Avenant relatif au traitement des données

Dernière modification: 2 novembre 2020

Jibe et la contrepartie qui accepte cet avenant (la "Entreprise") ont conclu un accord pour la fourniture des Services de sous-traitance (modifié de temps en temps, le "Contrat").

Cet Avenant relatif au traitement des données (y compris les annexes, "Avenant relatif au traitement des données") est conclu entre Jibe et la Société et complète le Contrat. Le présent Avenant relatif au traitement des données entrera en vigueur et remplacera toutes les conditions précédemment applicables relatives à son objet (y compris les conditions relatives au traitement des données et à la sécurité concernant les Services du Sous-traitant) à compter de la Date d'entrée en vigueur des Conditions.

Si vous acceptez le présent Avenant sur le traitement des données au nom de l'Entreprise, vous garantissez que: (a) vous disposez de la capacité juridique nécessaire pour engager l'Entreprise à respecter le présent Avenant sur le traitement des données ; (b) vous avez lu et compris le présent Avenant sur le traitement des données ; et (c) vous acceptez le présent Avenant sur le traitement des données au nom de l'Entreprise. Si vous ne disposez pas de la capacité juridique nécessaire pour engager l'Entreprise, veuillez ne pas accepter le présent Avenant sur le traitement des données.

1. Introduction

Le présent Avenant sur le traitement des données reflète l'accord des parties sur les conditions régissant le traitement et la sécurité des Données à caractère personnel de l'Entreprise en lien avec la Législation européenne sur la protection des données et certaines Législations non européennes en matière de protection des données.

2. Définitions et interprétation

2.1 Dans cet Avenant relatif au traitement des données:

Produit supplémentaire : produit, service ou application fourni par Jibe ou un tiers qui : (a) ne fait pas partie des Services de sous-traitance ; et (b) est accessible et utilisable dans l'interface utilisateur des Services de sous-traitance ou est intégré aux Services de sous-traitance.

"Conditions supplémentaires liées à la législation non européenne sur la protection des données" désigne les conditions supplémentaires mentionnées dans l'Annexe 3, qui reflètent l'accord des parties sur les conditions régissant le traitement de certaines données dans le cadre de certaines législations non européennes en matière de protection des données.

"Société affiliée" désigne une entité qui, directement ou indirectement, contrôle une des parties, est contrôlée par elle ou est sous contrôle commun avec elle.

Le terme Données à caractère personnel de l'entreprise désigne les données à caractère personnel traitées par Jibe pour le compte de l'entreprise dans le cadre de la fourniture des Services de sous-traitance par Jibe.

"Incident lié aux données" : violation de la sécurité de Jibe entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentels ou illégaux aux Données à caractère personnel de l'Entreprise sur des systèmes gérés ou contrôlés par Jibe. Les "Incidents liés aux données" n'incluent pas les tentatives infructueuses ni les activités ne mettant pas en jeu la sécurité des Données à caractère personnel de l'Entreprise, comme les tentatives de connexion non abouties, les pings, les analyses de port, les attaques par déni de service, ni les autres attaques de réseau touchant les pare-feu ou les systèmes en réseau.

"Législation sur la protection des données" désigne, le cas échéant: (a) la Législation européenne sur la protection des données et/ou (b) la Législation non européenne sur la protection des données.

"Outil mis à la disposition des personnes concernées" désigne un outil (le cas échéant) mis à la disposition des personnes concernées par une entité Jibe, qui permet à Jibe de répondre directement et de manière standardisée à certaines demandes de personnes concernées concernant les Données à caractère personnel de l'Entreprise (par exemple, un plug-in de navigateur permettant de désactiver les cookies).

"EEE" désigne l'Espace économique européen.

"RGPD de l'UE" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

"Législation européenne sur la protection des données" désigne, le cas échéant: (a) le RGPD ; et/ou (b) la Loi fédérale sur la protection des données du 19 juin 1992 (Suisse).

"Législation européenne ou nationale" signifie selon les cas: (a) législation de l'UE ou d'un des pays membres de l'UE (si le RGPD de l'UE s'applique au traitement des Données à caractère personnel de l'Entreprise) ; et/ou (b) législation du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données à caractère personnel de l'Entreprise).

"RGPD" désigne, selon le cas : (a) le RGPD de l'UE et/ou (b) le RGPD du Royaume-Uni.

"Jibe" désigne l'Entité Jibe qui est partie à l'Accord.

"Sous-traitants indirects affiliés à Jibe" : concept défini dans la Section 11.1 (Autorisation d'engagement de Sous-traitants indirects).

"Entité Jibe" : Jibe Mobile Inc., Jibe Mobile Limited ou toute autre Société affiliée de Jibe Mobile Inc.

Certification ISO 27001 : certification ISO/IEC 27001:2013 ou certification comparable pour les Services de traitement.

Législation non européenne sur la protection des données : législation sur la protection des données ou la confidentialité en vigueur en dehors de l'EEE, du Royaume-Uni et de la Suisse.

"Adresse e-mail de notification" désigne l'adresse e-mail (le cas échéant): (i) fournie par l'Entreprise à Jibe ou (ii) désignée par l'Entreprise, via l'interface utilisateur des Services du Traitement ou tout autre moyen fourni par Jibe, pour recevoir certaines notifications de Jibe concernant le présent Avenant sur le Traitement des Données. Pour plus de clarté, il incombe à l'Entreprise de fournir à Jibe une Adresse e-mail de notification et de l'informer de toute modification de cette adresse.

"Services de traitement" désigne les services RCS Business Messaging (tels que décrits sur la page https://developers.google.com/business-communications/rcs-business-messaging)

"Documentation de sécurité" désigne la certification ISO 27001 et toute autre certification ou documentation de sécurité que Jibe peut mettre à disposition en lien avec les Services de traitement.

"Mesures de sécurité" : concept défini dans la Section 7.1.1 (Mesures de sécurité de Jibe).

"Clauses contractuelles types" désigne les clauses contractuelles types de la Commission européenne disponibles à l'adresse https://privacy.google.com/businesses/gdprprocessorterms/sccs. Il s'agit de conditions standards de protection des données applicables au transfert de données à caractère personnel à des sous-traitants situés dans des pays tiers qui ne garantissent pas un niveau de protection des données adéquat, tel que décrit dans l'Article 46 du RGPD de l'UE.

Sous-traitants : tiers autorisés en vertu du présent Avenant sur le traitement des données à avoir un accès logique aux Données à caractère personnel de l'Entreprise et à les traiter afin de fournir une partie des Services de sous-traitance et toute assistance technique associée.

"Autorité de contrôle" désigne selon les cas: (a) une "autorité de contrôle" telle que définie dans le RGPD de l'UE ; et/ou (b) le "Commissaire" tel que défini dans le RGPD du Royaume-Uni.

