Dispositions

complémentaires

relatives au traitement des commandes Les présentes dispositions relatives au traitement des commandes complètent les Conditions générales de vente de Jungherz GmbH, en tant qu'exploitant de la marque AppConfector (ci-après dénommé « le Prestataire »). En tant que lien indissociable de ces dernières, vous, en tant que client (ci-après dénommé « le Client »), acceptez automatiquement ces dispositions complémentaires dans le cadre d'une relation commerciale. En cas de contradiction entre les présentes dispositions et les conditions générales, les présentes dispositions prévalent pour le traitement des commandes.

Le Prestataire et le Client sont ci-après désignés sous le terme commun « les Parties ».

Les Parties conviennent que, dès l’entrée en vigueur du présent Contrat de sous-traitance, le Contrat de sous-traitance existant entre les Parties conformément à l’article 11 de la Loi fédérale allemande sur la protection des données ainsi que tout autre accord de sous-traitance seront résiliés d’un commun accord et remplacés par le présent nouveau Contrat de sous-traitance.

1. Généralités

(1) Le sous-traitant traite des données à caractère personnel pour le compte du Client au sens de l’article 4, point 8, et de l’article 28 du règlement (UE) 2016/679 – Règlement général sur la protection des données (RGPD). Le présent contrat régit les droits et obligations des parties en matière de traitement des données à caractère personnel.

(2) Dans la mesure où les termes « traitement des données » ou « traitement » (des données) sont utilisés dans le présent contrat, la définition du « traitement » au sens de l’article 4, paragraphe 2, du RGPD s’applique.

(3) Toutes les références au RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)) figurant dans le présent contrat s'appliquent au RGPD dans sa version en vigueur.

2. Objet de la mission

L'objet du traitement, la nature et la finalité du traitement, la nature des données à caractère personnel et les catégories de personnes concernées sont définis à l'annexe 1 du présent contrat.

3. Droits et obligations du client

(1) Le client est le responsable du traitement au sens de l’article 4, paragraphe 7, du RGPD pour le traitement des données pour le compte des sous-traitants. Conformément à l’article 4, paragraphe 5, du présent contrat, ce dernier est en droit d’informer le client si le traitement de données qu’il estime juridiquement inacceptable fait l’objet de la commande et/ou d’une instruction.

(2) Le client est responsable de la protection des droits des personnes concernées. Le sous-traitant informe sans délai le client si des personnes concernées font valoir leurs droits à l'égard du sous-traitant.

(3) Le client a le droit de donner à tout moment des instructions supplémentaires au sous-traitant concernant la nature, l'étendue et la procédure du traitement des données. Les instructions peuvent être données sous forme écrite (par exemple par e-mail).

(4) Les dispositions relatives à une éventuelle rémunération des frais supplémentaires engagés par le sous-traitant à la suite d’instructions supplémentaires données par le client restent inchangées.

5. Le donneur d’ordre informe sans délai le sous-traitant s’il constate des erreurs ou des irrégularités en rapport avec le traitement des données à caractère personnel par le sous-traitant.

(6) En cas d'obligation d'informer des tiers conformément aux articles 33 et 34 du RGPD ou de toute autre obligation légale de notification applicable au client, ce dernier est responsable du respect de cette obligation.

4. Obligations générales du sous-traitant

(1) Le sous-traitant traite les données à caractère personnel exclusivement dans le cadre des accords conclus et/ou conformément aux instructions complémentaires données par le client. Font exception à cette règle les dispositions légales qui pourraient obliger le sous-traitant à traiter les données d'une autre manière. Dans un tel cas, le sous-traitant doit informer le responsable du traitement de ces exigences légales avant le traitement, à moins que la loi en question n'interdise une telle notification pour un intérêt public important. La finalité, la nature et l’étendue du traitement des données sont par ailleurs régies exclusivement par le présent contrat et/ou les instructions du donneur d’ordre. Tout traitement des données s’écartant de ces dispositions est interdit au

sous-traitant, sauf si

celui-ci a donné son consentement écrit

. (2) Le sous-traitant s’engage à effectuer le traitement des données pour le compte du client uniquement au sein de l’Espace économique européen, sauf si des exigences techniques en disposent autrement.

