Sécurité du traitement

Sécurité du traitement

Lorsque vous prenez la décision de confier vos données à un service Cloud comme Cloudeezy®, nous sommes conscients des enjeux. Nous avons donc décidé de mettre à votre disposition les mesures prises par notre organisation en matière de protection de vos données

Le présent Accord de Sous-traitance fait partie intégrante du Contrat portant sur des prestations de Service Cloudeezy® conclus entre le Client et Reendex S.A.S.U.


Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans le présent DPA ont le sens qui leur est donné dans le Contrat.

Aux fins de la réalisation et de l'exécution du Contrat, des Données à Caractère Personnel au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) pourront être communiquées à Cloudeezy® et/ou celle-ci pourra y avoir accès.

Le présent Accord de Sous-traitance a pour objet de définir les conditions dans lesquelles Cloudeezy® s'engage à effectuer, aux seules fins de la stricte exécution du Contrat, pour le compte exclusif du Client et pendant la seule durée du Contrat, les opérations de Traitement des Données à Caractère Personnel. Les Parties s'engagent dès la signature du contrat à respecter la Réglementation relative à la Protection des Données.

Dans le cadre du Contrat, le Client agit en qualité de responsable du traitement au sens du RGPD, en ce qui concerne les Données à Caractère Personnel et Cloudeezy® agit en qualité de sous-traitant au sens du RGPD.

Le Client s'est assuré, sur la base des informations fournies par Cloudeezy® et des autres informations à sa disposition, que Cloudeezy® présente des garanties suffisantes, notamment en termes d'expérience, de ressources, de capacités et de fiabilité, afin de mettre en œuvre les mesures techniques et organisationnelles nécessaires pour que le Traitement des Données à Caractère Personnel prévu par le Contrat soit effectué de manière conforme à la Réglementation relative à la Protection des Données.

Cloudeezy® déclare et garantit qu'elle a mis en œuvre l'ensemble des mesures techniques et organisationnelles nécessaires afin que le Traitement des Données à Caractère Personnel soit effectué conformément à la Réglementation relative à la Protection des Données, y compris le RGPD.

1. Définitions

En sus des termes et expressions définis dans le présent Accord de Sous-traitance (« Accord de Sous-traitance »), les termes et expressions « Organisation Internationale », « Délégué à la Protection des Données » et « Violation des Données à Caractère Personnel » ont la même signification que celle qui leur est attribuée dans le RGPD. En outre, les termes et expressions suivants ont la signification indiquée ci-après, qu'ils soient employés au singulier ou au pluriel :

- « Données à Caractère Personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale qui pourront être communiquées ou mises à disposition dans le cadre de la réalisation et l'exécution du Contrat ;

- « Mesures de Sécurité » désigne les mesures de sécurité prévues par la Réglementation relative à la Protection des Données ainsi que toute autre obligation prévue par ladite Réglementation afin de garantir la sécurité et la confidentialité des Données à Caractère Personnel, y compris les activités devant être exécutées en cas de Violation des Données à Caractère Personnel, notamment afin d'éviter ou de réduire les effets néfastes de la Violation des Données à Caractère Personnel sur les Personnes Concernées ;

- « Préposé » désigne les salariés, personnes mandatées ou toute autre personne physique habilitée à exécuter des opérations de Traitement des Données à Caractère Personnel communiquées ou mises à disposition par Cloudeezy® et/ou ses éventuels Sous-traitants Ultérieurs ;

- « Personne Concernée » désigne les personnes physiques identifiées ou identifiables auxquelles les Données à Caractère Personnel font référence ;

