Addenda relatif au traitement des données du MSA

Le présent addenda relatif au traitement des données (« ATD ») est incorporé au contrat-cadre d’abonnement Avetta (le « contrat principal ») conclu entre Avetta et le client et en fait partie. Il définit les modalités, les exigences et les conditions supplémentaires relatives à l’obtention, à la manipulation, au traitement, à la divulgation, au transfert ou au stockage par Avetta des données personnelles dans le cadre de la prestation de services en vertu du contrat principal. Toutes les conditions non définies dans le présent ATD ont le sens qui leur est attribué dans le contrat principal.

1. Définitions et interprétation.

1.1 Définitions.

« Législation applicable en matière de protection des données » désigne les lois et réglementations applicables au traitement des données personnelles par la partie respective dans le cadre du contrat principal, y compris, le cas échéant, i) le règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil (le « RGPD »), tel que modifié et complété, selon le cas, par les lois et réglementations pertinentes des États membres de l’UE où le client exerce ses activités directement ou indirectement, ii) la Data Protection Act de 2018 du R.-U. et le règlement général sur la protection des données du R.-U. (le « RGPD du R.-U. »), iii) la Privacy Act 1988 de l’Australie et les principes de protection des renseignements de l’État, iv) la California Consumer Privacy Act de 2018, telle que modifiée par la California Privacy Rights Act de 2020, ainsi que les réglementations ou directives connexes (collectivement, la « CCPA »), v) la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (la « LPRPDE ») ainsi que vi) les autres lois, règlements, réglementations, directives et exigences gouvernementaux internationaux, fédéraux, d’État, provinciaux et locaux en matière de confidentialité ou de protection des données actuellement en vigueur ou qui entreront en vigueur.

« Personne concernée » désigne une personne qui est visée par les données personnelles et que les données personnelles concernent ou identifient, directement ou indirectement.

L’expression « cadre relatif à la confidentialité des données » inclut l’EU-US Data Privacy Framework, l’UK Extension to the EU-US Data Privacy Framework et le Swiss-US Data Privacy Framework, qui ont respectivement été élaborés dans l’optique du commerce transatlantique par le département du Commerce des États-Unis et la Commission européenne, le gouvernement du Royaume-Uni et l’Administration fédérale suisse pour fournir aux organisations américaines des mécanismes fiables pour les transferts de données personnelles aux États-Unis à partir de l’EEE, du Royaume-Uni (et de Gibraltar) et de la Suisse, de manière à ce que la protection des données soit cohérente avec les lois de l’UE, du R.-U. et de la Suisse.

« EEE » désigne l’Espace économique européen composé de tous les États membres de l’Union européenne et de l’Islande, de la Norvège et du Liechtenstein.

« CCT de l’UE » désigne les clauses contractuelles types de la Commission européenne pour le transfert de données personnelles de l’Union européenne vers des pays tiers, comme énoncé dans l’annexe de la décision de la Commission (UE) 2021/914, dont une copie est disponible à l’adresse https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_fr.

« Données personnelles » désigne les renseignements qu’Avetta traite et i) qui identifient ou concernent une personne que ces données seules ou combinées à d’autres renseignements qu’Avetta possède ou contrôle permettent d’identifier directement ou indirectement, ou ii) que la législation applicable en matière de protection des données définit autrement comme des données personnelles protégées ou des renseignements personnels.

« Traitement et processus » désigne les activités qui impliquent l’utilisation de données personnelles ou ce que désigne « traitement » ou « processus » en vertu de la législation applicable en matière de protection des données. Cela comprend l’obtention, l’enregistrement ou la conservation des données, ou l’exécution d’une opération ou d’un ensemble d’opérations avec les données, y compris l’organisation, la modification, la récupération, l’utilisation, la divulgation, l’effacement ou la destruction. Le traitement inclut également le transfert des données personnelles à des tiers.

« Violation de sécurité » désigne une violation de sécurité menant à la destruction, à la perte, à la modification, à la divulgation non autorisée ou à la consultation accidentelle ou illégale de données personnelles.

« Demande en vertu des droits d’une personne concernée » désigne l’exerce par une personne concernée de ses droits en vertu de la législation applicable en matière de protection des données.

« Addenda du R.-U. » désigne l’International Data Transfer Addendum to the European Commission’s Standard Contractual Clauses du commissaire à l’information du R.-U., dont une copie est accessible à l’adresse https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance.

1.2 Les annexes font partie du présent ATD et auront le même effet que si elles étaient intégralement reproduites dans le présent ATD. Toute référence au présent ATD inclut les annexes.