(3) Dans le domaine du traitement des données à caractère personnel conformément à la commande, le

sous-traitant

garantit l'exécution contractuelle de toutes les mesures convenues

. (4) Le sous-traitant est tenu d'organiser son entreprise et ses procédures opérationnelles de manière à ce que les données traitées par lui pour le compte du client soient sécurisées dans la mesure nécessaire dans chaque cas et protégées contre tout accès non autorisé par des tiers. Ce dernier doit convenir au préalable avec le client de toute modification de l'organisation du traitement des données pour le compte du client qui présente une importance pour la sécurité des données.

(5) Le sous-traitant doit informer sans délai le client si, à son avis, une instruction donnée par le client enfreint les dispositions légales. Le sous-traitant est en droit de suspendre l'exécution de l'instruction en question jusqu'à ce qu'elle soit confirmée ou modifiée par le donneur d'ordre. Si le sous-traitant est en mesure de démontrer que le traitement conformément aux instructions du client peut entraîner sa responsabilité en vertu de l'article 82 du RGPD, il est en droit de suspendre la poursuite du traitement à cet égard jusqu'à ce que la responsabilité entre les parties soit clarifiée.

(6) Le traitement des données

pour le compte du client

en dehors des locaux commerciaux du

sous-traitant

ou du sous-traitant secondaire n’est autorisé qu’avec le consentement écrit ou sous forme de texte du client. Le traitement des données pour le client à domicile n’est autorisé qu’avec le consentement écrit ou sous forme de texte du client dans des cas particuliers

. (7) Le sous-traitant traitera les données qu’il traite pour le compte du client séparément des autres données. Une séparation physique n’est pas obligatoire.

5.

Délégué à la protection des données

du

sous-traitant (1) Le sous-traitant confirme avoir désigné un délégué à la protection des données conformément à l’article 37 du RGPD. Le sous-traitant doit s’assurer que le délégué à la protection des données dispose des qualifications et de l’expertise nécessaires. Le sous-traitant doit communiquer séparément au client, par écrit, le nom et les coordonnées de son délégué à la protection des données.

(2) L'obligation de désigner un délégué à la protection des données conformément au paragraphe 1 peut être levée à la discrétion du donneur d'ordre si le sous-traitant peut prouver qu'il n'est pas légalement tenu de désigner un délégué à la protection des données et s'il peut démontrer l'existence de dispositions opérationnelles garantissant que les données à caractère personnel sont traitées conformément aux dispositions légales, aux dispositions du présent contrat et à toute autre instruction du donneur

d'ordre

.

6. Obligations de notification du sous-traitant

(1) Le sous-traitant est tenu d’informer sans délai le client de toute violation des dispositions relatives à la protection des données ou des accords contractuels conclus et/ou des instructions données par le client, survenue dans le cadre du traitement des données par lui-même ou par d’autres personnes impliquées dans le traitement. Il en va de même pour toute violation de la protection des données à caractère personnel traitées par le sous-traitant pour le compte du client.

(2) En outre, le sous-traitant informe sans délai le client si une autorité de contrôle au sens de l’article 58 du RGPD prend des mesures à son encontre et que cela peut également concerner un contrôle du traitement qu’il effectue pour le compte du client.

(3) Le sous-traitant est conscient que le client peut être soumis à une obligation de notification conformément aux articles 33 et 34 du RGPD, qui prévoient une notification à l'autorité de contrôle dans les 72 heures suivant la découverte de l'incident. Le sous-traitant assiste le client dans la mise en œuvre des obligations de notification. En particulier, le sous-traitant notifie sans délai au client tout accès non autorisé aux données à caractère personnel traitées pour le compte du client, au plus tard dans les 48 heures suivant la prise de connaissance de cet accès. La notification des sous-traitants au client doit notamment contenir les informations suivantes :

• une description de la nature de la violation de la protection des données à caractère personnel, si possible avec une indication des catégories et du nombre approximatif de personnes concernées, des catégories concernées et du nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• une description des mesures prises ou proposées par le sous-traitant pour remédier à la violation de la protection des données à caractère personnel et, le cas échéant, des mesures visant à atténuer ses effets négatifs éventuels.

