Conditions d’utilisation de Strada DPA
Date d’entrée en vigueur : 15 juillet 2024
Le présent Addendum sur la protection des données (le « DPA ») est soumis au contrat de services sous-jacent entre Strada et le Client (le « Contrat de services »), en vertu duquel Strada peut être tenue de traiter des Données à caractère personnel (telles que définies ci-dessous).
Section 1 – Définitions.
Les termes commençant par une majuscule utilisés mais non définis autrement dans les présentes ont la signification qui leur est attribuée dans le Contrat de services.
À moins que le contexte exprès n’exige le contraire, toute référence au Contrat de services comprend tout bon de commande, cahier des charges ou autre document de commande conclu en vertu de celui-ci.
1.1. « Lois sur la protection des données » désigne toutes les lois et réglementations applicables en matière de confidentialité, de sécurité ou de protection des données, y compris, le cas échéant, le Règlement général sur la protection des données 2016/679 de l’UE (« RGPD »), la loi californienne sur la protection de la vie privée des consommateurs de 2018 (« CCPA »), la loi californienne sur les droits à la vie privée de 2020 (« CPRA »), la loi Gramm-Leach-Bliley (« GLBA »), la loi britannique sur la protection des données de 2018 ou le RGPD britannique, au fur et à mesure que ceux-ci sont modifiés, abrogés ou remplacés.
1.2. « Personne concernée » désigne, en ce qui concerne les données personnelles, une personne physique identifiée ou identifiable.
1.3. « Données personnelles » désigne toute information traitée par ou pour le compte de Strada pour le Client dans le cadre du Contrat de services qui
(a) se rapporte à une Personne concernée, qui peut être identifiée, directement ou indirectement, à partir de ces informations seules ou en combinaison avec d’autres informations traitées par Strada ou pour le compte de Strada, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’élément physique, l’identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ou
(b) est autrement protégée en vertu des Lois sur la protection des données.
Les données personnelles comprennent toute autre information qui constitue des « données personnelles », des « informations personnelles », des « informations personnellement identifiables » ou des termes similaires en vertu des lois applicables en matière de protection des données.
1.4. « Traitement » ou « Processus(s) » désignent
(a) toute opération ou tout ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, y compris la collecte, le stockage, l’adaptation ou la modification, l’extraction, l’utilisation, la divulgation, l’effacement ou la destruction, et
(b) toute autre activité impliquant des données personnelles incluses dans la définition du « traitement » en vertu des lois sur la protection des données.
1.5. « Clauses contractuelles types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données à caractère personnel de l’Union européenne (« UE ») ou de l’Espace économique européen (« EEE ») vers des pays tiers annexées à la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021, ou tout document ou mécanisme de transfert successeur.
1.6. « Sous-traitant ultérieur » désigne toute personne (autre qu’un employé), y compris les sociétés affiliées de Strada, nommée par ou au nom de Strada pour traiter les données personnelles pour le compte du Client.
1.7. « UK IDTA » désigne l’addendum international sur le transfert de données aux CCT, version B1.0, approuvé par le Parlement du Royaume-Uni (« UK ») le 21 mars 2022, publié en vertu de l’article 119A de la loi sur la protection des données de 2018 pour se conformer à l’article 46 du RGPD du Royaume-Uni lors de transferts restreints, ou tout document ou mécanisme de transfert successeur.
Section 2.
Traitement des données personnelles.
2.1.
Instructions; Limits on Use. Le Client (en tant que responsable du traitement) désigne et donne des instructions à Strada (en tant que sous-traitant) pour traiter les Données à caractère personnel dans le but d’exécuter les Services et de se conformer à l’une quelconque de ses obligations ou de faire valoir l’un de ses droits en vertu du Contrat de services et du présent ATD, en se conformant à la loi applicable et en se conformant à toute autre instruction fournie par ou au nom du Client (l’« Objectif”).
Strada ne conservera, utilisera, divulguera ou traitera les données personnelles qu’à cette fin.
Le Client est tenu de fournir à Strada toute information pertinente nécessaire à la réalisation de l’Objectif et doit s’assurer que ses instructions à Strada sont conformes aux Lois sur la protection des données.
Strada informera immédiatement le Client si, à son avis, une instruction fournie par ou au nom du Client est en conflit avec une Législation sur la protection des données ; étant entendu que Strada n’a aucune responsabilité de rechercher ou de découvrir de tels conflits ou de s’assurer que de tels conflits n’existent pas.
Dans le cas où Strada informe le Client d’un tel conflit, Strada peut suspendre l’exécution de l’instruction applicable dans la mesure nécessaire pour éviter un tel conflit pendant que les Parties coopèrent de bonne foi pour résoudre ce problème en temps opportun.
2.2.
Limits on Disclosure. Strada ne divulguera aucune donnée personnelle à un tiers, sauf si cela est nécessaire pour atteindre l’objectif et conformément au présent ATD.
Le Client ne doit divulguer des Données personnelles à Strada que dans la mesure demandée par Strada ou autrement nécessaire à la réalisation de la Finalité.
Le Client ne doit pas divulguer ou partager ses Données personnelles avec Strada, sauf dans le format et de la manière standard et convenus.
2.3.
Compliance with Data Protection Laws. Chaque Partie doit se conformer aux obligations qui lui incombent en vertu des Lois sur la protection des données.
Strada fournira une assistance raisonnable au Client pour le faire respecter ses obligations en vertu des Lois sur la protection des données en ce qui concerne le Traitement des données personnelles, en tenant compte de la nature du Traitement de Strada et des informations dont Strada dispose.