- « Réglementation relative à la Protection des Données » désigne le RGPD, la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses évolutions successives (« Loi Informatique et Libertés »), la Directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électronique du 12 juillet 2002, ainsi que l'ensemble des dispositions législatives, réglementations, lignes directrices, opinions, certifications, agréments, recommandations ou décisions de justice définitives relative à la protection des données à caractère personnel applicable au Traitement des Données à Caractère Personnel, déjà en vigueur ou qui entrera en vigueur pendant la durée du présent Accord de Sous-traitance, y compris les mesures, lignes directrices et avis du Groupe de Travail visé par l'article 29 de la Directive 95/46/CE du Comité européen relative à la Protection des Données visés par les articles 63 et suivants du RGPD et de toute autre autorité compétente. En cas de contradiction entre la Loi Informatique et Libertés, le RGPD et/ou les mesures adoptées par les autorités compétentes dans la mise en œuvre de ceux-ci, les dispositions du RGPD et les mesures adoptées aux fins de sa mise en œuvre prévaudront.

- « Traitement(s) » désigne le ou les traitements de Données à Caractère Personnel au sens du RGPD, confié(s) à Cloudeezy® dans le cadre du Contrat et décrit(s) au présent Accord de Sous-traitance.

2. Traitement(s) faisant l'objet de la Sous-Traitance

2.1. Le Traitement effectué par Cloudeezy® aux fins du présent Accord de Sous-traitance portera uniquement sur les types de Données à Caractère Personnel et les catégories de Personnes Concernées définies par le Client.

2.2. Cloudeezy® s'engage à garantir la confidentialité des Données à Caractère Personnel et à ce que tout Préposés et Sous-traitants Ultérieurs autorisés à traiter les Données à Caractère Personnel en vertu du présent Accord de Sous-traitance, respectent la confidentialité des Données à Caractère Personnel. L'obligation de confidentialité des Données à Caractère Personnel restera en vigueur cinq ans à compter de l'expiration du Contrat.

3. Nature, finalités et modalités du Traitement

3.1. Cloudeezy®, en qualité de Sous-Traitant du Traitement, s'engage, à ses frais, à :

  1. traiter les Données à Caractère Personnel dans le but exclusif d'exécuter le Contrat dans les limites et selon les modalités stipulées dans celui-ci, le présent Accord de Sous-traitance et la Réglementation relative à la Protection des Données ;
  2. ne pas définir de manière indépendante les modalités de Traitement des Données à Caractère Personnel et à ne pas agir en qualité de responsable indépendant du Traitement en relation avec celles-ci ;
  3. respecter scrupuleusement les instructions écrites communiquées par le Client et à informer ce dernier si elle considère qu'une instruction enfreint la Réglementation relative à la Protection des Données ou, plus généralement, la législation applicable ;
  4. traiter exclusivement les Données à Caractère Personnel qui sont strictement nécessaires à l'exécution du Contrat ou au respect des obligations légales ;
  5. traiter les Données à Caractère Personnel de manière licite, et conformément au Contrat, au présent Accord de Sous-traitance et aux exigences fixées par la Réglementation relative à la Protection des Données ;
  6. signaler au Client les éventuelles exigences de modification, de mise à jour, de correction ou de suppression des Données à Caractère Personnel et s'engager à mettre à jour, à modifier, à corriger ou à supprimer à la demande du Client ;
  7. assister le Client et collaborer avec lui en cas de demande formulée par les autorités compétentes, les Personnes Concernées et afin de se conformer aux obligations nées de la Réglementation relative à la Protection des Données ;
  8. mettre à la disposition du Client toutes les informations en sa possession, nécessaires afin de démontrer que celle-ci respecte les obligations visées par la Réglementation relative à la Protection des Données.

3.2. Il est expressément interdit à Cloudeezy® d'utiliser tout ou partie des Données à Caractère Personnel, à quelque fin que ce soit, pour son propre compte ou le compte d'un tiers, que ce soit pendant la durée du Contrat ou après son terme.

4. Registre des activités relatives au Traitement

4.1. Conformément à l'article 30, paragraphe 2, du RGPD, Cloudeezy® s'engage à tenir un registre distinct, actualisé en permanence, concernant toutes les catégories d'activités relatives au Traitement des Données à Caractère Personnel effectuées pour le compte du le Client.