Période de validité : période allant de la Date d'entrée en vigueur des Conditions jusqu'à la fin de la fourniture par Jibe des Services de sous-traitance en vertu de l'Accord.

"Date d'entrée en vigueur des Conditions" désigne la date d'entrée en vigueur du Contrat.

"Sous-traitants tiers" : concept défini dans la Section 11.1 (Autorisation d'engagement de Sous-traitants indirects).

"RGPD du Royaume-Uni" désigne le RGPD de l'UE tel qu'amendé et incorporé dans la législation du Royaume-Uni en application du European Union (Withdrawal) Act 2018, si celui-ci est en vigueur.

2.2 Les termes "responsable du traitement", "personne concernée", "données à caractère personnel", "traitement" et "sous-traitant" utilisés dans le présent Avenant sur le traitement des données ont la signification donnée dans le RGPD, et les termes "importateur de données" et "exportateur de données" ont la signification donnée dans les Clauses contractuelles types.

2.3 Les termes "y compris", "inclure" ou toute autre expression similaire seront interprétés à titre illustratif et ne limiteront pas le sens des mots les précédant. Les exemples utilisés dans cet Avenant relatif au traitement des données ne sont donnés qu'à titre illustratif et ne constituent pas les seuls exemples d'un concept donné.

2.4 Toute référence à un cadre juridique, une loi ou un autre texte législatif est une référence à sa version en vigueur, susceptible de faire l'objet de modifications de temps en temps.

2.5 Si les présentes Conditions de traitement des données sont traduites dans une autre langue, et qu'il existe une divergence entre la version anglaise et la version traduite, la version anglaise prévaudra.

3. Durée de cet avenant sur le traitement des données

Cet Avenant relatif au traitement des données s'appliquera à compter de la Date d'entrée en vigueur des Conditions et, que la Période de validité soit arrivée à expiration ou non, restera en vigueur jusqu'à la suppression de toutes les Données à caractère personnel de l'Entreprise par Jibe, et expirera automatiquement à cette date, comme décrit dans cet Avenant relatif au traitement des données.

4. Application de cet avenant relatif au traitement des données

4.1 Application de la législation européenne sur la protection des données. Les sections 5 (Traitement des données) à 12 (Contacter Jibe ; Traiter les enregistrements) (inclusives) ne s'appliqueront que dans la mesure où la Législation européenne sur la protection des données s'applique au traitement des Données à caractère personnel de l'Entreprise, y compris si:

(a) le traitement des données s'effectue dans le cadre des activités d'un établissement de la Société dans l'EEE ou au Royaume-Uni ; et/ou

(b) Les Données à caractère personnel de l'Entreprise sont des données à caractère personnel en lien avec des personnes concernées qui se trouvent dans l'EEE ou au Royaume-Uni, et le traitement concerne la fourniture de biens ou de services à ces personnes concernées ou la surveillance de leur comportement dans l'EEE ou au Royaume-Uni.

4.2 Application aux services des sous-traitants. Cet Avenant relatif au traitement des données ne s'applique qu'aux Services du Sous-traitant pour lesquels les parties ont accepté cet Avenant relatif au traitement des données (par exemple: (a) les Services du Sous-traitant pour lesquels l'Entreprise a cliqué pour accepter cet Avenant relatif au traitement des données ; ou (b) si le Contrat intègre cet Avenant relatif au traitement des données par référence, les Services du Sous-traitant qui font l'objet du Contrat).

4.3 Incorporation des conditions supplémentaires liées à la législation non européenne en matière de protection des données Les Conditions supplémentaires liées à la législation non européenne sur la protection des données s'ajoutent aux présentes Conditions relatives au traitement des données.

5. Traitement des données

5.1 Rôles et conformité vis-à-vis des réglementations ; Autorisation.

5.1.1 Responsabilités du sous-traitant et du responsable du traitement. Les parties reconnaissent et conviennent de ce qui suit:

(a) L'Annexe 1 décrit l'objet et les détails du traitement des Données à caractère personnel de l'Entreprise.

(b) Jibe est un sous-traitant des Données à caractère personnel de l'Entreprise en vertu de la Législation européenne sur la protection des données.

(c) La Société est un responsable du traitement ou un sous-traitant, selon le cas, des Données à caractère personnel de la Société conformément à la Législation européenne sur la protection des données.

(d) Chaque partie respecte les obligations applicables en vertu de la Législation européenne sur la protection des données pour le traitement des Données à caractère personnel de l'Entreprise.

5.1.2 Autorisation par un responsable du traitement tiers. Si l'Entreprise est sous-traitante, elle garantit à Jibe que ses consignes et actions concernant les Données à caractère personnel de l'Entreprise, y compris sa nomination de Jibe en tant qu'autre sous-traitant, ont été autorisées par le responsable du traitement compétent.

5.2 Instructions de l'entreprise. En concluant le présent Avenant relatif au traitement des données, l'Entreprise demande à Jibe de traiter les Données à caractère personnel de l'Entreprise uniquement conformément à la loi applicable: (a) pour fournir les Services de sous-traitance et toute assistance technique associée ; (b) tel que précisé plus en détail par l'utilisation par l'Entreprise des Services de sous-traitance (y compris dans les paramètres et autres fonctionnalités des Services de sous-traitance) et toute assistance technique associée ; (c) tel que documenté dans le Contrat, y compris le présent Avenant relatif au traitement des données ; et (d) tel que documenté dans toute autre instruction écrite donnée par l'Entreprise et reconnue par Jibe comme constituant des instructions aux fins du présent Avenant relatif au traitement des données.

5.3 Respect des instructions par Jibe. Jibe se conformera aux instructions décrites dans la Section 5.2 (Consignes de l'Entreprise) (y compris en ce qui concerne les transferts de données), sauf si la législation européenne ou nationale à laquelle Jibe est soumis requiert un autre traitement des Données à caractère personnel de l'Entreprise par Jibe, auquel cas Jibe en informera l'Entreprise (sauf si une telle loi l'interdit pour des raisons d'intérêt public importantes).

5.4 Produits supplémentaires. Si l'Entreprise utilise un Produit supplémentaire, les Services de sous-traitance peuvent permettre à ce Produit supplémentaire d'accéder aux Données à caractère personnel de l'Entreprise comme le requiert l'interopérabilité de ce Produit supplémentaire avec les Services de sous-traitance. Le présent Avenant relatif au traitement des données ne s'applique pas au traitement des données à caractère personnel en lien avec la fourniture de tout Produit supplémentaire utilisé par l'Entreprise, y compris les données à caractère personnel transmises vers ou à partir de ce Produit supplémentaire.

