibe effectue un audit de leurs pratiques de sécurité et de confidentialité, afin de s'assurer que les Sous-traitants indirects offrent un niveau de sécurité et de confidentialité adapté à leur accès aux données et au champ d'application des services pour lesquels ils ont été engagés. Une fois que Jibe a évalué les risques présentés par le Sous-traitant indirect, celui-ci est tenu de conclure les conditions contractuelles appropriées en termes de sécurité, de confidentialité et de confidentialité, conformément aux exigences de la Section 11.3 (Conditions d'engagement du Sous-traitant indirect).
Annexe 3: Conditions supplémentaires liées à la législation non européenne sur la protection des données
Les Conditions supplémentaires suivantes liées à la législation non européenne sur la protection des données complètent cet Avenant relatif au traitement des données:
- Avenant à la loi LGPD destiné aux sous-traitants, sur le site business.safety.google/processorterms/lgpd (date du 27 août 2020)
- Avenant concernant la législation des États américains, en date du 12 décembre 2022 : business.safety.google/processorterms/us-state-laws
Les références à Google LLC ou Google dans l'Avenant à la loi LGPD destiné aux sous-traitants et à la loi des États américains seront destinées à Jibe.
Avenant relatif au traitement des données Jibe, version 4.0