Strada informera le Client s’il estime raisonnablement qu’il n’est pas en mesure de se conformer à ses obligations en vertu du présent ATD ou de toute Législation applicable en matière de protection des données, auquel cas les Parties coopéreront de bonne foi pour identifier les mesures appropriées pour remédier à la situation.
2.4.
Supervisory Authority Requests .
If Client receives a request for information from a competent supervisory authority in relation to Processing of Personal Data by Strada (including details regarding the Purpose), Strada shall provide reasonable assistance to Client in responding to such request to the extent Client does not otherwise have access to such information, and taking into account the nature of the Processing and information available to Strada.
2.5.
Data Protection Impact Assessment and Prior Consultation .
Strada shall provide reasonable assistance to Client with any data protection impact assessments, and prior consultations with supervising authorities or other competent data privacy authorities, which Client reasonably considers to be required by the Data Protection Laws, in each case solely in relation to Processing of Personal Data by, and taking into account the nature of the Processing and information available to, Strada.
2.6.
Data Subject Rights. Strada informera rapidement le Client si elle reçoit une demande d’une Personne concernée faisant valoir des droits en vertu des Lois sur la protection des données à l’égard de ses Données personnelles.
Strada ne répondra pas à une telle demande, sauf sur les instructions écrites (y compris par e-mail) du Client ou comme l’exigent les Lois sur la protection des données, auquel cas, Strada informera le Client, dans la mesure permise par ces Lois sur la protection des données, de cette exigence avant de répondre.
Strada fournira au Client une assistance raisonnable dans ses efforts pour remplir ses obligations de répondre à ces demandes, y compris en fournissant un accès ou des informations sur, en supprimant ou en modifiant les Données personnelles pertinentes, dans chaque cas, dans la mesure requise en vertu et conformément aux Lois sur la protection des données.
Si Strada n’est pas en mesure de fournir une telle assistance pour des raisons autorisées par les Lois sur la protection des données, Strada en informera rapidement le Client et fournira cette assistance rapidement après l’expiration des raisons de ne pas le faire.
2.7.
Return and Destruction. Sur demande écrite du Client, ou après la résiliation ou l’expiration du Contrat de Services, Strada devra, et exigera de ses Sous-traitants ultérieurs, qu’ils :
(a) renvoyer une copie des Données Personnelles au Client par transfert de fichier sécurisé dans le format habituel de Strada et
(b) supprimer ou rendre anonymes de manière permanente toutes les autres copies des Données personnelles.
Strada se conformera à une telle demande écrite dans un délai de 20 jours ouvrables.
Strada et ses Sous-traitants ultérieurs peuvent conserver les Données à caractère personnel si nécessaire pour atteindre l’Objectif et se conformer à la loi applicable, auquel cas les conditions du présent ATD continueront de s’appliquer à ces Données à caractère personnel aussi longtemps qu’elles sont conservées.
2.8.
Recordkeeping. Strada doit tenir des registres exacts et à jour concernant tout Traitement des Données à caractère personnel, y compris
(a) les registres concernant l’accès et la sécurité des Données à caractère personnel, les finalités et les catégories de Traitement des Données à caractère personnel et de ses Sous-traitants ultérieurs et
(b) tout autre enregistrement requis par les Lois sur la protection des données.
Le présent ATD sert d’enregistrement des activités de traitement conformément à l’article 30(2) du RGPD.
2.9.
Employees. Les données personnelles ne seront accessibles qu’aux employés de Strada qui en ont besoin pour aider Strada dans le cadre de la finalité.
Sauf restriction contraire par les lois locales applicables, Strada exige que tous les nouveaux employés soient soumis à une vérification complète des antécédents avant l’embauche, conformément aux lois et coutumes locales.
Strada exige que tous les nouveaux employés signent des ententes qui comprennent des dispositions de non-divulgation et de confidentialité.
Strada fournit à ses employés une formation périodique sur la sécurité et la confidentialité des données.
2.10.
Subprocessors. Le Client autorise généralement Strada à désigner des Sous-traitants ultérieurs pour soutenir l’exécution des Services.
Strada énumérera ses Sous-traitants ultérieurs dans le formulaire de commande, l’énoncé des travaux, l’ordre de modification ou tout autre document décrivant plus en détail les Services applicables.
Uniquement dans la mesure nécessaire pour se conformer aux Lois sur la protection des données, le Client aura le droit de s’opposer à toute modification dans les 10 jours ouvrables suivant cette notification ; étant entendu que le Client ne peut s’opposer que, sur la base de préoccupations raisonnables, au fait que le Sous-traitant ultérieur, nouveau ou remplaçant, n’est pas en mesure de fournir le niveau de protection des Données à caractère personnel requis par le présent ATD.
Si le Client ne s’oppose pas à la nomination dans ce délai, Strada peut engager le nouveau Sous-traitant ultérieur ou le Sous-traitant ultérieur remplaçant pour traiter les Données personnelles.
Si le Client s’oppose au rendez-vous dans ce délai, Strada peut choisir de
(a) ne pas utiliser ce Sous-traitant ultérieur ou
(b) prendre les mesures correctives demandées par le Client dans son objection et faire appel au Sous-traitant ultérieur.
Strada travaillera de bonne foi avec le Client pour mettre à disposition des documents attestant de la capacité de tout Sous-traitant ultérieur à fournir le niveau de protection des Données personnelles requis par le présent ATD.
Strada reste responsable de l’utilisation, de la divulgation ou de tout autre Traitement des Données à caractère personnel par l’un de ses Sous-traitants ultérieurs dans la même mesure que si cette utilisation, divulgation ou autre Traitement avait été effectué par Strada.