1.3 Une référence à « écrit » ou « par écrit » inclut les courriels.

1.4 En cas de conflit ou d’ambiguïté entre les dispositions du présent ATD et les dispositions du contrat principal, les dispositions du présent ATD prévaudront, ou entre les dispositions du présent ATD et les dispositions contenues dans l’annexe A, les dispositions applicables de l’annexe A prévaudront.

2. Rôles et portée du traitement.

2.1 Rôles des parties. Le client et Avetta reconnaissent et acceptent ce qui suit :

a) Avetta est un responsable du traitement des données dans la mesure où le traitement des données personnelles est effectué au nom du client et sous sa direction; et

b) Avetta est le contrôleur des données dans la mesure où le traitement des données personnelles est effectué aux fins d’Avetta relativement à la prestation des services et pour les intérêts commerciaux légitimes d’Avetta, comme la facturation, la gestion des comptes, le soutien technique, le développement de produits, les utilisations analytiques ainsi que les ventes et le marketing (p. ex. l’envoi de bulletins aux utilisateurs administrateurs du client).

2.2 Traitement par le client des données personnelles. Le client reconnaît et accepte ce qui suit :

a) Le client a la responsabilité exclusive de l’exactitude, de la qualité et de la légalité des données personnelles soumises à Avetta (par le client ou par ses personnes concernées).

b) Le client ne doit téléverser et soumettre à Avetta que les données personnelles qui ont été obtenues de personnes concernées conformément à la législation applicable en matière de protection des données.

c) Le client doit s’assurer qu’il dispose de tous les consentements et de toutes les notifications nécessaires, et qu’il a satisfait à toutes les autres exigences de la législation applicable en matière de protection des données pour permettre le transfert légal de données personnelles (y compris de données sensibles) à Avetta et permettre à Avetta de traiter les données personnelles dans diverses juridictions conformément au contrat principal et au présent ATD.

d) Lorsque le consentement est la base légale du traitement des données personnelles ou est autrement requis pour l’utilisation des services, le client doit, à tout moment, mettre à disposition et maintenir i) un mécanisme permettant d’obtenir ce consentement des personnes concernées et ii) un mécanisme permettant aux personnes concernées de retirer ce consentement, dans chaque cas conformément à la législation applicable en matière de protection des données.

e) L’utilisation par le client des services ne violera les droits d’aucune personne concernée.

2.3 Détails du traitement de données. L’annexe B présente les catégories générales de données personnelles, les types de personnes concernées et les autres détails du traitement qu’Avetta effectuera relativement à la prestation des services conformément au contrat principal.

3. Obligations d’Avetta.

3.1 Avetta traitera les données personnelles seulement aux fins spécifiques du transfert, comme énoncé à l’annexe B. Avetta pourra traiter les données personnelles à une autre fin (i) si elle a obtenu le consentement préalable de la personne concernée, ii) lorsque nécessaire pour l’établissement, l’exercice ou la défense de réclamations juridiques dans le contexte de procédures administratives, réglementaires ou judiciaires précises, ou iii) lorsque nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Dans la mesure où Avetta agit en tant que responsable du traitement des données du client, Avetta doit traiter les données personnelles selon les instructions du client. Les parties acceptent que les instructions du client doivent être dans la portée du contrat principal. Toutes les instructions supplémentaires nécessiteraient le consentement écrit préalable d’Avetta. Avetta doit informer rapidement le client si, à son avis, ces instructions violent la législation applicable en matière de protection des données. Le cas échéant, le client est responsable des communications, des notifications, de l’assistance et/ou des autorisations qui peuvent être requises relativement à ses personnes concernées.

3.2 Compte tenu de la nature du traitement par Avetta et des renseignements dont dispose Avetta, Avetta pourra aider raisonnablement le client à respecter ses obligations en matière de conformité en vertu de la législation applicable en matière de protection des données, à condition que le client assume tous les coûts engagés par Avetta relativement à la fourniture d’une telle aide. Ces obligations en matière de conformité peuvent inclure l’obligation de réaliser une évaluation de l’impact des opérations de traitement sur la protection des données personnelles (une « évaluation de l’impact sur la protection des données ») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et les libertés de personnes physiques.

4. Employés d’Avetta.

4.1 Avetta s’assurera que tous les employés qui ont accès aux données personnelles ou qui participent au traitement des données personnelles i) ont suivi une formation sur la législation applicable en matière de protection des données relativement à la manipulation des données personnelles et à son application à leurs tâches particulières et sont au courant des tâches d’Avetta ainsi que de leurs tâches et obligations personnelles en vertu de la législation applicable en matière de protection des données et du présent ATD; et ii) sont assujettis à une obligation de confidentialité appropriée (qu’il s’agisse d’un devoir contractuel ou légal).

4.2 Avetta prendra des mesures raisonnables pour garantir la fiabilité et l’intégrité des employés d’Avetta qui ont accès aux données personnelles.