Celui-ci comportera :

  1. le nom et les coordonnées de Cloudeezy® et de ses Sous-traitants Ultérieurs, ceux du Client et, le cas échéant, du Délégué à la Protection des Données du Client et de Cloudeezy® ;
  2. les catégories des Traitements effectués pour le compte du Client ;
  3. le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers ou à une Organisation Internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du RGPD, les documents attestant de l'existence des garanties appropriées imposées par l'article 49 du RGPD ; et
  4. une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1, du RGPD y compris entre autres, selon les besoins:
    1. la pseudonymisation et le chiffrement des Données à Caractère Personnel ;
    2. des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
    3. des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
    4. une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

4.2. Cloudeezy® s'engage à fournir sans délai au Client une copie du registre visé à la clause 4.1 à la demande de celui-ci et/ou des autorités compétentes.

4.3. Cloudeezy® s'engage à fournir au Client toutes les informations relatives aux Traitements des Données à Caractère Personnel dont celui-ci a raisonnablement besoin afin de pouvoir établir son propre registre des activités, relatives aux traitements visés à l'article 30, paragraphe 1, du RGPD.

5. Obligations relatives aux Préposés

5.1. Cloudeezy® s'engage à faire en sorte que les Préposés aient exclusivement accès aux Données à Caractère Personnel qui sont strictement nécessaires à l'exécution du Contrat ou afin d'exécuter les obligations légales et Traitent exclusivement ces Données à Caractère Personnel, dans tous les cas, dans les limites et les termes du présent Accord de Sous-traitance, du Contrat et de la Réglementation relative à la Protection des Données.

5.2. Cloudeezy® s'engage également à n'autoriser le Traitement des Données à Caractère Personnel qu'aux Préposés qui :

  1. de par leur expérience, leurs capacités et leur formation s'avèrent aptes à garantir le respect de la Réglementation relative à la Protection des Données et qui doivent y accéder afin d'exécuter le Contrat ;
  2. ont suivi au moins une fois par an une formation sur les obligations fixées par la Réglementation relative à la Protection des Données ;
  3. ont été désignés par écrit en tant que Préposés aux opérations de Traitement ;
  4. obligés, par écrit, à respecter des obligations de confidentialité strictes pendant le Traitement des Données à Caractère Personnel;

et à veiller scrupuleusement à la bonne exécution, par les Préposés, des instructions reçues ainsi que des obligations leur incombant.

5.3. Cloudeezy® s'engage à établir des mesures physiques, techniques et organisationnelles destinées à faire en sorte que :

  1. chaque Préposé puisse avoir accès exclusivement aux Données à Caractère Personnel pouvant faire l'objet d'un Traitement en fonction de l'autorisation dont ce Préposé dispose, compte tenu de l'activité que celui-ci doit accomplir dans le cadre du Contrat ;
  2. les éventuels Traitements de Données à Caractère Personnel constituant un manquement au regard du présent Accord de Sous-Traitance, du Contrat et/ou de la Réglementation relative à la Protection des Données soient sans délai identifiés et signalés au Client, y compris selon la procédure et dans les délais visés à l'Article 8 en cas de Violation des Données à Caractère Personnel ; et
  3. à l'extinction du Contrat ou de la mission confiée au Préposé, le Préposé cesse immédiatement le Traitement des Données à Caractère Personnel et s'abstient de conserver de quelconques copies des Données à Caractère Personnel sous quelque forme que ce soit, notamment au format électronique ou papier.

6. Sous-traitants Ultérieurs

6.1. Cloudeezy® ne pourra faire appel à un autre sous-traitant (« Sous-traitant Ultérieur ») que pour mener des activités de Traitement spécifiques. A la demande du Client, Cloudeezy® lui transmettra une liste des Sous-traitants Ultérieurs intervenant dans le cadre du Contrat et l'informera en cas de modification de ces Sous-traitants Ultérieurs.