Avant qu’un Sous-traitant ultérieur ne traite des Données personnelles, Strada effectuera une diligence raisonnable adéquate pour déterminer que ce Sous-traitant ultérieur est capable de fournir le niveau de protection des Données personnelles requis par le présent ATD.
L’accord entre Strada et chaque Sous-traitant ultérieur sera régi par un contrat écrit qui contient des exigences cohérentes et non moins strictes que celles qui s’appliquent à Strada en vertu du présent ATD.
Strada déclare qu’elle maintient un programme de sécurité des fournisseurs qui évalue la conformité des Sous-traitants ultérieurs à ces contrats.
Sur demande écrite du Client, Strada mettra à la disposition du Client un résumé des conditions de protection des données du Sous-traitant ultérieur (expurgé, si nécessaire, pour protéger toute information confidentielle).
2.11 Accès du gouvernement. Si Strada ou l’un de ses représentants est invité ou tenu de divulguer à une autorité gouvernementale (y compris les forces de l’ordre) ou de traiter autrement des données personnelles par la loi ou une procédure judiciaire en dehors de l’objectif défini, Strada (si la loi l’autorise) contestera rapidement et raisonnablement cette demande, en informera le client et coopérera raisonnablement (aux frais du client) aux efforts du client pour obtenir une ordonnance de protection appropriée ou un autre recours.
Strada informera l’autorité gouvernementale compétente que Strada est un
(i) le sous-traitant des données personnelles, qui
(ii) le Client n’a pas autorisé une telle divulgation et que
(iii) toutes les demandes ou demandes d’accès aux données personnelles doivent être notifiées ou signifiées au client.
Nonobstant ce qui précède, le Client reconnaît qu’une telle contestation peut ne pas toujours être raisonnable ou possible à la lumière de la nature, de la portée, du contexte et des objectifs de la demande d’autorité gouvernementale visée.
En aucun cas, Strada ne divulguera plus de données personnelles que ce qui est nécessaire pour se conformer à la demande de divulgation.
Chapitre 3.
Mesures techniques et organisationnelles.
Strada mettra en œuvre et maintiendra des mesures physiques, techniques, organisationnelles et administratives appropriées raisonnablement conçues pour protéger contre la destruction, la perte, l’accès ou l’altération non autorisés des Données personnelles, y compris les mesures énumérées dans l’Annexe A ci-jointe et incorporées aux présentes.
Les mesures mises en œuvre par Strada pour protéger les données personnelles doivent être cohérentes et non moins strictes que ce qui est requis par les lois sur la protection des données.
Strada doit mettre en œuvre et maintenir des politiques écrites de confidentialité et de sécurité de l’information conformes aux normes de l’industrie.
Chapitre 4.
Notification et réponse aux incidents de sécurité des données.
4.1. Strada informera le Client dans les meilleurs délais et conformément aux exigences des Lois applicables en matière de protection des données de toute violation confirmée ou raisonnablement suspectée de la sécurité par Strada ou l’un de ses Sous-traitants ultérieurs entraînant l’accès, l’altération, la destruction, la divulgation ou la perte illicites ou non autorisés de Données personnelles (un « Incident de sécurité des données »).
4.2. En cas d’Incident de sécurité des données, Strada prendra des mesures raisonnables et appropriées pour
(a) enquêter sur l’impact d’un tel Incident de Sécurité des Données,
(b) identifier la cause profonde d’un tel Incident de Sécurité des Données,
(c) remédier à l’Incident de Sécurité des Données et
(d) empêcher qu’un tel incident de sécurité des données ne se reproduise.
4.3. Strada fournira au Client sans retard injustifié des informations concernant la nature et les conséquences de l’Incident de sécurité des données, dans la mesure où Strada les connaît, y compris toute information nécessaire pour permettre au Client d’informer les parties concernées conformément aux Lois sur la protection des données.
Strada n’informera aucun tiers sans l’instruction préalable du Client de le faire par écrit ou lorsque la loi l’exige.
Chapitre 5.
Audits.
5.1 Le Client peut, à ses propres frais et moyennant un préavis raisonnable à Strada, vérifier les livres, registres et autres documents de Strada dans la mesure nécessaire pour vérifier la conformité de Strada avec les conditions du présent ATD ; étant entendu que le Client ne peut pas exercer ses droits d’audit en vertu des présentes plus d’une fois au cours d’une période de 12 mois (sauf disposition contraire de la loi ou dans le cadre d’un audit initié par une entité gouvernementale ayant juridiction sur le Client).
Chacun de ces audits doit avoir lieu pendant les heures normales de bureau et ne doit pas interférer de manière déraisonnable avec les opérations commerciales normales de Strada, et Strada n’est pas tenue de divulguer ou de donner accès à des informations dont la divulgation amènerait Strada à violer une obligation de confidentialité ou une loi applicable.
Le Client peut retenir les services d’un tiers pour effectuer un tel audit tant que ce tiers n’est pas un concurrent de Strada et qu’il conclut une entente de confidentialité raisonnablement acceptable pour Strada.
Les audits effectués dans le cadre du présent ATD sont soumis à toutes conditions générales supplémentaires concernant les audits dans le Contrat de services.
5.2 Lorsque Strada démontre sa conformité aux certifications reconnues par l’industrie ou aux codes de conduite approuvés (tels que ISO 27001, le Code de conduite cloud de l’UE ou le rapport d’audit SOC 2 Type 2), le Client ne peut auditer que les domaines qui ne sont pas couverts par ces certifications ou codes de conduite approuvés.