6. Suppression des données

6.1 Suppression pendant la Durée.

6.1.1 Services de sous-traitance avec fonctionnalité de suppression. Pendant la Durée, si:

(a) la fonctionnalité des Services de sous-traitance inclut la possibilité pour l'Entreprise de supprimer les Données à caractère personnel de l'Entreprise ;

(b) l'Entreprise utilise les Services de sous-traitance pour supprimer certaines Données à caractère personnel de l'Entreprise ; et

(c) les Données à caractère personnel de l'Entreprise supprimées ne peuvent pas être récupérées par l'Entreprise (par exemple, à partir de la "corbeille"),

Jibe supprimera alors lesdites Données à caractère personnel de l'Entreprise de ses systèmes dès que raisonnablement possible, sauf si la Législation européenne ou nationale exige la conservation de ces données.

6.1.2 Services de sous-traitance sans fonctionnalité de suppression. Pendant la Durée, si la fonctionnalité des Services de sous-traitance n'inclut pas l'option permettant à l'Entreprise de supprimer les Données à caractère personnel de l'Entreprise, Jibe se conformera à toute demande raisonnable de l'Entreprise visant à faciliter cette suppression, dans la mesure du possible, compte tenu de la nature et de la fonctionnalité des Services de sous-traitance. Jibe peut facturer des frais (sur la base des coûts raisonnables de Jibe) pour toute suppression de données en vertu de la présente Section 6.1.2 (Services de traitement sans fonctionnalité de suppression). Jibe fournira à l'Entreprise des informations supplémentaires sur les frais applicables et la base de leur calcul avant toute suppression de données.

6.2 Suppression à l'expiration de la Durée. À l'expiration de la Période de validité, l'Entreprise demande à Jibe de supprimer toutes ses Données à caractère personnel (y compris les copies existantes) des systèmes de Jibe, conformément à la législation applicable. Jibe s'engage à respecter cette instruction dès que raisonnablement possible, sauf si la Législation européenne ou nationale exige la conservation de ces données.

7. Sécurité des données

7.1 Mesures et assistance de Jibe en termes de sécurité.

7.1.1 Mesures de sécurité de Jibe Jibe s'engage à mettre en œuvre et à garantir des mesures techniques et organisationnelles pour protéger les Données à caractère personnel de l'Entreprise contre les destructions accidentelles ou illégales, les pertes, altérations, ou divulgations ou accès non autorisés, comme décrit dans l'Annexe 2 (les Mesures de sécurité). Jibe est susceptible d'actualiser ou de modifier les Mesures de sécurité de temps en temps, à condition que ces actualisations et modifications n'entraînent pas la dégradation de la sécurité globale des Services du sous-traitant.

7.1.2 Conformité de l'équipe Jibe en matière de sécurité.Jibe s'assurera que toutes les personnes autorisées à traiter les Données à caractère personnel de l'Entreprise se sont engagées à respecter leur confidentialité ou sont tenues d'observer des obligations statutaires de confidentialité appropriées.

7.1.3 Assistance de Jibe en matière de sécurité. L'Entreprise accepte que Jibe l'aide à respecter ses obligations concernant la sécurité des données à caractère personnel et les violations de données à caractère personnel (en tenant compte de la nature du traitement des données à caractère personnel de l'Entreprise et des informations disponibles pour Jibe), y compris (le cas échéant) ses obligations en vertu des articles 32 à 34 (inclus) du RGPD, en:

(a) en mettant en œuvre et en garantissant les Mesures de sécurité conformément à la Section 7.1.1 (Mesures de sécurité de Jibe) ;

(b) en respectant les conditions de la Section 7.2 (Incidents relatifs aux données) ; et

(c) Fournir à l'Entreprise la Documentation relative à la sécurité conformément à la Section 7.5.1 (Examen de la Documentation relative à la sécurité) et les informations contenues dans cet Avenant sur le traitement des données.

7.2 Incidents relatifs aux données

7.2.1 Notification d'incident. Si Jibe a connaissance d'un Incident lié aux données, il s'engage à: (a) informer rapidement et sans délai l'Entreprise de l'Incident lié aux données ; et (b) prendre rapidement des mesures raisonnables afin de minimiser les dommages et de sécuriser les Données à caractère personnel de l'Entreprise.

7.2.2 Détails concernant l'Incident relatif aux données. Les notifications effectuées en vertu de la Section 7.2.1 (Notification d'incident) décrivent, dans la mesure du possible, les détails concernant l'Incident relatif aux données, y compris les mesures prises pour limiter les risques éventuels et les mesures recommandées par Jibe à l'Entreprise pour gérer l'Incident relatif aux données.

7.2.3 Envoi de la notification.Jibe enverra sa notification d'Incident relatif aux données à l'Adresse e-mail de notification ou, à la discrétion de Jibe (y compris si l'Entreprise n'a pas fourni d'Adresse e-mail de notification), par un autre moyen de communication directe (par exemple, par téléphone ou en personne lors d'un rendez-vous). Il est de la responsabilité exclusive de l'Entreprise de fournir l'Adresse e-mail de notification et de s'assurer qu'elle est à jour et valide.

7.2.4 Notifications tierces. Il est de la responsabilité exclusive de la Société de respecter les lois applicables en termes de notification des incidents et de se conformer aux obligations de notification des tiers en cas d'éventuels Incidents liés aux données.

7.2.5 Absence de reconnaissance de tort par Jibe.La notification par Jibe d'un Incident relatif aux données ou sa réponse à un tel incident conformément à la présente Section 7.2 (Incidents relatifs aux données) ne saurait être interprétée comme une reconnaissance de tort ou de culpabilité par Jibe en lien avec l'Incident relatif aux données.

7.3 Responsabilités de l'entreprise en matière de sécurité et évaluation de la sécurité.

7.3.1 Responsabilités de l'entreprise en matière de sécurité. L'Entreprise accepte que, sans préjudice des obligations de Jibe décrites dans les sections 7.1 (Mesures et assistance de Jibe en termes de sécurité) et 7.2 (Incidents liés aux données):

(a) L'Entreprise est responsable de son utilisation des Services de traitement, y compris:

(i) d'utiliser les Services du sous-traitant de manière appropriée pour garantir un niveau de sécurité adapté au risque encouru par les Données à caractère personnel de l'Entreprise ; et

(ii) de sécuriser les identifiants d'authentification du compte, les systèmes et les appareils que l'Entreprise utilise pour accéder aux Services de sous-traitance ;

(b) Jibe n'est pas tenu de protéger les Données à caractère personnel de l'Entreprise que l'Entreprise choisit de stocker ou de transférer en dehors des systèmes de Jibe et de ses Sous-traitants.