6.2. Cloudeezy® veille à ce que chaque Sous-traitant Ultérieur présente des garanties adéquates au regard de la Réglementation relative à la Protection des Données eu égard aux mesures techniques et organisationnelles adoptées pour le Traitement des Données à Caractère Personnel et s'assure que chaque Sous-traitant Ultérieur cesse immédiatement le Traitement des Données à Caractère Personnel si ces garanties viennent à faire défaut. Si un Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des Données à Caractère Personnel, Cloudeezy® demeure pleinement responsable devant le Client de l'exécution par le Sous-traitant Ultérieur de ses obligations.

6.3. Cloudeezy® s'assure que chaque Sous-traitant Ultérieur est soumis à des obligations de confidentialité adéquates et qu'il s'engage à respecter les obligations du présent Accord de Sous-traitance pour le compte et selon les instructions du Client, par un accord écrit ayant un contenu similaire à celui de l'Accord de Sous-traitance.

7. Mesures de sécurité

7.1. Cloudeezy® s'engage à adopter des Mesures de Sécurité conformes aux dispositions de la Réglementation relative à la Protection des Données et au présent Accord de Soustraitance.

7.2. Plus particulièrement, Cloudeezy®, compte tenu de la situation actuelle, des coûts de mise en œuvre, et de la nature, de l'objet, du contexte et des finalités du Traitement des Données à Caractère Personnel, ainsi que du risque que le Traitement présente pour les droits et libertés des personnes physiques et de la probabilité et de la gravité de ce risque, s'engage à mettre en œuvre des mesures techniques et opérationnelles adéquates afin de garantir un niveau de sécurité approprié au risque lié au Traitement des Données à Caractère Personnel, y compris, le cas échéant, les mesures prévues à l'article 32, paragraphe 1, du RGPD. Dans tous les cas, Cloudeezy® s'engage :

  1. à adopter, à titre d'exigence minimum, l'ensemble des mesures techniques et organisationnelles imposées par la Réglementation relative à la Protection des Données ;
  2. à conserver les Données à Caractère Personnel séparément des autres données traitées pour son compte ou celui de tiers, uniquement dans les lieux indiqués par le Client ; et
  3. à envoyer à la demande du Client des informations relatives notamment aux mesures physiques, organisationnelles et techniques adoptées pour le Traitement des Données à Caractère Personnel par Cloudeezy® et ses propres Soustraitants Ultérieurs éventuels, ainsi que toute autre information complémentaire éventuellement demandée par le Client en relation avec les mesures physiques, techniques et organisationnelles mises en œuvre en lien avec le Traitement des Données à Caractère Personnel.

8. Violation des Données à Caractère Personnel

8.1. En cas de Violation des Données à Caractère Personnel, d'incidents susceptibles de compromettre la sécurité des Données à Caractère Personnel (par exemple : perte, dommage ou destruction des Données à Caractère Personnel, quel que soit le support ou format (papier, électronique ou autre), accès non autorisé de tiers aux Données à Caractère Personnel ou toute autre Violation des Données à Caractère Personnel), y compris de Violations des Données à Caractère Personnel découlant de la conduite des éventuels Sous-traitants Ultérieurs et/ou des Préposés de Cloudeezy®, Cloudeezy® :

  1. informera sans délai le Client après en avoir pris connaissance, au moyen d'une notification transmise par courriel à l'adresse de contact du Client et lui fournir les informations utiles afin de permettre au Client, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente ; et
  2. en collaboration avec le Client, adoptera immédiatement et, quoi qu'il en soit, sans retard injustifié, toute mesure s'avérant nécessaire afin de minimiser les risques de toute nature pesant sur les Données à Caractère Personnel et découlant de la Violation de celles-ci et mettra en œuvre toute opération éventuellement nécessaire afin de remédier à la Violation des Données à Caractère Personnel pour en atténuer les possibles effets néfastes et en rechercher la cause.
    • Aux fins du présent Accord de Sous-traitance, Cloudeezy® déclare et garantit que lui-même et ses éventuels Sous-traitants Ultérieurs ont adopté des mesures techniques et organisationnelles de nature à rendre improbable le risque qu'une éventuelle Violation des Données à Caractère Personnel menace les droits et libertés des Personnes Concernées correspondantes, y compris au moyen de technologies telles que le chiffrement qui rendent incompréhensibles les Données à Caractère Personnel à toute personne non autorisée à y accéder.
    • Cloudeezy® s'engage à tenir un registre énumérant les Violations de Données à Caractère Personnel relatives aux Données à Caractère Personnel objets du présent Accord de Sous-traitance, les circonstances y associées, leurs conséquences, les mesures adoptées afin d'y remédier ainsi que tout manquement commis au regard du présent Accord de Sous-traitance.