L’article 6.
CCPA/CPRA.
La présente section s’applique à toutes les données personnelles régies par le CCPA/CPRA.
6.1. Le Client déclare et garantit à Strada que toutes les Données personnelles divulguées par le Client ou en son nom en vertu des présentes sont fournies uniquement à la Finalité, qui est une « Finalité commerciale » (telle que définie en vertu de la CCPA/CPRA).
6.2. Strada ne conservera, n’utilisera et ne divulguera les données personnelles qu’à des fins commerciales ou autrement en dehors de la relation entre Strada et le client.
Strada ne vendra pas, ne partagera pas et ne mélangera pas les données personnelles à moins d’y être expressément autorisé par le CCPA/CPRA.
Strada doit se conformer à ses obligations en vertu de CCPA/CPRA.
Strada informera rapidement le Client s’il n’est plus en mesure de se conformer à ses obligations en vertu de CCPA/CPRA.
6.3. Strada reconnaît et accepte que le Client a le droit de prendre des mesures raisonnables et appropriées pour
(a) s’assurer que Strada utilise les Données à caractère personnel d’une manière conforme aux obligations du Client en vertu de CCPA/CPRA, et
(b) arrêter et remédier à l’utilisation non autorisée des données personnelles.
6.4. Le Client doit informer rapidement Strada de toute demande de consommateur formulée en vertu de la CCPA/CPRA à laquelle Strada doit se conformer, et fournir les informations nécessaires pour que Strada se conforme à cette demande.
L’article 7.
Détails du traitement.
Certaines informations concernant le Traitement des données personnelles par Strada requises par l’article 28(3) du RGPD sont présentées dans l’Annexe B ci-jointe et incorporées aux présentes.
Le Client peut apporter des modifications raisonnables à l’Annexe B en envoyant un avis à Strada de temps à autre, si le Client le juge raisonnablement nécessaire pour répondre à ces exigences.
Rien dans l’Annexe B ne confère un droit ou n’impose une obligation à une partie.
L’article 8.
Transferts transfrontaliers.
8.1.
General. Aucune des Parties ne transférera de Données personnelles au-delà des frontières à moins que ce transfert ne soit conforme aux Lois sur la protection des données.
Les Parties coopéreront raisonnablement, si nécessaire, pour déterminer si tout transfert transfrontalier de Données à caractère personnel entre le Client et Strada dans le cadre de la Finalité est conforme aux Lois sur la protection des données.
8.2.
SCCs. Si un transfert de Données personnelles entre le Client et Strada nécessite l’exécution des CCT afin de se conformer aux Lois sur la protection des données, le Client, en tant que responsable du traitement et exportateur de données, et Strada, en tant que sous-traitant et importateur de données, concluent par la présente (et incorporent aux présentes par référence) les CCT en vigueur à compter du début de ce transfert.
Les Parties utiliseront le Module II (Responsable du traitement à Sous-traitant) des CCT, qui sera renseigné comme suit :
8.2.1. Article 7 : La clause d’amarrage facultative s’applique.
8.2.2. Clause 9 : L’option 2 s’applique, et le délai de notification des modifications de Sous-traitant ultérieur sera celui convenu en vertu du présent ATD.
8.2.3. Clause 11(a) : La langue facultative ne s’applique pas.
8.2.4. Clause 13 et annexe I.C. : L’autorité de contrôle de la République d’Irlande est l’autorité de contrôle compétente.
8.2.5. Article 17 : L’option 1 s’applique et la loi applicable est celle de la République d’Irlande.
8.2.6. Clause 18(b) : Les litiges seront résolus par les tribunaux de la République d’Irlande.
8.2.7. Annexe I :
(a) la liste des parties sera telle qu’elle est énoncée dans le Contrat de services et dans tout bon de commande, énoncé des travaux, ordre de modification ou autre document décrivant plus en détail les Services applicables ;
(b) les Descriptions du Transfert doivent être telles qu’elles sont énoncées à l’Annexe B (Détails du traitement) ; et (c) l’autorité de surveillance compétente sera celle indiquée ci-dessus.
8.2.8. Annexe II : les mesures techniques et organisationnelles seront telles que définies dans l’Annexe A (Mesures techniques et organisationnelles), qui sont substantiellement les mêmes pour Strada et ses sous-traitants ultérieurs.
8.2.9. Annexe III : la liste des sous-traitants ultérieurs est tenue conformément à la section 2.10 (Sous-traitants ultérieurs).
8.2.10. Les Parties peuvent compléter les Annexes des CCT dans tout bon de commande, énoncé de travail, ordre de modification ou autre document décrivant plus en détail les Services applicables, qui sera réputé incorporé aux présentes par référence à ces Services.
En cas de conflit ou d’incohérence entre le présent ATD ou un tel document supplémentaire, d’une part, et les CCT, d’autre part, les CCT prévaudront dans la mesure requise par les Lois sur la protection des données.
Nonobstant toute disposition contraire dans les présentes, en aucun cas le présent ATD ou tout document supplémentaire ne portera atteinte, directement ou indirectement, aux droits des personnes concernées en vertu des Lois sur la protection des données.
8.3.
UK IDTA .
If any transfer of Personal Data between Client and Strada requires execution of the UK IDTA in order to comply with Data Protection Laws, Client, as controller and data exporter, and Strada, as processor and data importer, hereby enter into (and incorporate herein by reference) the UK IDTA effective as of the commencement of such transfer.