7.3.2 Évaluation de la sécurité de l'entreprise. L'Entreprise reconnaît et accepte que (compte tenu de l'état de l'art, des coûts d'implémentation et de la nature, de la portée, du contexte et des finalités du traitement des Données à caractère personnel de l'Entreprise, ainsi que des risques pour les personnes physiques) les Mesures de sécurité mises en œuvre et gérées par Jibe dans la Section 7.1.1 (Mesures de sécurité de Jibe) fournissent un niveau de sécurité adapté au risque lié aux Données à caractère personnel de l'Entreprise.

7.4 Certification de sécurité. Pour évaluer et garantir l'efficacité continue des mesures de sécurité, Jibe conservera la certification ISO 27001.

7.5 Examens et audits de conformité.

7.5.1 Examen de la Documentation relative à la sécurité. Pour démontrer que Jibe respecte ses obligations en vertu de cet Avenant relatif au traitement des données, Jibe mettra la Documentation relative à la sécurité à la disposition du Client pour examen.

7.5.2 Droits d'audit de l'Entreprise.

(a) Jibe autorisera l'Entreprise ou un vérificateur tiers désigné par l'Entreprise à effectuer des audits (y compris des inspections) pour vérifier que Jibe respecte ses obligations en vertu du présent Avenant sur le traitement des données conformément à la Section 7.5.3 (Conditions commerciales supplémentaires pour les audits).Jibe participera à ces audits de la manière décrite dans la Section 7.4 (Certification de sécurité) et la présente Section 7.5 (Examens et audits de conformité).

(b) Si les clauses contractuelles types s'appliquent en vertu de la Section 10.2 (Transferts de données), Jibe autorisera la Société ou un auditeur tiers désigné par la Société à effectuer des audits comme décrit dans les clauses contractuelles types, conformément à la Section 7.5.3 (Conditions commerciales supplémentaires pour les audits).

(c) peut également effectuer un audit pour vérifier que Jibe respecte ses obligations en vertu du présent Avenant sur le traitement des données en examinant le certificat émis pour la certification ISO 27001 (qui reflète les résultats d'un audit mené par un vérificateur tiers).

7.5.3 Conditions supplémentaires pour les audits.

(a) L'Entreprise enverra toute demande d'audit en vertu de la Section 7.5.2(a) ou 7.5.2(b) à Jibe, comme décrit à la Section 12.1 (Contacter Jibe).

(b) Suivant la réception par Jibe d'une demande en vertu de la Section 7.5.3(a), Jibe et la Société discuteront et conviendront à l'avance de la date de début, de la portée et de la durée raisonnables de tout audit en vertu de la Section 7.5.2(a) ou 7.5.2(b), ainsi que des contrôles de sécurité et de confidentialité applicables.

(c) Jibe peut facturer des frais (basés sur des coûts raisonnables de Jibe) pour tout audit en vertu de la Section 7.5.2(a) ou 7.5.2(b).Jibe fournira à l'Entreprise des informations supplémentaires sur les frais applicables et la base de leur calcul avant tout audit. La Société est responsable des frais facturés par tout vérificateur tiers qu'elle a nommé pour effectuer l'audit.

(d) Jibe peut s'opposer à tout auditeur tiers désigné par la Société pour effectuer un audit en vertu de la Section 7.5.2(a) ou 7.5.2(b) si, selon l'opinion raisonnable de Jibe, l'auditeur n'est pas suffisamment qualifié ou indépendant, est un concurrent de Jibe ou est manifestement inapproprié. Dans le cas d'une telle objection par Jibe, la Société doit nommer un autre auditeur ou effectuer l'audit elle-même.

(e) Aucune disposition de l'Avenant relatif au traitement des données n'impose à Jibe de divulguer les données suivantes à l'Entreprise ou à son vérificateur tiers, ni d'autoriser l'Entreprise ou son vérificateur tiers à y accéder:

(i) Toute donnée de tout autre client d'une Entité Jibe ;

(ii) Toute information comptable ou financière interne de toute Entité Jibe ;

(iii) tout secret commercial d'une Entité Jibe ;

(iv) Toute information qui, selon l'avis raisonnable de Jibe, pourrait: (A) compromettre la sécurité des systèmes ou des locaux de toute entité Jibe ; ou (B) entraîner la violation par une entité Jibe de ses obligations en vertu de la législation européenne sur la protection des données ou de ses obligations de sécurité et/ou de confidentialité envers la Société ou tout tiers ; ou

(v) Toute information à laquelle la Société ou son auditeur tiers cherche à accéder pour toute raison autre que de satisfaire en toute bonne foi aux obligations de la Société en vertu de la Législation européenne sur la protection des données

7.5.4 Non-modification des clauses contractuelles types. Si les Clauses contractuelles standards s'appliquent en vertu de la Section 10.2 (Transferts de données), aucune disposition de la présente Section 7.5 (Examens et audits de conformité) ne modifie les droits ni les obligations de l'Entreprise ou de Jibe en vertu des Clauses contractuelles standards.

8. Évaluations d'impact et consultations

L'Entreprise accepte que Jibe l'aide à respecter ses obligations concernant les évaluations d'impact sur la protection des données et les consultations préalables (en tenant compte de la nature du traitement et des informations disponibles pour Jibe), y compris (le cas échéant) ses obligations en vertu des articles 35 et 36 du RGPD, en procédant comme suit:

(a) la mise à disposition de la Documentation sur la sécurité conformément à la Section 7.5.1 (Examen de la Documentation sur la sécurité) ;

(b) la mise à disposition des informations contenues dans cet Avenant relatif au traitement des données ; et

(c) la mise à disposition, conformément aux pratiques standards de Jibe, d'autres documents concernant la nature des Services de sous-traitance et le traitement des Données à caractère personnel de l'Entreprise (par exemple, les contenus du centre d'aide).

9. Droits des personnes concernées

9.1 Réponses aux demandes des personnes concernées. Si Jibe reçoit une demande d'une personne concernée par les Données à caractère personnel de l'entreprise, Jibe:

(a) si la demande est effectuée via un Outil mis à la disposition des personnes concernées, répondra directement à la demande de la personne concernée conformément à la fonctionnalité standard de cet Outil ; ou

(b) si la demande n'est pas faite par l'intermédiaire d'un Outil pour les personnes concernées, conseiller à la personne concernée de soumettre sa demande à l'Entreprise, et l'Entreprise sera alors responsable de répondre à une telle demande.

9.2 Assistance de Jibe pour traiter les demandes des personnes concernées. La Société accepte que Jibe l'aide à remplir toutes ses obligations de répondre aux demandes des personnes concernées (en tenant compte de la nature du traitement des Données à caractère personnel de la Société et, le cas échéant, de l'article 11 du RGPD), y compris (le cas échéant) son obligation de répondre aux demandes d'exercice des droits des personnes concernées dans le chapitre III du RGPD, en procédant comme suit:

(a) en fournissant les fonctionnalités des Services de sous-traitance ;

(b) en respectant les engagements de la Section 9.1 (Réponses aux demandes des personnes concernées) ; et

(c) le cas échéant, en mettant à disposition des Outils pour les personnes concernées.