9. Droits des Personnes Concernées

Cloudeezy® s'engage à collaborer avec le Client dans une mesure raisonnable afin de garantir la satisfaction, dans les délais et selon les modalités fixés par la loi, des demandes d'exercice de droits des Personnes Concernées prévus par la Réglementation relative à la Protection des Données, et plus généralement, afin de garantir le plein respect de la Réglementation relative à la Protection des Données. À cet égard, Cloudeezy® s'engage à informer le Client, de toutes demandes d'exercice de droits formulées par les Personnes Concernées en question.

10. Communication et transfert des Données à Caractère Personnel

Cloudeezy® s'engage, dans le cadre du Traitement objet du présent Accord de Sous-traitance,

  1. à s'abstenir de diffuser ou de communiquer les Données à Caractère Personnel à des tiers, y compris d'éventuels Sous-traitants Ultérieurs, à moins que la Réglementation applicable ou le Contrat ne le prévoie expressément ou que le Client l'y autorise par écrit ; et
  2. à s'abstenir de transmettre, diffuser ou stocker des Données à Caractère Personnel dans un pays tiers à l'Union Européenne, sans accord préalable et exprès du Client. Si Cloudeezy® est tenu de procéder à un transfert de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel elle est soumise, elle doit en informer le Client avant le traitement et justifier du caractère impératif de cette obligation, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

11. Contrôle

11.1. Cloudeezy® s'engage à fournir au Client, sur demande de celui-ci, tout document raisonnablement nécessaire afin de s'assurer qu'elle se conforme aux obligations nées du présent Accord de Sous-traitance.

11.2. Cloudeezy® reconnaît que le Client pourra, à ses frais, faire évaluer par un tiers de confiance, reconnu en tant qu'auditeur indépendant des Parties et désigné par Cloudeezy®, les mesures organisationnelles, techniques et de sécurité adoptées par Cloudeezy® dans le cadre du Traitement des Données à Caractère Personnel, dans les conditions qui seront définies par Cloudeezy® et le Client et dans la limite du maintien des Services et de la confidentialité et sécurité des autres clients d'Cloudeezy®.

12. Rémunération

Le Client reconnaît et accepte expressément que Cloudeezy® pourra être rémunéré au titre de l'activité de Sous-Traitant du Traitement exécutée par ses soins et ceux de ses Sous-Traitants Ultérieurs dans le cadre du présent Accord de Sous-traitance.

13. Fin du Contrat

Au terme du Contrat pour quelque motif que ce soit, Cloudeezy® veillera à cesser immédiatement tout Traitement des Données à Caractère Personnel et à supprimer les Données à Caractère Personnel ainsi que les éventuelles copies de celles-ci, tant au format électronique qu'au format papier, des systèmes informatiques, des archives ou de tout autre lieu ou dispositif où celles-ci sont stockées, dans un délai de dix jours ouvrés, sauf si la conservation des Données à Caractère Personnel est imposée par la législation applicable, auquel cas cette conservation devra s'inscrire uniquement dans les limites strictement prévues par cette dernière. Il incombe donc au Client de s'assurer de la conservation de ses Données à Caractère Personnel préalablement au terme du Contrat.