The UK IDTA shall be populated as follows:
8.3.1. Partie 1, Tableau 1 (Parties) : Les parties doivent être telles qu’énoncées dans le Contrat de services et dans tout bon de commande, énoncé des travaux, ordre de modification ou autre document applicable décrivant plus en détail les Services applicables.
8.3.2. Partie 1, Tableau 2 (CCT, modules et clauses sélectionnés) : L’IDTA du Royaume-Uni doit être annexé aux CCT comme indiqué à la section 8.2 (CCT).
8.3.3. Partie 1, tableau 3 (informations de l’annexe) : Les informations de l’annexe doivent être celles énoncées à la section 8.2 (CCT).
8.3.4. Partie 1, tableau 4 (Fin du présent addendum lorsque l’addendum approuvé change) : Aucune des parties ne peut mettre fin à l’IDTA du Royaume-Uni comme indiqué à l’article 19 de celui-ci.
8.4.
Swiss Data Protection Act .
The SCCs, as set forth in Section 8.2 (SCCs), shall apply to any cross-border transfers of Personal Data governed by the Swiss Data Protection Act, with the following modifications:
8.4.1. Toute référence dans les CCT au « Règlement (UE) 2016/679 » doit être interprétée comme une référence à la loi suisse sur la protection des données, et toute référence dans les CCT à des articles spécifiques du « Règlement (UE) 2016/679 » doit être remplacée par l’article ou la section équivalente de la loi suisse sur la protection des données.
8.4.2. Toute référence dans les CCT à « l’UE », à « l’Union », à « État membre » ou au « droit d’un État membre » doit être interprétée comme une référence à la Suisse et au droit suisse, selon le cas, et ne doit pas être interprétée de manière à exclure les personnes concernées en Suisse de l’exercice de leurs droits dans leur lieu de résidence habituelle conformément à l’article 18(c) des CCT.
Dans le prolongement de ce qui précède, l’article 17 des CCT sera modifié pour prévoir que le droit applicable sera le droit suisse.
8.4.3. Toute référence dans les CCT à l’« autorité de surveillance compétente » ou aux « tribunaux compétents » doit être interprétée comme une référence au Préposé fédéral à la protection des données et à la transparence de la Suisse (le «PFPDT Suisse») et les tribunaux suisses, le cas échéant. Dans le prolongement de ce qui précède, (a) la clause 13 et l’annexe I.C. des CCT seront modifiées pour prévoir que le PFPDT suisse aura autorité sur les transferts de données régis par la loi suisse sur la protection des données (étant entendu que l’autorité sur les transferts de données non régies par la loi suisse sur la protection des données sera celle autrement énoncée dans le présent ATD) et (b) la clause 18(b) des CCT sera modifiée pour prévoir que les litiges sont résolus par les tribunaux suisses.
L’article 9.
Clients affiliés.
Les termes du présent ATD s’appliquent de la même manière à toutes les Données à caractère personnel Traitées par ou pour le compte de Strada pour tout affilié du Client.
Le Client déclare et garantit qu’il est et qu’il restera, à tout moment pertinent, dûment et effectivement autorisé à conclure le présent ATD et à exécuter toutes ses obligations en vertu des présentes au nom de chacun de ces affiliés du Client.
Le Client est à tout moment responsable du respect par les sociétés affiliées du Client du présent ATD et tous les actes et omissions des sociétés affiliées du Client recevant des Services en vertu du Contrat de services sont réputés être des actes et omissions du Client.
L’article 10.
Obligations du client.
Si le Client demande à Strada de fournir des Données personnelles à un fournisseur du Client ou à un autre représentant (autre que Strada), le Client sera responsable des actes et omissions de ce fournisseur ou autre représentant à cet égard.
Le Client est responsable du maintien de tous les droits (y compris la base juridique légale), de l’obtention de toutes les licences, autorisations, approbations et consentements et de la fourniture de tous les avis, dans chaque cas, nécessaires pour que Strada puisse traiter les données personnelles à des fins déterminées.
Le Client reste responsable de s’assurer que sa conservation, son utilisation, sa divulgation ou tout autre Traitement des Données à caractère personnel est conforme à ses politiques et pratiques et aux lois qui s’y appliquent.
Chapitre 11.
Terme; Effet de la résiliation.
La durée du présent ATD commence à la date d’entrée en vigueur du Contrat de services et se poursuit tant que le Contrat de services reste en vigueur ou que Strada ou l’un de ses Sous-traitants ultérieurs conserve des Données personnelles.
Les droits et obligations des Parties qui, de par leur nature, devraient survivre à la résiliation ou à l’expiration du présent ATD, survivront à cette résiliation ou expiration.
L’article 12.
Divers.
12.1.
Entire Agreement. Le présent ATD est réputé être incorporé et fait partie intégrante du Contrat de services.
Le présent ATD, ainsi que le Contrat de Services, constituent l’accord unique et entier des Parties en ce qui concerne l’objet des présentes et de celui-ci, et remplacent tous les accords, déclarations et garanties antérieurs et contemporains, écrits et oraux, concernant cet objet.
Afin d’éviter toute ambiguïté, toutes les réclamations et responsabilités découlant du présent ATD ou liées à celui-ci seront soumises aux conditions du Contrat de services, y compris toutes les dispositions qui y figurent concernant l’indemnisation, la limitation de responsabilité, la résolution des litiges, le choix de la loi ou le choix du for.
12.2.