10. Transferts de données

10.1 Stockage des données et installations de traitement. L'Entreprise accepte que Jibe puisse, sous réserve de la Section 10.2 (Transferts de données), stocker et traiter les Données à caractère personnel de l'Entreprise dans n'importe quel pays où Jibe ou l'un de ses Sous-traitants indirects dispose d'installations.

10.2 Transferts de données.

Si le stockage et/ou le traitement des Données à caractère personnel de l'Entreprise impliquent des transferts de ces données depuis l'EEE, la Suisse ou le Royaume-Uni vers un pays tiers non couvert par une décision d'adéquation en vertu de la Législation européenne sur la protection des données:

(a) L'Entreprise (en tant qu'exportateur de données) sera considérée comme ayant accepté les Clauses contractuelles standards avec Jibe (en tant qu'importateur de données) ;

(b) Les transferts seront soumis aux clauses contractuelles types ;

(c) Les références à Google LLC et au Client dans les clauses contractuelles types désigneront respectivement Jibe et l'Entreprise.

10.3 Informations sur les centres de données. Des informations concernant les emplacements des centres de données Google sont disponibles sur la page www.google.com/about/datacenters/locations/index.html.

11. Sous-traitants indirects

11.1 Autorisation d'engagement de Sous-traitants indirects. La Société autorise spécifiquement l'engagement des affiliés de Jibe en tant que Sous-traitants ("Sous-traitants affiliés de Jibe"). De plus, la Société autorise généralement l'engagement d'autres tiers en tant que Sous-traitants ("Sous-traitants tiers"). Si les Clauses contractuelles standards s'appliquent en vertu de la Section 10.2 (Transferts de données), les autorisations ci-dessus constituent le consentement écrit préalable de la Société à la sous-traitance par Jibe du traitement des Données à caractère personnel de la Société.

11.2 Informations sur les Sous-traitants indirects. À la demande écrite de l'Entreprise, Jibe fournira des informations sur les Sous-traitants indirects et leurs emplacements. Toute demande de ce type doit être envoyée à Jibe à l'aide des coordonnées indiquées dans la section 12.1 (Contacter Jibe).

11.3 Conditions requises pour l'engagement de Sous-traitants indirects. Lors de l'engagement d'un Sous-traitant indirect, Jibe doit:

(a) s'assurer par un contrat écrit que:

(i) Le Sous-traitant n'accède aux Données à caractère personnel de l'Entreprise et ne les utilise que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées, et ce, conformément au Contrat (y compris le présent Avenant sur le traitement des données) et, le cas échéant en vertu de la Section 10.2 (Transferts de données), des Clauses contractuelles standards ;

(ii) Si le RGPD s'applique au traitement des Données à caractère personnel de l'Entreprise, les obligations en matière de protection des données de l'Article 28(3) du RGPD s'imposent au Sous-traitant ; et

(b) demeure entièrement responsable de toutes les obligations sous-traitées au Sous-traitant indirect, et de l'ensemble des actes et des manquements de ce dernier.

11.4 Possibilité de s'opposer à un changement de Sous-traitant indirect.

(a) Lorsqu'un nouveau Sous-traitant tiers est engagé au cours de la Période de validité, Jibe informe l'Entreprise de cet engagement (y compris le nom et l'emplacement du sous-traitant concerné, ainsi que les activités qu'il effectuera) en envoyant un e-mail à l'Adresse e-mail de notification au moins 30 jours avant que le nouveau Sous-traitant tiers ne traite des Données à caractère personnel de l'Entreprise.

(b) L'Entreprise peut s'opposer à tout nouveau sous-traitant tiers en résiliant le Contrat immédiatement après avoir informé Jibe par écrit, à condition que l'Entreprise fournisse cette notification dans les 90 jours suivant sa notification de l'engagement du nouveau sous-traitant tiers, comme décrit dans la section 11.4(a). Ce droit de résiliation constitue la seule et unique voie de recours de la Société si elle s'oppose à l'engagement d'un nouveau Sous-traitant indirect tiers.

12. Contacter Jibe ; Traiter les enregistrements

12.1 Contacter Jibe L'Entreprise peut contacter Jibe au sujet du présent Avenant sur le traitement des données via le contact de Jibe chargé de la protection des données RCS, accessible via http://issuetracker.google.com ou par tout autre moyen que Jibe est susceptible de proposer de temps en temps.

12.2 Enregistrements des informations de traitement par Jibe. L'entreprise reconnaît que, conformément au RGPD, Jibe est tenu de: (a) collecter et de conserver des registres de certaines informations, y compris le nom et les coordonnées de chaque sous-traitant et/ou responsable du traitement pour le compte duquel Jibe agit, et (le cas échéant) du représentant local et du délégué à la protection des données de ce sous-traitant ou de ce responsable du traitement ; et (b) mettre ces informations à la disposition de toute autorité de contrôle. En conséquence, sur demande et le cas échéant, la Société fournira ces informations à Jibe via l'interface utilisateur des services de traitement ou par tout autre moyen que Jibe est susceptible de proposer dans ce but. Elle utilisera cette interface utilisateur ou tout autre moyen pour s'assurer que toutes les informations fournies sont exactes et à jour.

13. Responsabilité

13.1 Limite de responsabilité : quelle que soit toute autre disposition du Contrat, la responsabilité totale de l'une des parties envers l'autre partie en vertu ou en lien avec ce présent Avenant sur le traitement des données sera limitée au montant monétaire ou de paiement maximal limitant la responsabilité de cette partie en vertu du Contrat (et, par conséquent, toute exclusion de demandes de confidentialité ou d'indemnisation de la limitation de responsabilité du Contrat ne s'appliquera pas aux demandes en vertu du Contrat liées à la législation européenne sur la protection des données ou à la législation non européenne sur la protection des données). Aucune disposition de la présente section 13 (Responsabilité) n'exclura ni ne limitera la responsabilité de l'une ou l'autre des parties dans les cas suivants: (a) décès ou dommage corporel résultant de sa négligence ou de celle de ses employés ou agents ; (b) fraude ou déclaration trompeuse ; ou (c) cas pour lesquels la responsabilité ne peut être exclue ni limitée en vertu de la loi applicable.

13.2 Responsabilité lorsque les clauses contractuelles types s'appliquent Si les Clauses contractuelles standards s'appliquent en vertu de la Section 10.2 (Transferts de données), la responsabilité totale combinée de chaque partie et de ses Affiliés envers l'autre partie et ses Affiliés en vertu ou en rapport avec le Contrat et les Clauses contractuelles standards combinées sera soumise à la Section 13.1 (Limite de responsabilité).