5. Sécurité.

5.1 Compte tenu de l’état de l’art, des coûts de la mise en œuvre, de la nature, de la portée, du contexte et des fins du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et les libertés des personnes concernées, Avetta a mis en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris les mesures de sécurité décrites à l’annexe II de l’annexe B. Avetta peut réviser et mettre à jour l’annexe II de temps à autre, à condition que ces mises à jour ne réduisent pas notablement la sécurité globale des services ou des données personnelles.

5.2 Le client est responsable de réviser les renseignements rendus disponibles par Avetta concernant la sécurité des données et de déterminer indépendamment si les services respectent les exigences et les obligations légales du client en vertu de la législation applicable en matière de protection des données.

6. Violation de sécurité et perte de données personnelles.

6.1 Avetta doit informer le client sans délai si elle découvre une violation de sécurité. La notification d’Avetta doit être envoyée au courriel inscrit par le client dans les services Avetta, et si aucun courriel n’est inscrit, le client reconnaît que les méthodes de notification seront déterminées à la discrétion raisonnable d’Avetta et que la capacité d’Avetta à informer rapidement le client peut s’en trouver affectée. Avetta doit prendre rapidement des mesures raisonnables pour contenir, enquêter et atténuer les violations de sécurité. Si le client soupçonne une violation de sécurité, il doit le signaler immédiatement à infosec@avetta.com.

6.2 Dans la mesure disponible, Avetta doit fournir rapidement au client des renseignements sur la violation de sécurité, y compris, mais sans s’y limiter, sur la nature et les conséquences d’une violation de sécurité, les mesures prises et/ou proposées par Avetta afin d’atténuer ou de contenir la violation de sécurité, l’état de l’enquête d’Avetta, une personne-ressource auprès de qui des renseignements supplémentaires peuvent être obtenus ainsi que les catégories et le nombre approximatif d’enregistrements de données concernés. Les communications d’Avetta ou au nom d’Avetta avec le client relativement à une violation de sécurité ne doivent pas être interprétées comme une reconnaissance par Avetta d’une faute ou d’une responsabilité en ce qui concerne la violation de sécurité.

7. Transferts transfrontaliers de données personnelles, clauses contractuelles obligatoires.

7.1 Le client reconnaît et accepte qu’Avetta peut transférer, consulter et traiter des données personnelles sur une base mondiale, tel que nécessaire pour offrir les services.

7.2 Lorsque la législation applicable en matière de protection des données prescrit des mécanismes spécifiques pour le transfert de données personnelles à Avetta et/ou des clauses contractuelles pour le traitement des données personnelles par Avetta (collectivement, des « mécanismes de transfert »), Avetta doit rendre ces mécanismes de transfert spécifiques accessibles (dans la mesure généralement possible pour Avetta) à l’annexe A.

7.3 Si la législation applicable en matière de protection des données prescrit des exigences supplémentaires pour le transfert et/ou des clauses contractuelles pour le traitement des données personnelles, Avetta accepte de coopérer raisonnablement avec le client pour l’aider à se conformer à ces exigences et mettra à jour les mécanismes de transfert figurant à l’annexe A lorsque c’est approprié. Le client accepte d’exécuter les documents supplémentaires et de prendre les mesures supplémentaires jugées raisonnablement nécessaires pour que le mécanisme de transfert supplémentaire ou modifié ait un effet juridique.

8. (Sous-) responsables du traitement.

8.1 Le client accepte que, dans la mesure où Avetta agit en tant que responsable du traitement des données, Avetta puisse utiliser les sous-responsables du traitement mentionnés à l’adresse responsables du traitement et sociétés affiliées pour le traitement de données personnelles relativement à la prestation des services. Au moins dix jours avant l’autorisation d’un nouveau sous-responsable du traitement ou le remplacement d’un sous-responsable du traitement, Avetta informera le client des modifications en publiant les nouveaux sous-responsables du traitement proposés à l’adresse responsables du traitement et sociétés affiliées. Le client est responsable de consulter ce site Web régulièrement pour se tenir au courant des mises à jour. Si le client a une objection légitime à la nomination du nouveau sous-responsable du traitement qui a trait à la conformité d’Avetta avec le présent ATD, Avetta déploiera des efforts raisonnables pour gérer l’objection du client. Si aucune résolution n’est possible, Avetta choisira, à sa discrétion exclusive, de ne pas nommer le nouveau sous-responsable du traitement ou de permettre au client de suspendre ou de résilier le contrat principal sans responsabilité pour l’une ou l’autre des parties. Avetta ne sera pas obligée de rembourser les sommes payées en vertu du contrat principal. 8.2 Le client reconnaît et accepte également que, dans la mesure où Avetta agit en tant que contrôleur des données, Avetta peut utiliser les fournisseurs de services supplémentaires mentionnés à la page responsables du traitement et sociétés affiliées aux fins prévus dans les présentes.