Severability. Si l’une des dispositions du présent ATD, ou son application à une personne, un lieu ou une circonstance, est jugée invalide, nulle ou inapplicable par un tribunal compétent, le reste du présent ATD et cette disposition telle qu’appliquée à d’autres personnes, lieux ou circonstances resteront pleinement en vigueur et invalides, Les dispositions nulles ou inapplicables seront appliquées dans toute la mesure permise par la loi.
12.3.
Amendment; Waiver. Les Parties conviennent de prendre les mesures raisonnables nécessaires pour modifier le présent ATD de temps à autre, dans la mesure où cela est nécessaire pour que les Parties se conforment aux Lois sur la protection des données.
Le présent ATD ne peut être amendé ou autrement modifié à moins que cet amendement ou modification ne soit énoncé par écrit, identifié comme un amendement ou une modification du présent ATD et signé par un représentant autorisé de chacune des Parties.
Aucune disposition du présent ATD ne peut faire l’objet d’une dérogation à moins qu’une telle renonciation ne soit énoncée par écrit, identifiée comme une renonciation au présent ATD et signée par un représentant autorisé de la Partie qui renonce.
Sauf disposition contraire du présent ATD, aucun manquement ou retard d’une Partie dans l’exercice d’un droit en vertu du présent ATD ne constitue une renonciation à celui-ci, et aucun exercice unique ou partiel de celui-ci n’exclut tout autre exercice ou exercice ultérieur de celui-ci ou l’exercice de tout autre droit.
12.4.
No Third Party Beneficiaries. Le présent ATD lie les Parties et leurs successeurs et ayants droit autorisés respectifs et s’applique à leur profit, et rien dans les présentes, explicite ou implicite, n’est destiné à conférer à toute autre personne un droit, un avantage ou un recours légal ou équitable de quelque nature que ce soit en vertu du présent ATD ou en raison de celui-ci.
12.5.
Relationship of the Parties. La relation entre les Parties est celle d’entrepreneurs indépendants et le présent ATD n’établira aucune relation d’agence, de partenariat, de coentreprise, de fiduciaire, de franchise ou d’emploi entre les Parties (ou entre une Partie et un représentant de l’autre Partie).
En vertu du présent ATD, aucune des Parties n’a le droit, le pouvoir ou l’autorité, explicite ou implicite, de lier l’autre Partie.
12.6.
Force Majeure; Excused Performance. Nonobstant toute disposition contraire dans le présent ATD, Strada ne sera pas responsable de tout manquement à ses obligations en vertu des présentes ou de tout autre acte ou omission imputable à
(a) tout manquement du Client à ses obligations en vertu des présentes ou des Lois sur la protection des données,
(b) tout acte ou omission d’un fournisseur ou d’un autre représentant du Client (autre que Strada et ses Sous-traitants) ou
(c) tout cas de force majeure ou tout autre acte ou circonstance échappant au contrôle raisonnable de Strada ; à condition qu’aucune disposition de la présente section ne limite ou n’affecte de quelque manière que ce soit l’obligation de Strada d’exécuter son programme de continuité des activités et de reprise après sinistre.
Chacune des Parties déploiera des efforts commercialement raisonnables pour atténuer les effets de l’une quelconque des circonstances susmentionnées.
12.7.
Interpretation. Toute ambiguïté dans le présent ATD sera résolue en faveur d’un sens qui permette aux deux Parties de se conformer aux Lois sur la protection des données.
Sauf indication contraire du contexte exprès, les mots « aux présentes », « aux présentes », « en vertu des présentes » et les mots d’importance similaire font référence au présent ATD dans son ensemble et non à une disposition particulière du présent ATD, les références à un article spécifique renvoient aux articles du présent ATD, sauf disposition contraire expresse, et les mots « inclure », « y compris » et les mots d’importance similaire sont réputés être suivis des mots « sans limitation ».
Les légendes ou les titres du présent ATD sont fournis à titre indicatif uniquement et ne doivent pas être considérés comme faisant partie de l’interprétation ou de l’interprétation d’une disposition du présent ATD ni n’en affecter.
12.9 Coordonnées professionnelles.
Strada et le Client peuvent traiter les coordonnées professionnelles de l’autre partie, y compris les données personnelles telles que le nom et l’adresse e-mail professionnelle d’une personne, pour contacter, identifier ou authentifier une personne à titre professionnel ou commercial.
Ce Traitement est effectué en tant que responsables de traitement indépendants, qu’ils exercent des activités pour livrer et recevoir les Services.
Chacune des Parties a mis en œuvre et suit des mesures techniques et organisationnelles appropriées pour protéger les coordonnées professionnelles de l’autre Partie.
12.8.
Notices. Toutes les notifications en vertu du présent ATD à Strada doivent être envoyées à stradaclientcontracting@stradaglobal.com Toutes les notifications en vertu du présent ATD au Client doivent être envoyées conformément au Contrat de services.
Pièce A – Mesures techniques et organisationnelles
- Sécurité physique.
Strada maintient des contrôles de sécurité pour les points d’entrée, les zones d’attente, les zones de télécommunications et les zones de câblage qui contiennent des systèmes de traitement de l’information ou des supports contenant des données personnelles.
Les contrôles de sécurité comprennent :
- le contrôle et la restriction d’accès au moyen d’un périmètre de sécurité défini, de barrières de sécurité appropriées, de caméras de sécurité, de contrôles d’entrée et de contrôles d’authentification, et de la tenue de registres d’accès pendant une période précisée par la loi ou la politique ;
- Lorsque les cartes d’identité Strada sont déployées, l’obligation pour tout le personnel, les fournisseurs, les sous-traitants et les visiteurs de porter une forme d’identification visible pour s’identifier en tant qu’employés, sous-traitants, fournisseurs ou visiteurs ;
- Une politique de bureau et d’écran dégagés ;
- Un verrouillage automatique du ralenti pour les équipements laissés sans surveillance ;
- L’obligation pour les visiteurs des locaux de Strada d’être escortés en tout temps ; et
- Lorsque cela est techniquement faisable et commercialement raisonnable, des caméras et des caméras de surveillance.