14. Tiers bénéficiaires

Si l'Affilié d'une partie est partie aux Clauses contractuelles standards qui s'appliquent en vertu de la Section 10.2 (Transferts de données), cet Affilié sera un tiers bénéficiaire des Sections 6.2 (Suppression à l'expiration du terme), 7.5 (Examens et audits de conformité), 9.1 (Réponses aux demandes des personnes concernées), 10.2 (Transferts de données), 11.1 (Consentement à l'engagement du sous-traitant) et 13.2 (Responsabilité si les Clauses contractuelles standards s'appliquent). En cas de conflit ou d'incohérence entre la présente Section 14 (Bénéficiaires tiers) et toute autre clause de l'Accord, la présente Section 14 (Bénéficiaires tiers) s'applique.

15. Effet de cet avenant sur le traitement des données

En cas de conflit ou d'incohérence entre les Clauses contractuelles standards, les Conditions supplémentaires liées à la législation non européenne en matière de protection des données, le présent Avenant relatif au traitement des données et le reste du Contrat, l'ordre de priorité suivant s'appliquera:

(a) les clauses contractuelles types ;

(b) les Conditions supplémentaires liées à la législation non européenne sur la protection des données ;

(c) le reste des présentes Conditions relatives au traitement des données ; et

(d) le reste du Contrat.

Si le présent Contrat (y compris tout avenant) est traduit dans une autre langue et que le texte traduit est en conflit ou n'est pas cohérent avec le texte en anglais, le texte en anglais prévaudra.

Sous réserve des modifications apportées par le présent Avenant sur le traitement des données, le Contrat reste en vigueur.

16. Modifications apportées à cet Avenant relatif au traitement des données

16.1 Modifications des URL Jibe peut modifier de temps en temps toute URL référencée dans cet Avenant relatif au traitement des données et le contenu de ces URL, sauf qu'il ne peut modifier les clauses contractuelles types que conformément aux sections 16.2(b) à 16.2(d) (Modifications des conditions de traitement des données) ou pour intégrer toute nouvelle version des clauses contractuelles types qui peut être adoptée en vertu de la législation européenne sur la protection des données, dans chaque cas de manière à ne pas affecter la validité des clauses contractuelles types en vertu de la législation européenne sur la protection des données.

16.2 Modifications des conditions de traitement des données Jibe peut modifier cet Avenant relatif au traitement des données si la modification:

(a) est expressément autorisé par le présent Avenant relatif au traitement des données, y compris comme décrit à la Section 16.1 (Modifications apportées aux URL) ;

(b) reflète une modification du nom ou de la forme d'une entité juridique ;

(c) est nécessaire pour se conformer au droit applicable, à la réglementation applicable, à une ordonnance du tribunal ou à une directive émise par un organisme de réglementation ou une administration gouvernementale ; ou

(d) n'entraîne pas (i) une dégradation de la sécurité globale des Services du sous-traitant ; (ii) l'extension du champ d'application ou la levée de toute restriction concernant, (x) dans le cas des Conditions supplémentaires pour la législation non européenne sur la protection des données, les droits de Jibe d'utiliser ou de traiter les données couvertes par les Conditions supplémentaires pour la législation non européenne sur la protection des données ou (y) dans le cas du reste des présentes Conditions de traitement des données, le traitement par Jibe des Données à caractère personnel de l'Entreprise, comme décrit à la Section 5.3 (Conformité de Jibe avec les instructions) ; et (iii) un impact négatif significatif sur les droits de l'Entreprise en vertu de cet Avenant relatif au traitement des données, comme raisonnablement déterminé par Jibe.

16.3 Notification de modifications Si Jibe a l'intention de modifier le présent Avenant sur le traitement des données en vertu de la section 16.2(c) ou (d), Jibe en informera la Société au moins 30 jours (ou toute période plus courte pouvant être requise pour se conformer à la loi applicable, à la réglementation applicable, à une ordonnance de tribunal ou à des consignes émises par un organisme ou une autorité gouvernementale) avant que la modification ne prenne effet en : (a) envoyant un e-mail à l'Adresse e-mail de notification ; ou (b) avertissant la Société via l'interface utilisateur des Services du sous-traitant. Si l'Entreprise s'oppose à une telle modification, elle peut résilier le Contrat en envoyant un préavis écrit à Jibe dans les 90 jours suivant la notification de la modification par Jibe.

Annexe 1 : Objet et détails relatifs au traitement des données

Objet

Fourniture par Jibe des Services de sous-traitance et de toute assistance technique associée à l'Entreprise.

Durée du traitement

La Période de validité, plus la période allant de l'expiration de la Période de validité à la suppression de toutes les Données à caractère personnel de l'Entreprise par Jibe conformément à cet Avenant sur le traitement des données.

Nature et finalité du traitement

Jibe traitera les Données à caractère personnel de l'Entreprise aux fins de fournir les Services du sous-traitant et toute assistance technique associée à l'Entreprise conformément à cet Avenant relatif au traitement des données (y compris, le cas échéant, pour les Services du sous-traitant et les instructions décrites dans la section 5.2 (Consignes de l'Entreprise), la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la modification, la récupération, l'utilisation, la divulgation, la combinaison, l'effacement et la destruction des Données à caractère personnel de l'Entreprise).

Types de données à caractère personnel

Données à caractère personnel concernant des personnes et fournies à Jibe via les Services de traitement, par la Société (ou à sa demande) ou par les Utilisateurs finaux de la Société.

Catégories de personnes concernées

Les personnes concernées désignent les personnes à propos desquelles des données sont fournies à Jibe via les Services de traitement par l'Entreprise (ou à sa demande) ou par les Utilisateurs finaux de l'Entreprise.

Annexe 2 : Mesures de sécurité

À compter de la Date d'entrée en vigueur des Conditions, Jibe est tenu de mettre en œuvre et de garantir les Mesures de sécurité définies dans la présente Annexe 2. Jibe peut mettre à jour ou modifier ces Mesures de sécurité ponctuellement à condition que ces mises à jour et ces modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.

1. Sécurité des centres de données et des réseaux

(a) Centres de données.

Infrastructure. Jibe gère des centres de données répartis dans différentes zones géographiques. Jibe stocke toutes les données de production dans des centres de données physiquement sécurisés.

Redondance. Les systèmes d'infrastructure ont été conçus de manière à éliminer les points de défaillance uniques et à minimiser l'impact des risques environnementaux anticipés. Cette redondance repose entre autres sur des circuits doubles, des commutateurs, des réseaux et d'autres appareils. Les Services de sous-traitance visent à permettre à Jibe d'effectuer certains types d'opérations de maintenance préventive et corrective sans interruption. L'ensemble des installations et des équipements environnementaux sont associés à des procédures de maintenance préventive documentées, qui détaillent le processus et la fréquence d'intervention en fonction des spécifications du fabricant ou des spécifications internes. La maintenance préventive et corrective des équipements des centres de données est planifiée selon un processus standard, conformément aux procédures documentées.