9. Demandes en vertu des droits d’une personne concernée par les données.

9.1 Les parties acceptent de fournir l’aide raisonnablement nécessaire pour permettre à l’autre partie de répondre aux demandes en vertu des droits d’une personne concernée dans les délais imposés par la législation applicable en matière de protection des données.

10. Demande d’accès aux données de tiers.

10.1 Avetta doit informer le client des demandes de divulgation des données personnelles du client par un organisme gouvernemental ou réglementaire ou une autorité d’application de la loi, sauf si la loi ou un ordre légalement contraignant l’interdit.

11. Durée et résiliation.

11.1 Le présent ATD entre en vigueur à la date d’entrée en vigueur du contrat principal ou à la première fourniture de données personnelles à Avetta, selon la première éventualité, et demeure pleinement en vigueur tant que le contrat principal le demeure.

11.2 Toute disposition du présent ATD qui, expressément ou implicitement, entre ou demeure en vigueur à la résiliation du contrat principal ou après sa résiliation afin de protéger les données personnelles demeurera pleinement en vigueur.

12. Retour et destruction des données.

12.1 À la demande écrite du client, Avetta fournira au client une copie des données personnelles qu’elle détient ou contrôle ou un accès à celles-ci, dans un format mutuellement accepté, si la demande est soumise avant l’élimination par Avetta des données personnelles.

12.2 Après la résiliation du contrat principal, dans un délai raisonnable, Avetta supprimera ou détruira de façon sécuritaire les données personnelles du client liées au présent ATD qu’elle détient ou contrôle. Cette exigence ne s’applique pas i) dans la mesure où la conservation des données personnelles vise à satisfaire des exigences juridiques, réglementaires, fiscales, comptables ou de déclaration, ou si elle est nécessaire pour l’établissement l’exercice ou la défense de réclamations juridiques si Avetta croit raisonnablement qu’il y a une possibilité de litige; et ii) aux données personnelles contenues dans les systèmes de sauvegarde jusqu’à ce que les sauvegardes aient été écrasées ou supprimées conformément à la politique de sauvegarde d’Avetta, auquel cas Avetta isolera et protégera les données personnelles de tout autre traitement, sauf dans la mesure requise par les lois applicables jusqu’à ce qu’une suppression soit possible.

13. Audit.

13.1 Sur demande écrite et sans frais supplémentaires pour le client, Avetta fournira au client et/ou à son tiers représentant adéquatement qualifié (collectivement, l’« auditeur ») un accès à la documentation raisonnablement demandée prouvant la conformité d’Avetta avec ses obligations en vertu du présent ATD sous la forme des audits ou des certifications pertinents énumérés à l’annexe II de l’annexe B, comme ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 et ISO/IEC 22301:2019 (les « certifications ISO ») et SOC 2 de type II. Avetta répondra également aux questionnaires d’audit écrits que le vérificateur lui soumet et se présentera aux rencontres par téléconférence ou en personne (aux frais du client) afin de répondre aux questions de suivi, à condition que le client n’exerce pas ce droit plus d’une fois par année, sauf si et quand une autorité de protection des données compétente l’exige. Avetta peut demander au vérificateur de conclure un accord de confidentialité distinct avec Avetta avant la révision de rapports ou un audit d’Avetta, et Avetta peut présenter ses objections par écrit à ce vérificateur, si d’après l’opinion raisonnable d’Avetta, le vérificateur n’est pas adéquatement qualifié ou est un concurrent direct d’Avetta. En cas de telles objections par Avetta, le client devra nommer un autre auditeur. Les frais engagés par un vérificateur relativement à une révision de rapports ou à un audit sont la responsabilité exclusive du vérificateur.

14. Généralités.

14.1 Les parties acceptent que le présent ATD remplace tous les addendas, annexes, pièces ou clauses contractuelles types existants qu’Avetta et le client pourraient avoir acceptés précédemment relativement aux services. Avetta peut mettre à jour le présent ATD de temps à autre (par exemple, en réponse à des modifications de la législation applicable en matière de protection des données ou à la suite d’une fusion, acquisition, réorganisation d’entreprise ou autre occurrence semblable, ou de la parution de nouvelles fonctionnalités ou fonctions, de nouveaux produits ou services ou de modifications notables de services existants), à condition, cependant, que cette mise à jour ne réduise pas notablement la confidentialité ou la sécurité des données personnelles. Avetta publiera la version mise à jour à l’adresse Addenda relatif au traitement des données du MSA ou sur un site Web successeur désigné par Avetta.