14. Suppression et restitution des Données à caractère personnel

À la fin du Service (notamment en cas de résiliation ou de non-renouvellement), Cloudeezy® s’engage à supprimer dans les conditions prévues au Contrat, tout Contenu (notamment les informations, données, fichiers, systèmes, applications et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exigent autrement. Le Client est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, les instantanés, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des Services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des Services. À cet égard, le Client est informé que la résiliation et l’expiration d’un Service pour quelque raison que ce soit (incluant, mais de façon non exclusive le non-renouvellement), ainsi que certaines opérations de mise à jour ou de réinstallation des Services, peuvent automatiquement entraîner la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, ce compris toute sauvegarde potentielle.

15. Responsabilité

Cloudeezy® ne peut être tenu responsable que des dommages causés par un traitement pour lequel (i) il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) il a agi en-dehors des instructions licites du Client ou contrairement à celles-ci. Dans de tels cas, la disposition du Contrat relative à la Responsabilité s’applique. Lorsque Cloudeezy® et le Client sont impliqués dans un traitement dans le cadre du présent Contrat qui a causé un dommage à une personne concernée, le Client prend en charge, dans un premier temps, l’intégralité de la réparation effective (ou toute autre compensation) due à la personne concernée et, dans un second temps, réclame à Cloudeezy® la part de la réparation correspondant à la part de responsabilité de Cloudeezy® dans le dommage, étant précisé que les clauses limitatives de responsabilité prévues par le Contrat demeurent applicables.

16. Audits

Cloudeezy® met à la disposition du Client toutes les informations nécessaires pour (a) démontrer la conformité aux exigences du RGPD et (b) mener des audits. Ces informations sont disponibles dans la documentation standard sur le site internet de Cloudeezy® ou le site internet du Service exploitant une marque commerciale de Cloudeezy® souscrit par le Client. Des informations supplémentaires peuvent être communiquées au Client sur demande faite au Support Cloudeezy®. Si un Service est certifié, qu’il respecte un code de conduite ou fait l’objet de procédures de contrôles spécifiques, Cloudeezy® met à disposition, sur demande écrite du Client, les certificats et rapports des contrôles correspondants. Si les informations, les rapports et les certificats susmentionnés s’avèrent insuffisants pour permettre au Client de démontrer que les obligations prévues par le RGPD sont remplies, Cloudeezy® et le Client se réunissent alors pour convenir des conditions opérationnelles, sécuritaires et financières d’une inspection technique sur site. En toutes hypothèses, les conditions de cette inspection ne doivent pas affecter la sécurité des autres clients de Cloudeezy®.

L’inspection sur site susmentionnée, ainsi que la communication des certificats et des rapports de contrôles peuvent donner lieu à une facturation supplémentaire raisonnable. Toute information communiquée au Client en vertu de la présente clause et qui n’est pas disponible sur le Site Internet de Cloudeezy® ou sur le site internet du Service exploitant une marque commerciale de Cloudeezy® souscrit par le Client est considérée comme une information confidentielle de Cloudeezy® en vertu du Contrat. Avant de communiquer ces informations, Cloudeezy® peut exiger la signature d’un accord de confidentialité spécifique. Nonobstant ce qui précède, le Client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le Client doit d’abord consulter Cloudeezy® au sujet de toute divulgation requise.


Annexe 2 de la convention conformément à l'art. 28 du RGPD

Mesures techniques et organisationnelles conformément à l'art. 32 du RGPD et amendements