Alimentation. Les systèmes électriques des centres de données sont conçus pour être redondants et de sorte que leur maintenance puisse être assurée sans interrompre leur fonctionnement continu (24h/24, 7j/7). Dans la plupart des cas, les composants d'infrastructure essentiels des centres de données présentent une source d'alimentation principale et une source d'alimentation secondaire (de capacité égale). L'alimentation de secours est assurée par différents mécanismes tels que des batteries d'alimentation sans interruption. Les systèmes de ce type permettent de fournir en continu une protection fiable de l'alimentation en cas de baisse de tension, de panne, de surtension, de sous-tension et de fréquence hors tolérance au niveau du circuit. En cas d'interruption de l'alimentation, le réseau de secours est censé alimenter le centre de données de façon transitoire, à pleine capacité, pendant 10 minutes maximum, jusqu'à ce que les générateurs diesel prennent le relais. Les générateurs diesel sont capables de démarrer automatiquement en quelques secondes afin de fournir suffisamment de courant électrique de secours pour faire fonctionner le centre de données à pleine capacité, en général pendant plusieurs jours.

Systèmes d'exploitation des serveurs. Les serveurs Jibe utilisent des systèmes d'exploitation renforcés et personnalisés en fonction des besoins uniques en termes de serveurs de l'entreprise. Les données sont stockées à l'aide d'algorithmes propriétaires afin de renforcer la sécurité des données et la redondance. Jibe applique un processus de revue de code afin d'accroître la sécurité du code utilisé pour fournir les Services de sous-traitance et d'améliorer les produits de sécurité dans les environnements de production.

Continuité des activités. Jibe réplique les données sur plusieurs systèmes pour mieux les protéger contre les destructions ou les pertes accidentelles. Jibe a conçu des plans de continuité d'activité et des programmes de reprise après sinistre, et les planifie et les teste régulièrement.

(b) Réseaux et transmission.

Transmission de données. En règle générale, les centres de données sont connectés via des connexions privées à haut débit afin de garantir un transfert sûr et rapide des données d'un centre à l'autre. Le but est d'empêcher la lecture, la copie, la modification ou la suppression non autorisées des données au cours de leur transfert ou de leur transport par voie électronique, ou encore lors de leur enregistrement sur des supports de stockage de données. Jibe transfère les données selon les protocoles Internet standards.

Surface d'attaque externe. Jibe utilise plusieurs couches d'appareils réseau et de détection des intrusions afin de protéger sa surface d'attaque externe. Jibe tient compte des vecteurs d'attaque potentiels et intègre des technologies dédiées à ses systèmes externes.

Détection des intrusions. La détection des intrusions sert à fournir des informations sur les activités en cours liées à des attaques et sur la manière de réagir face aux incidents. La détection des intrusions de Jibe repose sur les procédures suivantes:

  1. Surveillance étroite de la taille et de la composition de la surface d'attaque de Jibe par le biais de mesures préventives

  2. Mise en place de contrôles de détection intelligents aux points d'entrée des données

  3. Utilisation de technologies permettant de remédier automatiquement à certaines situations dangereuses

Réponse aux incidents. Jibe surveille divers canaux de communication en lien avec les incidents de sécurité. De plus, le personnel de sécurité de Jibe réagit rapidement aux incidents connus.

Technologies de chiffrement. Jibe propose le chiffrement HTTPS (également appelé connexion SSL ou TLS). Les serveurs Jibe sont compatibles avec l'échange de clés cryptographiques Diffie-Hellman basé sur les courbes elliptiques. La signature est effectuée à l'aide des protocoles RSA et ECDSA. Ces méthodes de confidentialité persistante parfaite (PFS) permettent de protéger le trafic et de minimiser l'impact d'une clé compromise ou d'une percée cryptographique.

2. Contrôle sur site et contrôle d'accès

(a) Contrôles sur site.

Gestion de la sécurité des centres de données sur site. La sécurité des centres de données de Jibe est assurée sur site. Elle vise à garantir le fonctionnement de toutes les fonctions de sécurité des centres de données physiques 24h/24, 7j/7. Le personnel responsable de la gestion de la sécurité sur site contrôle un réseau de caméras de surveillance en circuit fermé ("CCTV") et tous les systèmes d'alarme. Le personnel en charge des opérations de sécurité sur site effectue régulièrement des rondes à l'intérieur et à l'extérieur du centre de données.

Procédures d'accès aux centres de données. Jibe applique des procédures d'accès formelles afin d'autoriser l'accès physique à ses centres de données. Les centres de données sont installés dans des complexes dont l'accès se fait à l'aide d'une clé électronique et qui disposent d'alarmes reliées au centre de sécurité sur site. Toutes les personnes qui accèdent au centre de données sont tenues de s'identifier et de présenter une preuve d'identité au personnel de sécurité. Seuls les employés, les prestataires et les visiteurs autorisés peuvent entrer dans les centres de données. Seuls les employés et les prestataires autorisés peuvent demander une clé électronique en vue d'accéder à ces complexes. Les demandes d'accès par carte électronique doivent être formulées à l'avance et par écrit. Elles doivent être approuvées par le responsable du demandeur et le directeur du centre de données. Toutes les autres personnes qui ont besoin d'un accès temporaire au centre de données doivent: (i) obtenir l'approbation préalable des responsables du centre de données et des zones internes qu'ils souhaitent visiter ; (ii) s'enregistrer auprès du personnel de sécurité sur site ; et (iii) faire référence à un enregistrement d'accès au centre de données approuvé identifiant la personne comme approuvée.

Dispositifs associés à la sécurité des centres de données sur site. Les centres de données de Jibe utilisent un système de contrôle des accès biométrique fonctionnant à l'aide de cartes électroniques. Celui-ci est relié à un système d'alarme. Le système de contrôle des accès surveille et enregistre la carte électronique de chaque individu, ainsi que les franchissements des portes du périmètre et des zones d'expédition et de réception, ainsi que d'autres zones critiques. Les activités non autorisées et les tentatives d'accès ayant échoué sont enregistrées par le système de contrôle des accès et font l'objet d'un examen approprié. L'accès autorisé aux activités et aux centres de données dépend des zones et des responsabilités liées aux tâches de l'individu. Les portes coupe-feu des centres de données sont équipées d'alarmes. Des caméras de surveillance sont installées à l'intérieur et à l'extérieur des centres de données. Les caméras sont positionnées de façon à couvrir les zones stratégiques, dont le périmètre du site, les portes du bâtiment du centre de données et les zones d'expédition et de réception. Le personnel chargé de la gestion de la sécurité sur site est responsable des équipements de contrôle, d'enregistrement et de surveillance par caméras. Dans les centres de données, les équipements de surveillance sont reliés à l'aide de câbles. Les caméras enregistrent les images du site grâce à des enregistreurs vidéo numériques 24h/24, 7j/7. Les enregistrements de surveillance sont conservés pendant au moins sept jours, en fonction de l'activité.