14.2 La responsabilité d’Avetta en vertu du présent ATD ou relativement à celui-ci, y compris en vertu des CCT de l’UE, est assujettie aux exclusions et aux limitations de la responsabilité contenues dans le contrat principal. En aucun cas, Avetta ne limite ou n’exclut sa responsabilité envers les personnes concernées par les données ou les autorités de protection des données compétentes.

14.3 Sauf là et dans la mesure où les CCT de l’UE le prévoient expressément ou la législation applicable en matière de protection des données l’exige, le présent ATD n’octroie aucun droit de bénéficiaire à des tiers. Il se veut au profit de la partie aux présentes ainsi que leurs successeurs et ayant droits autorisés respectivement, et non au profit d’autres personnes, et aucune disposition des présentes ne doit être appliquée comme telle.

14.4 Le présent ATD et les actions liées à celui-ci sont régis et interprétés conformément aux lois énoncées dans le contrat principal, sans égard aux principes de conflit de lois. Les parties consentent à la compétence territoriale et au lieu des tribunaux énoncés dans le contrat principal.

14.5 Si des dispositions du présent ATD sont, pour une quelconque raison, jugées invalides ou inexécutables, les autres dispositions du présent ATD demeurent exécutables. Sans limiter la généralité de ce qui précède, le client accepte que la section 14.2 (Limitation de responsabilité) demeure en vigueur compte non tenu de l’inexigibilité d’une disposition de cet ATD.

ANNEXE A

MÉCANISMES DE TRANSFERT ET CLAUSES CONTRACTUELLES OBLIGATOIRES

Le présent annexe A présente les mécanismes de transfert pris en charge par Avetta. Un mécanisme de transfert ne s’applique pas et n’est pas incorporé au présent ATD s’il n’est pas applicable aux transferts du client à Avetta. Si un mécanisme de transfert énuméré est ou devient applicable en vertu de la législation applicable en matière de protection des données, il est réputé signé par les parties (si des signatures sont requises) et incorporé au présent ATD.

1. Cadre relatif à la confidentialité des données.

Pour les transferts de données personnelles aux États-Unis, Avetta a procédé à son autocertification en vertu du EU-US Data Privacy Framework, du UK Extension to the EU-US Data Privacy Framework, et du Swiss-US Data Privacy Framework gérés par le département du Commerce des États-Unis. Pour en savoir plus, veuillez consulter l’avis relatif au cadre relatif à la confidentialité des données d’Avetta, qui est accessible à l’adresse www.avetta.com/legal/data-privacy-framework.

2. Clauses contractuelles types de l’UE (CCT de l’UE).

Lorsque le traitement comprend des transferts de données personnelles en dehors de l’EEE à Avetta et que le transfert international n’a pas d’autre fondement légitime (par exemple, si le cadre relatif à la confidentialité des données a été invalidé), ces transferts sont assujettis aux CCT de l’UE, plus particulièrement :

1. Dans les situations où Avetta agit en tant que contrôleur des données, le module 1 des CCT de l’UE (pour les transferts de contrôleur à contrôleur), complété par les conditions ci-dessous, s’applique aux transferts de données personnelles entre le client et Avetta :
   1. Le libellé facultatif de la clause 7 (clause d’adhésion) est utilisé.
   2. Le libellé facultatif de la clause 11a) (recours) n’est pas utilisé.
   3. Pour la clause 17, la première option est utilisée, et la loi de l’Allemagne s’applique.
   4. Pour la clause 18b), les tribunaux de l’Allemagne sont sélectionnés.
2. Dans les situations où le client est un contrôleur des données et Avetta est un responsable du traitement des données relativement au traitement, le module 2 des CCT de l’UE (pour les transferts de contrôleur à responsable du traitement de données), complété par les conditions ci-dessous, s’applique :
   1. Le libellé facultatif de la clause 7 (clause d’adhésion) est utilisé.
   2. Pour la clause 9a), l’option 2 (autorisation écrite générale) est sélectionnée, et le délai spécifié est de dix (10) jours.
   3. Le libellé facultatif de la clause 11a) (recours) n’est pas utilisé.
   4. Pour la clause 17, la première option est utilisée, et la loi de l’Allemagne s’applique.
   5. Pour la clause 18b), les tribunaux de l’Allemagne sont sélectionnés.
3. L’annexe I, l’annexe II et l’annexe III des CCT de l’UE sont réputées remplies à l’aide des renseignements énoncés à l’annexe B.