7. Obligations de coopération du sous-traitant

(1) Le sous-traitant mandaté assiste le client dans son obligation de répondre aux demandes d’exercice des droits des personnes concernées conformément aux articles 12 à 23 du RGPD. Les dispositions de l’article 11 du présent contrat s’appliquent.

(2) Le sous-traitant participe à l’établissement des listes des activités de traitement par le donneur d’ordre. Le sous-traitant fournit au client les informations nécessaires de manière appropriée.

(3) Compte tenu de la nature du traitement et des informations dont il dispose, le sous-traitant assiste le client dans le respect des obligations prévues aux articles 32 à 36 du RGPD.

(4) Le sous-traitant est en droit d'exiger du client une rémunération appropriée, proportionnelle aux frais engagés, pour ces prestations.

8. Pouvoirs de contrôle

(1) Le client a le droit de vérifier à tout moment, dans la mesure nécessaire, que le sous-traitant respecte les dispositions légales en matière de protection des données et/ou que les dispositions contractuelles convenues entre les parties et/ou que le sous-traitant se conforme aux instructions du client.

La preuve du respect des obligations incombant à un sous-traitant conformément au RGPD doit être apportée en premier lieu par des rapports de test et des certifications indépendants.

Si le client, sur la base de preuves factuelles, a des doutes raisonnables quant à l'insuffisance ou à l'inexactitude des rapports de test ou des certifications, ou si des incidents particuliers au sens de l'article 33, paragraphe 1, du RGPD liés à l'exécution du traitement de la commande du client le justifient, le client peut procéder à des inspections conformément à l'article 8, paragraphe 2.

(2) Afin de permettre au client de procéder à une inspection de la commande et, en particulier, de vérifier les mesures techniques et organisationnelles prises chez le sous-traitant avant le début et régulièrement pendant le traitement des données, le sous-traitant doit autoriser l’inspection par un tiers neutre (auditeur assermenté) mandaté par le client. Le sous-traitant est en droit de fixer les dates d’inspection en fonction des possibilités opérationnelles. L’inspection doit être rendue possible dans un délai raisonnable après la demande. Le

sous-traitant

peut également satisfaire au droit de contrôle du

client

en fournissant un rapport de contrôle établi par un auditeur assermenté indépendant pour le compte du sous-traitant. L'exercice du droit de contrôle ne doit pas perturber indûment les activités commerciales du sous-traitant ni être abusif.

(3) Le sous-traitant est en droit d'exiger du client une rémunération raisonnable pour les contrôles au sens du point 8. (2).

9. Taux de sous-traitance

(1) Le recours à des sous-traitants par le sous-traitant n’est autorisé qu’avec le consentement écrit du client. Le sous-traitant doit indiquer toutes les relations de sous-traitance déjà existantes au moment de la conclusion du contrat dans l’annexe 2 du présent contrat.

(2) Le sous-traitant doit sélectionner soigneusement le sous-traitant et vérifier, avant de passer la commande, que celui-ci est en mesure de respecter les accords conclus entre le client et le sous-traitant. En particulier, le sous-traitant doit vérifier au préalable et régulièrement pendant la durée du contrat que le sous-traitant a pris les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD pour la protection des données à caractère personnel. Le résultat de cette vérification doit être documenté par le sous-traitant et mis à la disposition du client sur demande.

(3) Le sous-traitant est tenu d'obtenir du sous-traitant la confirmation que ce dernier a désigné un délégué à la protection des données conformément à l'article 37 du RGPD. Si aucun délégué à la protection des données n'a été désigné par le sous-traitant, le sous-traitant en informe le client et fournit des informations à ce sujet démontrant que le sous-traitant n'est pas légalement tenu de désigner un délégué à la protection des données.

(4) Le

sous-traitant doit

veiller à ce que les dispositions convenues dans le présent contrat et les éventuelles instructions complémentaires du client s’appliquent également au sous-traitant.

(5) Le sous-traitant doit conclure avec le sous-traitant un contrat conforme aux exigences de l’article 28 du RGPD. En outre, le sous-traitant doit imposer au sous-traitant les mêmes obligations en matière de protection des données à caractère personnel que celles établies entre le donneur d’ordre et le sous-traitant.