- Continuité des activités et reprise après sinistre.
Strada maintient les contrôles et mesures de protection de continuité des activités suivants :
- Le programme de continuité des activités et de reprise après sinistre est basé sur les pratiques généralement reconnues de l’industrie conçues pour réduire les effets d’une perturbation importante des opérations de Strada ;
- Les programmes de continuité des activités et de reprise après sinistre sont mis à l’essai au moins une fois par année.
- Les sauvegardes des systèmes et logiciels Strada utilisés dans la prestation des Services sont répliquées dans son installation de reprise après sinistre afin que la récupération puisse avoir lieu en cas de sinistre ; et
- Les données sont répliquées dans son installation de reprise après sinistre, fournissant une sauvegarde planifiée à un moment donné des données pour garantir l’intégrité.
- Contrôles de sécurité réseau.
Strada maintient les contrôles et mesures de sécurité réseau suivants :
- Conception de défense en profondeur avec des routeurs périmétriques, des commutateurs réseau et des pare-feu et une politique de refus de tout par défaut pour protéger la présence sur Internet ;
- Accès au moindre privilège et authentifié pour les utilisateurs et les équipements du réseau ;
- Contrôle de l’accès à Internet par des proxys ;
- Authentification à deux facteurs pour l’accès à distance avec un mot de passe non réutilisable ;
- Système de détection d’intrusion pour surveiller et répondre aux intrusions potentielles ;
- Enregistrement et investigation des événements réseau en temps réel à l’aide d’un outil de gestion des événements d’informations de sécurité ;
- Filtrage de contenu et blocage de sites Web à l’aide de listes approuvées ;
- Limitations de l’accès sans fil au réseau ;
- Politiques et normes pour les dispositifs de réseau sans fil ;
- Interdictions de pontage des réseaux sans fil et autres, y compris le réseau d’entreprise ; et
- Détection et dissociation des points d’accès sans fil non autorisés.
- Contrôles de sécurité de la plate-forme.
Strada maintient les contrôles et mesures de sécurité de la plate-forme suivants :
- Maintien des normes de configuration/durcissement ;
- Contrôle des modifications par le biais d’un processus interne de contrôle des modifications ;
- Interdiction d’installer du matériel et des logiciels non autorisés ;
- Lorsque cela est techniquement possible, des délais d’expiration automatiques de la session après des périodes d’inactivité ;
- Suppression des valeurs par défaut fournies par le fournisseur (comptes, mots de passe et rôles) lors de l’installation ;
- Suppression de services et d’appareils qui ne sont pas requis par des besoins commerciaux valides ;
- Utilisation d’un programme antivirus avec des mises à jour en temps opportun ;
- Accès aux comptes non privilégiés sur les postes de travail et les ordinateurs portables ;
- Cryptage complet du disque sur les ordinateurs portables ;
- Les plateformes de développement et de test seront séparées des plateformes opérationnelles utilisées pour fournir les Services ;
- Les outils de développement tels que les compilateurs, les assembleurs, les éditeurs et autres utilitaires à usage général dans l’environnement de production ne seront pas autorisés, sauf si cela est expressément requis pour la livraison des Services, auquel cas l’accès est restreint ; et
- Les logiciels et le matériel utilisés dans la prestation des Services seront mis à jour conformément aux normes de l’industrie, à l’assistance des fournisseurs et aux directives de sécurité.
- Contrôles de sécurité des applications.
Strada gère les contrôles et mesures de sécurité suivants :
- Défense en profondeur avec l’utilisation d’une architecture n-tier pour la séparation et la protection des données ;
- Un cycle de vie sécurisé du développement logiciel (SSDLC) pour le développement d’applications qui comprend la formation, le développement, les tests et les évaluations continues ;
- Documentation, examen, tests et approbation avant la mise en œuvre des modifications en production ;
- Identification, test et correction des vulnérabilités et des correctifs des applications en temps opportun ; et
- L’interdiction d’utiliser les données de production dans les environnements de développement et de test.
- Gestion des données et des actifs.
Strada maintient les contrôles et mesures de sécurité suivants pour la gestion des données et des actifs :
- Garanties techniques, administratives et physiques ;
- Sauvegardes et stockage réguliers des Données Personnelles ;
- Chiffrement des Données Personnelles transmises sur les réseaux publics et sur des supports amovibles ;
- Utilisation d’un outil de prévention de la perte de données pour les activités de transfert de données finales impliquant des numéros de sécurité sociale ou d’autres numéros d’identification nationaux ;
- Utilisation d’un programme d’inventaire pour contrôler l’installation, la propriété et le déplacement du matériel, des logiciels et de l’équipement de communication ;
- Le cryptage, l’assainissement, la destruction ou la purge de tous les supports physiques contenant des données personnelles quittant la garde de Strada pour s’assurer que les représentations magnétiques, optiques, électriques ou autres résiduelles des données ont été supprimées et ne sont pas récupérables ; et
- Séparation logique des données personnelles d’un client Strada des autres clients Strada.
- Contrôle et gestion de l’accès.