3. Addenda du R.-U. Lorsque le traitement comprend des transferts de données personnelles en dehors du R.-U. à Avetta et que le transfert international n’a pas d’autre fondement légitime (par exemple, si le cadre relatif à la confidentialité des données a été invalidé), ces transferts sont assujettis à l’addenda du R.-U., complété par les conditions ci-dessous :

1. Les parties au présent addenda du R.-U. sont les parties à l’ATD.
2. Les CCT de l’UE que le présent addenda du R.-U. modifie sont les CCT de l’UE applicables mentionnées à l’annexe 2 de la présente annexe A, et les tableaux 1 à 3 de l’addenda du R.-U. doivent être conséquemment remplis avec les renseignements pertinents.
3. Aux fins du tableau 4 de l’addenda du R.-U., « importateur » est sélectionné.
4. La partie 2 de l’addenda du R.-U. est : « Partie 2 : Clauses obligatoires de l’addenda approuvé, étant le modèle de l’addenda B.1.0 émis par l’ICO et déposé devant le Parlement conformément à la section 119A de la Data Protection Act de 2018 le 2 février 2022, tel que révisé en vertu de la section 18 de ces clauses obligatoires. »

4. Clauses contractuelles types de la Suisse. Lorsque le traitement comprend des transferts de données personnelles en dehors de la Suisse à Avetta et que le transfert international n’a pas d’autre fondement légitime (par exemple, si le cadre relatif à la confidentialité des données n’a pas été reconnu comme un mécanisme de transfert valide ou n’en est plus un), ces transferts sont assujettis aux CCT de l’UE mentionnés à la section 2 de la présente annexe A, avec comme exceptions les points suivants :

1. Le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de poursuites relatives à leurs droits à leur lieu de résidence habituelle (Suisse) en vertu de la clause 18c) des clauses contractuelles types.
2. Dans les situations où les transferts sont exclusivement assujettis à la Federal Act on Data Protection (« FADP »), les références au RGPD doivent être comprises comme des références à la FADP.
3. Dans les situations où les transferts sont assujettis à la FADP et au RGPD, les références au RGPD doivent être comprises comme des références à la FADP dans la mesure où les transferts sont assujettis à la FADP.

5. Clauses contractuelles de la CCPA. Lorsque le traitement implique les données personnelles de résidents de la Californie, les parties doivent également respecter ce qui suit :

1. Avetta : i) recueillera, utilisera, conservera et divulguera les données personnelles seulement aux fins permises décrites dans le contrat principal et la CCPA et à aucune autre fin commerciale; ii) ne vendra aucune donnée personnelle et ne partagera aucune donnée personnelle à des fins de publicité comportementale intercontextuelle; iii) ne recueillera, n’utilisera, ne conservera et ne divulguera pas de données personnelles en dehors de la relation commerciale directe avec Avetta, sauf dans la mesure nécessaire pour fournir les services; iv) ne combinera pas les données personnelles qu’Avetta reçoit du client ou en son nom avec des données personnelles recueillies au nom d’une ou de plusieurs autres personnes, sauf à une fin commerciale n’impliquant pas de publicité comportementale intercontextuelle et permise par la CCPA; et v) fournira au moins le niveau de protection de la confidentialité exigé par la CCPA relativement aux données personnelles. Avetta certifie qu’elle comprend ces restrictions et les respectera.
2. Le client a le droit i) de surveiller la conformité d’Avetta avec le présent ATD et ii) de prendre des mesures raisonnables et appropriées pour garantir que les données personnelles sont utilisées par Avetta conformément à la CCPA. Avetta doit informer le client si elle détermine qu’elle ne peut plus respecter ses obligations en vertu de la CCPA, et dans un tel cas, Avetta doit travailler avec le client et prendre toutes les mesures raisonnables et appropriées pour mettre fin et remédier au traitement, jusqu’à ce que le traitement soit conforme à la CCPA et au présent ATD.

ANNEXE B

DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES

La présente annexe B fait partie de l’ATD et décrit le traitement par Avetta relativement à la prestation des services.

ANNEXE I – DESCRIPTION DU TRAITEMENT DES DONNÉES

A. LISTE DES PARTIES

Exportateur de données :

Importateur de données :

B. Description du transfert

C. Organisme de surveillance compétent

ANNEXE II – MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES

Aperçu

Les applications de logiciels-services Avetta (les « services SaaS ») ont été conçues dès le départ dans une optique de sécurité. L’architecture des services SaaS Connect et Workforce Management comprend différents contrôles de sécurité à chaque palier de traitement afin de gérer différents risques de sécurité. Ces contrôles de sécurité peuvent changer. Cependant, les éventuelles modifications maintiendront ou amélioreront la posture de sécurité globale de la plateforme SaaS.

Les domaines principaux des contrôles de sécurité ci-dessous s’appliquent à chacun des composants des services SaaS Avetta Connect et Workforce Management. Avetta héberge ses services SaaS sur des plateformes de fournisseurs de services infonuagiques utilisant principalement Amazon Web Services (AWS) et, dans des cas limités, Equinix.