1. Confidentialité

  • Contrôle d'accès physique
    • Parcs de centres de données
      • système de contrôle d'entrée physique électronique avec journal
      • clôture de périmètre de haute sécurité autour de l'ensemble du parc du centre de données
      • distribution documentée des clés octroyées aux employés du fournisseur et aux clients de la colocation - pour les racks de colocation (pour chaque Client, uniquement pour son rack)
      • politiques pour accompagner et désigner les invités dans le bâtiment
      • personnel du centre de données présent 24h / 24
      • surveillance vidéo aux entrées et aux sorties; systèmes de verrouillage de portes de sécurité et salles de serveurs
      • pour les personnes externes au fournisseur (visiteurs du centre de données), l'accès au bâtiment est uniquement autorisé en compagnie d'un employé du centre de données
    • Surveillance
      • système de contrôle d'accès physique électronique avec journal
      • surveillance vidéo pour toutes les entrées et sorties
  • Contrôle d'accès électronique
    • Pour les mises en production de serveur géré, d'hébergement Web et service de stockage
      • l'accès est protégé par mot de passe et seuls les employés du fournisseur ont accès aux mots de passe. Les mots de passe doivent respecter une longueur minimale et les nouveaux mots de passe doivent être changés régulièrement.
      • le mot de passe du Client pour l'interface d'administration, après le déploiement initial, ne peut être modifié que par le Client; le mot de passe doit être conforme aux directives prédéfinies. En outre, le Client peut utiliser une authentification à deux facteurs pour sécuriser davantage son compte.
  • Contrôle d'accès interne
    • Pour les systèmes d'administration interne du fournisseur
      • le fournisseur doit empêcher tout accès non autorisé en appliquant régulièrement des mises à jour de sécurité et en utilisant une technologie de pointe
      • un processus obligatoire d'attribution d'autorisations pour les employés du fournisseur, à l'épreuve des révisions.
    • Pour les mises en production de service de stockage
      • le fournisseur doit empêcher tout accès non autorisé en appliquant régulièrement des mises à jour de sécurité et en utilisant une technologie de pointe
      • un processus obligatoire d'attribution d'autorisations pour les employés du fournisseur, à l'épreuve des révisions
      • seul le Client est responsable des données / logiciels transférés en ce qui concerne la sécurité et les mises à jour
  • Contrôle de transfert
    • Parcs de centres de données
      • les disques qui fonctionnaient sur des serveurs annulés seront effacés plusieurs fois (supprimés) conformément aux politiques de protection des données à la fin du contrat. Après des tests approfondis, les disques balayés seront réutilisés.
      • les disques défectueux qui ne peuvent pas être supprimés de manière sécurisée doivent être détruits (déchiquetés) directement dans le centre de données
  • Contrôle d'isolement
    • Pour les systèmes d'administration internes du fournisseur
      • les données doivent être isolées physiquement ou logiquement et sauvegardées séparément des autres données
      • les sauvegardes de données doivent également être effectuées à l'aide d'un système similaire d'isolation physique ou logique
    • Pour les mises en production de service de stockage
      • les données doivent être isolées physiquement ou logiquement et sauvegardées séparément des autres données
      • les sauvegardes de données doivent également être effectuées à l'aide d'un système similaire d'isolation physique ou logique

2. Intégrité (art. 32, al. 1, alinéa b du RGPD)

  • Contrôle du transfert de données
    • tous les employés sont formés conformément à l'art. 32, par. 4 du RGPD et sont tenus de veiller à ce que les données à caractère personnel soient traitées conformément à la réglementation sur la protection des données
    • suppression des données conformément à la réglementation sur la protection des données après la résiliation du contrat
    • les options de transmission de données cryptées sont fournies dans le cadre de la description de service de la commission principale
  • Contrôle de saisie de données
    • Pour les systèmes d'administration interne du fournisseur
      • les données sont entrées ou collectées par le Client
      • les modifications de données sont enregistrées
    • Pour les mises en production de service de stockage
      • les données sont entrées ou collectées par le client
      • les modifications de données sont enregistrées

3. Disponibilité et résilience (art. 32, par. 1, clause b du RGPD)

  • Contrôle de disponibilité
    • Pour les systèmes d'administration interne du fournisseur
      • concept de sauvegarde et de restauration avec sauvegardes quotidiennes de toutes les données pertinentes
      • usage professionnel de programmes de sécurité (antivirus, pare-feu, programmes de chiffrement, filtres anti-spam)
      • utilisation de la mise en miroir de disque sur tous les serveurs pertinents
      • surveillance de tous les serveurs pertinents
      • utilisation d'un système d'alimentation sans coupure ou d'un système d'alimentation de secours
      • protection DDoS active en permanence