(6) En particulier, le sous-traitant est tenu de garantir par des dispositions contractuelles que les pouvoirs de contrôle (clause 8 du présent contrat) du client et des autorités de contrôle s’appliquent également au sous-traitant et que les droits de contrôle correspondants sont convenus par le client et les autorités de contrôle. En outre, il est convenu contractuellement que le sous-traitant tolère ces mesures de contrôle et toute inspection sur place.

(7) Les relations de sous-traitance au sens des paragraphes 1 à 6 ne sont pas considérées comme des services que le sous-traitant obtient de tiers à titre de service purement accessoire pour l’exercice de son activité. Ces services comprennent, par exemple, les services de nettoyage, les services de télécommunications purs sans référence spécifique aux services que le sous-traitant fournit au donneur d’ordre, les services postaux et de messagerie, les services de transport, les services de sécurité. Le sous-traitant est néanmoins tenu de s'assurer, y compris dans le cas de services accessoires fournis par des tiers, que des précautions et des mesures techniques et organisationnelles appropriées ont été prises pour garantir la protection des données à caractère personnel. La maintenance et l'entretien des systèmes ou applications informatiques constituent une relation de sous-traitance et un traitement de commande au sens de l'art. 28 du RGPD, qui requiert une autorisation si la maintenance et les tests concernent des systèmes informatiques également utilisés dans le cadre de la prestation de services pour le client et si des données à caractère personnel traitées pour

le compte du

client sont accessibles pendant la maintenance.

10. Obligation de confidentialité

(1) Lors du traitement de données pour le compte du client, le sous-traitant est tenu de préserver la confidentialité des données qu’il reçoit ou dont il a connaissance dans le cadre de la commande.

Le sous-traitant

s'engage à respecter les mêmes règles de

protection

du secret que celles qui incombent au donneur d'ordre. Le donneur d'ordre est tenu d'informer le sous-traitant de toute règle particulière en matière de protection du secret.

(2) Le sous-traitant garantit qu'il a connaissance des réglementations applicables en matière de protection des données et qu'il en maîtrise l'application. Le sous-traitant garantit en outre qu'il a familiarisé ses employés avec les dispositions de protection des données qui leur sont applicables et qu'il les a tenus à la confidentialité. Le sous-traitant garantit en outre qu’il a notamment imposé à ses employés impliqués dans l’exécution des travaux une

obligation

de confidentialité et qu’il les a informés des instructions du client.

(3) L’obligation des employés visée au paragraphe 2 doit être prouvée au client sur demande.

11. Protection des droits des personnes concernées

(1) Le client est seul responsable de la sauvegarde des droits des personnes concernées. Le sous-traitant est tenu d’assister le client dans son obligation de traiter les demandes des personnes concernées conformément aux articles 12 à 23 du RGPD. En particulier, le sous-traitant veille à ce que les informations requises à cet égard soient fournies sans délai au donneur d’ordre, afin que celui-ci puisse remplir ses obligations au titre de l’article 12, paragraphe 3, du RGPD.

(2) Dans la mesure où la coopération du sous-traitant est nécessaire à la protection des droits des personnes concernées – notamment en matière d’information, de rectification, de verrouillage ou d’effacement – par le client, le sous-traitant prend les mesures nécessaires conformément aux instructions du client. Dans la mesure du possible, le sous-traitant soutient le donneur d’ordre par des mesures techniques et organisationnelles appropriées afin de lui permettre de s’acquitter de son obligation de répondre aux demandes d’exercice des droits des personnes concernées. Le sous-traitant est en droit d'exiger du client une rémunération raisonnable pour ces services.

(3) Cela ne porte pas atteinte aux dispositions relatives à l'éventuelle rémunération des frais supplémentaires engagés par le sous-traitant du fait des services de coopération liés à l'exercice des droits des personnes concernées à l'égard du client.

12. Obligations de confidentialité

(1) Les deux parties s’engagent à traiter toutes les informations reçues dans le cadre de l’exécution du présent contrat comme confidentielles pour une durée illimitée et à ne les utiliser que pour l’exécution du contrat. Aucune des parties n’est autorisée à utiliser ces informations, en tout ou en partie, à des fins autres que celles qui viennent d’être mentionnées, ni à les mettre à la disposition de tiers.