Audits et certifications

Les services SaaS Avetta sont certifiés en vertu des normes ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 et ISO/IEC 22301:2019 (les « certifications ISO »). Avetta révise annuellement sa conformité avec les certifications ISO en effectuant un audit des contrôles internes. Cet audit est révisé par le comité des systèmes de gestion de la sécurité et de la confidentialité de l’information, constitué de membres de l’équipe de la haute direction d’Avetta.

Avetta utilise principalement les régions AWS mondiales pour son calcul et son stockage dans le cadre des services SaaS. AWS fournit des installations de niveau supérieur qui ont obtenu de multiples accréditations, y compris SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 et ISO/IEC 9001:2015. Ces installations AWS fournissent également des mesures de protection physiques de pointe là où les données des clients d’Avetta sont stockées et traitées. Avetta utilise Equinix comme fournisseur de services infonuagiques pour la gestion de la main-d’œuvre dans certaines régions. Equinix a également plusieurs certifications, y compris ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, PCI DSS, SOC 1 de type II et SOC 2 de type II. Pour en savoir plus sur les fournisseurs de services infonuagiques, veuillez visiter les pages https://aws.amazon.com/compliance/programs/ et https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Reprise après sinistre et continuité des affaires

Pour garantir la grande disponibilité du système de ses services SaaS, Avetta utilise un centre de données AWS de sauvegarde/secours désigné qui se trouve à un emplacement géographique distinct de ses installations normales de traitement des données de production. Cela permet à Avetta de réagir rapidement en cas d’événement environnemental, physique ou accidentel pouvant causer une interruption des installations AWS de production.

Avetta maintient un plan de reprise après sinistre et de continuité des affaires qui est révisé au moins chaque année. Cette révision permet au personnel d’Avetta de se familiariser avec la planification d’urgence en cas d’événement pouvant causer une interruption des activités commerciales normales d’Avetta.

Les systèmes d’Avetta sont conçus de manière à prendre en charge un objectif de point de reprise (OPR) de moins de deux heures et un objectif de temps de reprise (OTR) de moins de quatre heures.

Avetta effectue aussi régulièrement une évaluation complète des risques pour veiller à ce que des stratégies d’atténuation des risques et des contrôles appropriés soient mis en place au sein de l’organisation.

Intervention en cas d’incident

Avetta maintient un plan d’intervention en cas d’incident exhaustif. Ce plan, avec les processus et les procédures connexes, permet au personnel Avetta de réagir rapidement aux violations de sécurité suspectées ou potentielles ou aux autres activités de cybersécurité suspectes dans l’environnement Avetta. Une équipe d’intervention en cas d’incident, dirigée par des membres qualifiés de l’équipe de sécurité, effectuera une évaluation de ces situations et élaborera des plans d’action et des stratégies d’atténuation appropriées. Si une violation suspectée est confirmée, l’équipe d’intervention en cas d’incident suivra les protocoles désignés pour agir immédiatement et avoir les réactions appropriées afin d’atténuer l’activité malveillante tout en préservant les preuves médicolégales. Les procédures de notification seront aussi suivies.

Chiffrement

Les services SaaS Avetta maintiennent le chiffrement des données au repos selon la norme AES-256. Des éléments de données supplémentaires sont également chiffrés à l’aide de méthodes SALT. Ces processus de chiffrement maintiennent un haut niveau de confidentialité et d’intégrité des données des clients. La séparation logique des données est maintenue dans les services SaaS Avetta afin qu’aucune donnée des clients ne soit accessible par des sources non autorisées. L’accès aux données des clients est contrôlé au moyen d’une gestion unique des identités et des accès avec des attributs qui empêchent les utilisateurs non autorisés d’accéder aux données des clients.

Les mesures de sécurité Avetta sont mises en œuvre selon une méthode du « moindre privilège », ce qui signifie que seuls les employés qui ont un besoin commercial d’accéder à des données et à des fonctions du système spécifiques y ont accès.

Contrôles de sécurité des applications Web

L’accès par les clients aux services SaaS se fait uniquement par des protocoles de communication sécurisés (TLS 1.2 ou plus). Un canal de chiffrement permettant la transmission sécurisée des données entre un utilisateur final et les services SaaS est établi. Ainsi, les données du client sont protégées pendant les processus de transmission des données.

L’administration par un client des services SaaS permet de provisionner et de déprovisionner les utilisateurs de services SaaS et les accès connexes au besoin. Les services SaaS permettent aux clients d’activer l’authentification multifactorielle pour l’accès aux comptes de services SaaS à l’aide de l’authentification unique, par l’intermédiaire de fournisseurs d’identité SAML 2.0. Les services SaaS permettent aux clients d’activer des politiques de mots de passe personnalisables, pour aider à harmoniser les mots de passe des services SaaS avec les politiques d’entreprise des clients.