(b) Contrôle des accès.

Personnel de sécurité des infrastructures. Jibe a mis en place et applique des règles de sécurité pour son personnel, qui doit obligatoirement suivre une formation à la sécurité dans le cadre de sa formation globale. Le personnel de sécurité des infrastructures de Jibe est chargé de la surveillance permanente des infrastructures de sécurité de Jibe, de l'examen des Services de sous-traitance et de la réponse aux incidents de sécurité.

Contrôle des accès et gestion des droits. Les administrateurs et utilisateurs de l'entreprise doivent s'authentifier par l'intermédiaire d'un système d'authentification central ou d'authentification unique afin d'utiliser les Services de sous-traitance.

Processus et règles internes d'accès aux données – Règlement d'accès. Les processus et règles internes d'accès aux données de Jibe sont destinés à empêcher les personnes et/ou les systèmes non autorisés d'accéder aux systèmes utilisés pour le traitement des données à caractère personnel. Jibe vise à concevoir ses systèmes de façon à (i) ne permettre qu'aux personnes autorisées d'accéder aux données auxquelles elles sont en droit d'accéder ; et (ii) empêcher la lecture, la copie, la modification ou la suppression des données personnelles sans autorisation lors de leur traitement, en cours d'utilisation ou après leur enregistrement. Les systèmes sont conçus pour détecter les accès inappropriés. Jibe utilise un système de gestion des accès centralisé pour contrôler l'accès du personnel aux serveurs de production et n'autorise l'accès qu'à un nombre limité d'employés. LDAP, Kerberos et un système propriétaire basé sur les certificats SSH sont conçus pour fournir à Jibe des mécanismes d'accès sûrs et flexibles. Ces mécanismes n'octroient que les droits d'accès approuvés aux hôtes des sites, aux journaux, aux données et aux informations de configuration. Jibe requiert l'utilisation d'ID utilisateur uniques, de mots de passe sécurisés, de l'authentification à deux facteurs et de listes d'accès surveillées attentivement pour réduire le risque potentiel d'utilisation non autorisée des comptes. L'octroi ou la modification des droits d'accès sont basés sur les éléments suivants: les responsabilités liées aux tâches du personnel autorisé, les exigences liées aux tâches autorisées et le besoin de connaître. De plus, l'octroi et la modification des droits d'accès doivent être réalisés conformément aux règles et aux formations internes de Jibe en matière d'accès aux données. Les approbations sont gérées par les outils de workflow qui conservent les enregistrements d'audit de toutes les modifications. Tout accès aux systèmes est enregistré dans un journal d'audit. Lorsque des mots de passe sont employés à des fins d'authentification (pour la connexion aux postes de travail, par exemple), les règles relatives aux mots de passe qui sont au moins conformes aux pratiques standards de l'industrie sont appliquées. Ces pratiques standards incluent entre autres les restrictions relatives à la réutilisation des mots de passe et à leur sécurité minimale.

3. Données

(a) Stockage, isolation et authentification des données.

Jibe stocke les données dans un environnement mutualisé, sur des serveurs qui lui appartiennent. Les données, la base de données des Services de sous-traitance et l'architecture des systèmes de fichiers sont dupliqués et répartis entre plusieurs centres de données situés à des endroits différents. Jibe isole les données de chaque client de façon logique. Un système d'authentification central est utilisé pour tous les Services de sous-traitance afin d'augmenter la sécurité uniforme des données.

(b) Consignes liées à la mise hors service et à la destruction des disques.

Certains disques contenant des données peuvent rencontrer des problèmes de performances, des erreurs ou des défaillances matérielles entraînant leur mise hors service ("Disque hors service"). Chaque disque hors service est soumis à une série de processus de destruction des données ("Consignes de destruction des données") avant de quitter les locaux de Jibe en vue de sa réutilisation ou de sa destruction. Les Disques hors service sont effacés selon un processus en plusieurs étapes et validés par au moins deux experts indépendants. Les résultats du processus d'effacement sont consignés avec le numéro de série du Disque hors service à des fins de suivi. Enfin, le Disque hors service effacé est replacé dans l'inventaire afin de pouvoir être réutilisé et redéployé. Si, en raison d'une défaillance matérielle, le Disque hors service ne peut pas être effacé, il est stocké de façon sécurisée jusqu'à ce que sa destruction soit possible. Chaque complexe fait régulièrement l'objet d'audits pour contrôler le respect des Consignes de destruction des données.

4. Personnel de Google et sécurité des données

Le personnel de Jibe est tenu de se comporter de manière conforme aux directives de l'entreprise en matière de confidentialité, d'éthique commerciale, d'utilisation adéquate et de normes professionnelles. Jibe effectue des vérifications raisonnables et appropriées des antécédents, dans la limite autorisée par la loi et conformément à la législation du travail et aux règlements statutaires en vigueur localement.

Le personnel doit respecter un accord de confidentialité ainsi que les règles de Jibe en matière de confidentialité et de respect de la vie privée, dont il doit par ailleurs accuser réception. Il reçoit aussi une formation à la sécurité. Les membres du personnel qui gèrent les données à caractère personnel de l'entreprise doivent respecter des exigences supplémentaires associées à leur rôle. Le personnel de Jibe ne traite en aucun cas les données à caractère personnel de l'entreprise sans autorisation.

5. Sous-traitants indirects et sécurité des données

Avant d'engager des Sous-traitants indirects, Jibe réalise un audit de leurs pratiques en matière de sécurité et de confidentialité, afin de s'assurer qu'ils garantissent un niveau de sécurité et de confidentialité approprié, compte tenu de leur accès aux données et du champ d'application des services pour lesquels ils ont été recrutés. Une fois que Jibe a évalué les risques présentés par le sous-traitant, le sous-traitant est tenu d'accepter les conditions contractuelles appropriées en termes de sécurité, de confidentialité et de vie privée, sous réserve des exigences de la section 11.3 (Exigences concernant l'engagement du sous-traitant).

Annexe 3: Conditions supplémentaires liées à la législation non européenne sur la protection des données

Les Conditions supplémentaires suivantes liées à la législation non européenne sur la protection des données s'ajoutent aux présentes Conditions relatives au traitement des données:

Conditions relatives au traitement des données Jibe, version 2.0

27 août 2020