(2) L'obligation susmentionnée ne s'applique pas aux informations dont l'une des parties a manifestement pris connaissance auprès de tiers sans être tenue au secret ou qui sont de notoriété publique.

13. Traitement

Le sous-traitant ne perçoit aucune rémunération distincte au titre du présent contrat.

14. Mesures techniques et organisationnelles pour la sécurité des données

(1) Le sous-traitant s'engage envers le client à respecter les mesures techniques et organisationnelles requises pour se conformer à la réglementation applicable en matière de protection des données. Cela inclut notamment les exigences de l'article 32 du RGPD.

(2) L'état des mesures techniques et organisationnelles existant au moment de la conclusion du contrat est joint au présent contrat en tant qu' annexe 3. Les parties conviennent que des modifications des mesures techniques et organisationnelles peuvent s'avérer nécessaires pour s'adapter aux conditions techniques et juridiques. Les modifications importantes susceptibles d'affecter l'intégrité, la confidentialité ou la disponibilité des données à caractère personnel feront l'objet d'un accord préalable entre le sous-traitant et le client. Les mesures qui n'impliquent que des modifications techniques ou organisationnelles mineures et qui n'affectent pas négativement l'intégrité, la confidentialité et la disponibilité des données à caractère personnel peuvent être mises en œuvre par le sous-traitant sans consultation du client. Le client peut à tout moment demander une version actualisée des mesures techniques et organisationnelles prises par le sous-traitant.

(3) Le sous-traitant vérifie régulièrement, ainsi qu'en cas de besoin, l'efficacité des mesures techniques et organisationnelles qu'il a mises en place. En cas de nécessité d'optimisation et/ou de modification, le sous-traitant mandaté en informe le client.

15. Durée de la commande

(1) Le contrat prend effet dès la passation de la commande et est conclu pour une durée indéterminée.

(2) Le contrat prend fin à l'expiration du contrat principal (un pack d'applications ou tout autre service) sans qu'une résiliation distincte soit nécessaire.

Les obligations de suppression et de restitution après la résiliation du présent contrat sont régies par l’article 16.

(3) Le donneur d’ordre peut résilier le contrat à tout moment sans préavis en cas de violation grave des dispositions applicables en matière de protection des données auxquelles le sous-traitant est soumis ou des obligations découlant du présent contrat, si le sous-traitant n’est pas en mesure ou refuse d’exécuter une instruction donnée par le donneur d’ordre, ou si le sous-traitant refuse l’accès au donneur d’ordre ou à l’autorité de contrôle compétente en violation du contrat.

16. Résiliation

(1) Après la résiliation du contrat, le sous-traitant mandaté doit, au choix du client, restituer à ce dernier ou supprimer tous les documents, données et résultats de traitement ou d’utilisation créés qui sont entrés en sa possession dans le cadre de la relation contractuelle. La suppression doit être documentée de manière appropriée. Les obligations légales de conservation ou autres obligations de stockage des données restent inchangées. Dans le cas de supports de données, ceux-ci doivent être détruits en cas de suppression demandée par le client, le niveau de sécurité 3 de la norme DIN 66399 devant au moins être respecté ; le client doit fournir la preuve de la destruction en se référant au niveau de sécurité conformément à la norme DIN 66399.

(2) Le client a le droit de contrôler la restitution et la suppression complètes et conformes au contrat des données chez le sous-traitant. Cela peut également se faire par une inspection des équipements de traitement des données dans les locaux du sous-traitant. L'inspection sur place doit être annoncée par le client avec un préavis raisonnable.

17. Droit de rétention

Les parties conviennent que l'invocation du droit de rétention par le sous-traitant au sens de l'article 273 du BGB (Code civil allemand) concernant les données traitées et les supports de données associés est exclue.

18. Dispositions finales

(1) Si les biens du client sont menacés dans les locaux du sous-traitant par des mesures de tiers (telles que la saisie ou la confiscation), par une procédure d'insolvabilité ou par d'autres événements, le sous-traitant en informe le client sans délai. Le sous-traitant informe sans délai les créanciers du fait que les données sont traitées dans le cadre de la commande.