Réseau

Les services SaaS utilisent les contrôles réseau du fournisseur de services infonuagiques pour restreindre les entrées et les sorties du réseau. Des groupes de sécurité sont employés pour limiter l’activité du réseau aux points terminaux. Les services SaaS utilisent une architecture réseau à paliers multiples, y compris de multiples environnements virtuels Cloudflare logiquement séparés, basés sur des zones privées, des DMZ et des zones non sécurisées au sein de l’infrastructure de services infonuagiques.

Surveillance et audit

Les systèmes et les réseaux des services SaaS sont surveillés afin de définir les incidents de sécurité, l’intégrité du système, les anormalités du réseau, l’activité de traitement, les niveaux de traitement de l’infrastructure et la disponibilité. Avetta utilise un système de détection des intrusions pour surveiller l’activité réseau et alerter les membres désignés de l’équipe Avetta en cas de comportements suspects. Des pare-feu d’applications Web sont également implémentés pour tous les services Web publics.

Avetta consigne les événements des applications, des réseaux, des utilisateurs et des systèmes d’exploitation sur un serveur syslog local et par GIES. Ces registres sont automatiquement analysés et révisés afin de détecter les activités suspectes et les menaces. Les anomalies des activités du système font l’objet d’une escalade avec les actions appropriées pouvant être requises. Avetta utilise des systèmes de gestion de l’information et des événements de sécurité qui effectuent une analyse continue de sécurité des réseaux et de l’environnement de sécurité Avetta dans le cadre de laquelle les alertes, les détections et les signalements des indicateurs d’activités possibles ou suspectes sont enregistrés. Toutes ces capacités et activités sont administrées par le personnel du développement et de l’exploitation ainsi que de la sécurité d’Avetta.

Gestion des vulnérabilités

Avetta effectue périodiquement des évaluations de la vulnérabilité des applications Web, des analyses du code statique et des évaluations de la sécurité externe dans le cadre de son programme de sécurité exhaustif pour s’assurer que les contrôles de sécurité appropriés sont mis en œuvre et qu’ils fonctionnent efficacement. Deux fois par année, Avetta embauche des tiers indépendants pour tester la vulnérabilité et la pénétration du réseau et du Web. La portée de ces audits externes inclut la conformité avec les dix principales vulnérabilités de l’Open Worldwide Application Security Project (OWASP). Les résultats de l’évaluation de la vulnérabilité sont incorporés dans le cycle de vie du développement logiciel (« CVDL ») d’Avetta afin de remédier aux vulnérabilités détectées. Des vulnérabilités spécifiques sont priorisées et entrées dans le système de billets interne d’Avetta pour qu’elles soient suivies jusqu’à leur résolution.

Développement logiciel sécuritaire

Avetta suit des procédures de développement sécuritaire dans son CVDL. Ces pratiques incluent des outils d’analyse du code statique et d’analyse du code en temps réel. Des révisions par les pairs sont aussi réalisées avant le déploiement du code dans l’environnement de production. Des environnements de traitement distincts ont été mis en œuvre chez Avetta : production, test et assurance de la qualité ainsi que démonstration. Les développeurs de logiciels Avetta doivent suivre des formations sur la sécurité du codage chaque année.

Équipe de cybersécurité Avetta

Avetta a une équipe de sécurité dédiée dirigée par un gestionnaire de la cybersécurité possédant une maîtrise en cybersécurité. L’équipe se soumet régulièrement à des formations de sécurité à l’échelle de l’entreprise, à des exercices de sécurité ainsi qu’à des exercices de vulnérabilité et de pénétration. Grâce à ces efforts, l’équipe de la cybersécurité s’assure que des tests et des évaluations réguliers de l’efficacité des mesures techniques et organisationnelles sont en place pour garantir la sécurité du traitement des données des clients.

L’équipe de la cybersécurité participe également à des certifications et à des audits annuels, en plus d’assister à des conférences sur la cybersécurité.

Confidentialité et protection des données

Avetta maintient des politiques robustes en matière de sécurité de l’information et de protection des données personnelles. Ces politiques présentent les procédures qui sont suivies pour assurer la protection des renseignements des clients. Elles énoncent également les contrôles mis en œuvre, ce qui comprend des directives de conservation des données, d’accessibilité et d’authentification, des directives d’utilisation acceptable ainsi que des directives de confidentialité des données.

ANNEXE III – LISTE DES SOUS-RESPONSABLES DU TRAITEMENT

La liste actuelle des sous-responsables du traitement d’Avetta se trouve à la page : responsables du traitement et sociétés affiliées.