Strada maintient les contrôles et mesures de sécurité de gestion et de contrôle d’accès suivants :
- La surveillance et l’enregistrement de l’accès et de l’utilisation des systèmes Strada qui contiennent des données personnelles, y compris l’enregistrement des tentatives d’accès aux systèmes Strada qui contiennent des données personnelles ;
- Examen et validation périodiques de l’accès aux données personnelles en fonction du rôle et suppression rapide des accès inutiles ;
- Identifiant de connexion et mots de passe uniques ;
- Des mots de passe forts avec des exigences minimales en matière de longueur, de complexité et d’expiration ;
- Désactivation de l’accès après un nombre limité de tentatives de connexion infructueuses ; et
- Rejet des mots de passe précédemment utilisés.
- Gestion du risque.
Strada maintient les contrôles et mesures de protection suivants en matière de gestion des risques :
- Un système de gestion des risques de sécurité de l’information aligné sur la norme de bonnes pratiques en matière de sécurité de l’information (Forum sur la sécurité de l’information) ;
- Un cycle d’évaluation des risques des actifs critiques, dont la fréquence dépend du nombre de risques résiduels identifiés sur chaque site ;
- L’analyse des risques est documentée à l’aide de modèles normalisés d’évaluation des risques ; et
- Les activités de gestion des risques sont établies lorsque les risques sont définis et convenus avec les propriétaires d’actifs.
- Gestion des vulnérabilités et des correctifs.
Strada prend les mesures suivantes conçues pour identifier et atténuer les vulnérabilités qui menacent la capacité de Strada à faire respecter la confidentialité, l’intégrité et la disponibilité des données personnelles :
- Un processus de surveillance des vulnérabilités qui fournit des alertes ou des notifications sur les nouveaux correctifs disponibles, et le calendrier de correction qui en résulte ;
- Des analyses régulières pour identifier et corriger rapidement les vulnérabilités ;
- Classification des vulnérabilités en fonction de leur gravité afin de permettre des mesures correctives en fonction des attentes prédéterminées en matière de niveau de service ; et
- Tests d’intrusion sur les environnements Strada applicables, y compris les tests de vulnérabilité du périmètre, les tests de vulnérabilité de l’infrastructure interne et les tests d’applications.
Pièce B – Détails du traitement
Opérations de traitement
Les opérations de traitement à effectuer en vertu du présent ATD sont les suivantes : Les données personnelles reçues pour le compte du client seront utilisées pour l’exécution de services dans le cadre du contrat de services (par exemple, les services de paie et autres services d’externalisation des processus commerciaux, le conseil en logiciels et les activités connexes) et peuvent inclure :
- fournir des logiciels, des équipements et des services de traitement de données par le biais de divers outils, applications et fournisseurs ;
- la maintenance et la configuration des applications ;
- téléchargements et transferts de données ;
- le stockage ou l’enregistrement des données personnelles ;
- empêcher l’accès non autorisé ou la modification des données personnelles (et d’autres données non personnelles) ;
- programmer, imprimer et assembler, réviser et modifier les relevés selon les directives du client ;
- communiquer avec les personnes concernées dans le cadre des services fournis au Client ; et
- fournir des documents de référence à la demande du Client.
La finalité des opérations de traitement ci-dessus est de fournir les Services conformément au Contrat de Services.
Personnes concernées
Les Données à caractère personnel à traiter par Strada pour le compte du Client concernent les catégories suivantes de personnes concernées : les employés actuels, anciens et/ou potentiels, leurs proches et membres de leur famille et autres représentants du Client et des sociétés affiliées du Client.
Catégories de données personnelles à traiter
Les données personnelles traitées par Strada comprennent les catégories suivantes : Données RH/employés : cela peut inclure : le nom complet ; nom de jeune fille ; le numéro d’identification de l’employé ; nom d’utilisateur ; image; les coordonnées (y compris l’adresse personnelle et professionnelle, les numéros de téléphone personnels et professionnels, les numéros de téléphone portable, les données d’adresse Web, l’adresse e-mail personnelle et professionnelle) ; situation de famille; des renseignements sur la citoyenneté ; Date de naissance; genre; les informations sur le permis de conduire ; les informations d’identification nationales et gouvernementales ; des renseignements financiers (y compris le compte bancaire, les saisies-arrêts, les prêts, le salaire et les soldes de comptes) ; des renseignements sur le programme d’avantages sociaux (y compris les choix de prestations, les renseignements sur les bénéficiaires, les renseignements sur les demandes de règlement, les numéros de compte et les soldes des régimes d’avantages sociaux et la date de la retraite) ; les renseignements sur la paie ; des informations professionnelles ou d’emploi (y compris la date d’embauche, le statut d’emploi, l’intitulé du poste, les antécédents professionnels et éducatifs, l’historique des salaires, les informations sur les retenues d’impôt, les dossiers de performance, les informations sur les congés, les informations sur les voyages et la date de licenciement) ; et ces autres données personnelles qui peuvent être transférées du Client (ou au nom de) à Strada pour l’exécution de services pour le Client.
Données des personnes liées : peuvent inclure, mais sans s’y limiter : le nom, la date de naissance, le sexe et les coordonnées des personnes à charge ou des bénéficiaires (y compris l’adresse du domicile, les numéros de téléphone du domicile et du travail, les numéros de téléphone portable) ; et ces autres données personnelles qui peuvent être transférées du Client (ou au nom de) à Strada pour l’exécution de services pour le Client.
Catégories particulières de données personnelles
Les données personnelles traitées par Strada peuvent inclure des données personnelles sensibles, notamment des informations sur l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, la santé, la génétique, la biométrie ou les dossiers médicaux, et/ou les casiers judiciaires.