(2) La forme écrite est requise pour les accords accessoires.

(3) Si certaines parties du présent contrat s’avéraient invalides, cela n’affecterait pas la validité des autres dispositions du contrat.

Annexe 1 - Objet de la commande

1. Objet et finalité du traitement

La commande du client au sous-traitant comprend les travaux et/ou services suivants : mise à disposition d’applications mobiles (décrites plus en détail dans la description de service en vigueur), ainsi que de pages web au contenu similaire. Cela inclut la collecte, le traitement et la transmission des données enregistrées.

2. Type(s) de données à caractère personnel

Les types de données suivants sont régulièrement traités : Données de trafic, données de contenu, données de contact, données de base personnelles et données de communication (nom, adresse, numéro de téléphone, numéro de fax, adresse e-mail).

3. Cercle des personnes concernées

Cercle des personnes concernées par le traitement des données : Utilisateurs de votre compte, participants appelants et appelés ou expéditeurs/destinataires de SMS/fax, employés, clients, partenaires commerciaux, parties intéressées et prestataires de services du client.

Si le client est un partenaire du sous-traitant : Données de contact, données personnelles de base et données de communication (nom, adresse, numéro de téléphone, numéro de fax, adresse e-mail) des sous-traitants/entreprises recommandés par le partenaire qui a passé la commande.

Le client est tenu d'informer les utilisateurs du compte et, si nécessaire, le comité d'entreprise ou des représentants équivalents du traitement des données mentionnées au point 2.

4. Lieu du traitement des données :

Toutes les données sont traitées sur des serveurs situés dans l'Espace économique européen.

Annexe 2 - Sous-traitant

Pour le traitement des données pour le compte du donneur d'ordre, le sous-traitant fait appel aux services de tiers qui traitent les données pour son compte (« sous-traitants »).

Le sous-traitant fait appel à divers sous-traitants pour fournir ses services.

Ces sous-traitants sont initialement les sociétés suivantes du sous-traitant et fournissent des travaux préparatoires pour la réalisation des services du sous-traitant. Les accords contractuels nécessaires sont en place entre les sociétés pour le traitement de ces données.

Il s'agit des sociétés suivantes :

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 France

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irlande

Annexe 3 - Mesures techniques et organisationnelles du sous-traitant

Le sous-traitant doit prendre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données au sens de l'article 32 du RGPD.

1. Confidentialité

Contrôle d'accès

Afin d'empêcher tout accès non autorisé aux systèmes de traitement des données avec lesquels les données sont traitées ou utilisées, le sous-traitant et ses sous-traitants, tels que Netcup et la division Google Cloud, ont mis en place des processus formels de contrôle d'accès exhaustifs.

Les sites utilisés abritent des salles de serveurs et une salle technique dédiée aux serveurs. Pour y accéder, des clés électroniques sont délivrées à certains employés du sous-traitant. Ces clés autorisent uniquement l’employé concerné du sous-traitant à ouvrir/fermer les portes individuelles qui ont été approuvées à cet effet. Toutes les opérations d’ouverture et de fermeture effectuées avec une clé sont enregistrées électroniquement avec l’identifiant unique de la clé. Seuls les employés du sous-traitant directement autorisés par la direction sont responsables de la gestion des clés.

La salle des serveurs est verrouillée en permanence et ne peut être accessible qu'aux employés sélectionnés du sous-traitant.

Au sein du bâtiment du site concerné, les droits d'accès des employés du sous-traitant – même ceux qui disposent d'une clé – sont limités à ce qui est nécessaire à l'exécution de la tâche spécifique à accomplir.

Pendant les heures d'ouverture, un contrôle des personnes entrant dans le bâtiment est effectué à la réception, qui est occupée en permanence. En dehors des heures d'ouverture, toutes les entrées du bâtiment sont verrouillées et sécurisées par un système d'alarme. Le bâtiment est en outre sécurisé par un service de sécurité. Toutes les alarmes du système d'alarme sont signalées directement à un service de sécurité.

Des mesures de sécurité standard sont appliquées dans tous les centres de données. Celles-ci correspondent à l'état de l'art et aux meilleures pratiques du secteur informatique. Elles comprennent des systèmes de contrôle d'accès électroniques avec journalisation, grâce auxquels seules les personnes autorisées sont autorisées à entrer dans le bâtiment, des systèmes d'alarme, une vidéosurveillance à l'intérieur et à l'extérieur, du personnel de sécurité présent 24 heures sur 24 et 7 jours sur 7, des systèmes d'alarme, la sécurisation du bâtiment par des barbelés, ainsi qu'une protection assurée par des services de sécurité externes qui sont automatiquement informés via une ligne d'alarme dédiée en cas de déclenchement d'une alarme.

Les clés des salles et des cages individuelles du centre de données doivent toujours être retirées auprès du personnel de sécurité.

Contrôle d'accès

Afin de garantir que les personnes autorisées à utiliser un système de traitement de données ne puissent accéder qu'aux données relevant de leur autorisation d'accès et que les données stockées ou en cours de traitement ne puissent être lues, copiées, modifiées ou supprimées par des personnes non autorisées, le sous-traitant utilise un système centralisé de gestion des autorisations d'accès. Tous les accès sont enregistrés localement et sur le serveur de journaux central. Les droits d'administration ne peuvent être exercés que via un programme d'administration central.

L'accès à toutes les données est limité à ce qui est nécessaire pour que toutes les personnes autorisées puissent accomplir leurs tâches spécifiques. Les exigences légales en matière de protection des données, en particulier celles du règlement général sur la protection des données (RGPD) et de la loi sur les télécommunications (TKG), sont respectées.

Séparation

Le sous-traitant traite les données sur des systèmes de serveurs qui sont séparés logiquement par un système de contrôles d'accès logiques et physiques sur le réseau.

2. Intégrité

Contrôle des entrées

Afin de garantir que le sous-traitant puisse vérifier et déterminer a posteriori si et par qui des données ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données, tous les accès aux données stockées du client sont consignés localement et sur le serveur de journaux central.

Contrôle de la transmission

Afin de garantir que les données ne puissent pas être lues, copiées, modifiées ou supprimées par des personnes non autorisées lors de la transmission électronique, du transport ou du stockage, et qu'il soit possible de vérifier où les données sont destinées à être transférées par les systèmes de transfert de données, l'accès à tous les systèmes traitant les données des clients est soumis à des contrôles d'accès efficaces. Ces mécanismes de contrôle d'accès sont déjà décrits plus en détail ci-dessus au point 3.

3. Disponibilité et résilience

Le sous-traitant utilise une combinaison de systèmes redondants et de solutions de sauvegarde dans tous les systèmes afin de protéger les données stockées et de pouvoir les restaurer si nécessaire. Ces systèmes sont exploités exclusivement dans des locaux sécurisés et équipés selon l'état actuel de la technique, qui disposent des systèmes de climatisation, d'alarme incendie et de détection de fumée nécessaires et pour lesquels il existe des plans d'urgence détaillés.

4. Procédures de révision, d'évaluation et d'analyse régulières

Tous nos propres employés et ceux du sous-traitant sont régulièrement formés aux questions de protection des données. Ces formations sont entièrement dispensées en interne, ce qui permet une adaptation précise aux questions pertinentes pour le sous-traitant. Des questions individuelles sont également abordées en détail lors de ces sessions de formation.

Tous les employés du sous-traitant qui sont amenés à traiter des données à caractère personnel dans le cadre de leur travail sont tenus de traiter ces données de manière confidentielle. Cette obligation est régulièrement réaffirmée lors de l'embauche de nouveaux employés au moyen d'une déclaration d'engagement contractuelle que chaque employé doit signer.

Le sous-traitant a désigné un délégué à la protection des données. Avec ses adjoints, le délégué à la protection des données veille à ce que les demandes des personnes concernées reçoivent une réponse en temps utile.

Le sous-traitant tient un registre des activités de traitement au sens de l'article 30, paragraphes 1 et 2, du RGPD. Ce registre des activités de traitement n'est pas public.

(au 16 février 2022)