Expandi Data Processing Agreement

This DPA can also be viewed in English and Italian

  1. OBJET
  2. 1.1. Le présent accord a pour objet de définir les modalités opérationnelles qu’Expandi LTD en tant que sous-traitant, s'engage à respecter pour les besoins de traitement de données à caractère personnel, qu’il réalise pour le compte de ses clients, Responsables de traitement, dans le cadre des services qu’il propose.

  3. OBLIGATIONS GENERALES
    1. 2.1. Les parties conviennent ce qui suit en ce qui concerne les activités de Traitement de Données à caractère personnel :

      2.2. Que les Données à caractère personnel des Personnes concernées seront traitées exclusivement aux fins inhérentes à l'exécution du contrat.

      2.3. Que le type de Données à caractère personnel et les catégories de Données à caractère personnel soumises au Traitement soient limités à ceux définis par le Responsable du traitement.

      2.4. Expandi LTD ne traitera les données personnelles que sur instruction du Responsable du Traitement.

  4. MESURES ORGANISATIONNELLES ET TECHNIQUES
    1. 3.1. Expandi LTD veille à ce que les personnes habilitées à traiter les Données à caractère personnel aient préalablement signé un accord de confidentialité (accord de non-divulgation « NDA »).

      3.2. Expandi LTD ne peut nommer un sous-traitant ultérieur, au sens de l'article 28, paragraphe 2 du Règlement UE 2016/679, que sur accord exprès du Responsable du traitement.

      3.3. Expandi LTD doit mettre en œuvre et maintenir les mesures techniques et organisationnelles afin d'assurer un niveau de sécurité approprié au risque.

      3.4. Le Responsable du traitement se réserve le droit de vérifier et de contrôler la conformité du Traitement de Données à caractère personnel aux instructions qu’il a fournies en matière de protection des Données caractère personnel, notamment par des audits périodiques effectués soit par des membres de son personnel soit par un tiers auditeur nommé à cet effet.

  5. DROITS DES PERSONNES CONCERNEES
    1. 4.1. Expandi LTD apporte son assistance au Responsable du traitement par l’utilisation de mesures techniques et organisationnelles appropriées afin de permettre à ce dernier de satisfaire aux obligations lui incombant en matière de réponse aux demandes des Personnes concernées relativement à l'exercice de leurs droits au titre de l'article 15 du Règlement UE 2016 / 679.

      4.2. Dans l’hypothèse où des Personnes concernées feraient part au Sous-traitant de demandes relatives à l'exercice de leurs droits en matière de Données à caractère personnel appartenant au Responsable du traitement, tels que, par exemple, droit de rectification, droit à la limitation du traitement, etc., Expandi LTD doit en informer le Responsable du traitement dans les plus brefs délais et en tout état de cause dans les délais prévus par la législation.

      4.3. Dans l’hypothèse où le Responsable du traitement est tenu de fournir des informations relatives à des Données à caractère personnel à d'autres Responsables du traitement ou à des tiers, Expandi LTD est tenu de coopérer en fournissant toutes les informations utiles.

  6. COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL À DES TIERS
    1. 5.1. Expandi LTD ne doit pas divulguer les Données à caractère personnel à des tiers, à une organisation internationale ou à une autorité judiciaire, sans l'autorisation préalable du Responsable du traitement. Lorsque le droit de l'Union Européenne ou la législation nationale, impose la communication de telles Données ou l’octroi d’un accès à celles-ci au profit des entités susvisées, Expandi LTD communique les Données en cause au demandeur et, par la suite, informe par notification le Responsable du traitement de la communication effectuée ainsi que de l’obligation légale sur laquelle elle repose, sauf lorsque le droit applicable interdit, pour les motifs d’intérêt général, la fourniture d’une telle information.

  7. RESTITUTION OU EFFACEMENT DE DONNÉES PERSONNELLES
    1. 6.1. Sauf dispositions légales contraires, le Sous-traitant devra, au choix du Responsable du traitement, supprimer ou restituer les Données à caractère personnel au terme du contrat de service ou en cas de suspension de ce dernier. En outre, Expandi LTD s'engage, à la demande du Responsable du traitement, à supprimer les copies existantes de ces Données, sauf si la législation de l'Union européenne ou des États membres prévoit la conservation de ces données au-delà de la limite fixée par le Responsable du traitement.

  8. ASSISTANCE ET REGISTRES
    1. 7.1. Expandi LTD devra établir et mettre à jour périodiquement un registre contenant les noms et les coordonnées des sous-traitants ultérieurs.

      7.2. Expandi LTD devra tenir un journal des accès aux Données à caractère personnel effectués par une administration publique, une autorité judiciaire ou un auditeur tiers.

      7.3. Expandi LTD devra tenir un registre des violations impliquant des Données à caractère personnel des Personnes concernées.

      7.4. En outre, Expandi LTD devra, conformément à l'article 24 du Règlement UE 2016/679, remplir le registre des Traitements, en veillant à communiquer au Responsable du traitement les catégories de Traitements effectuées pour le compte de ce dernier et de tout sous-traitant ultérieur impliqué.

  9. TRANSFERT DE DONNÉES EN DEHORS DE L'UNION EUROPÉENNE
    1. 8.1. Expandi LTD informera le Responsable du traitement des autres avis et documents relatifs au mécanisme de transfert de données international conformément à l'article 46 du GDPR.

      8.2. Si Expandi LTD transfère des données à un sous-traitant ultérieur établi aux États-Unis d'Amérique, il devra informer le Responsable du traitement relativement à l’existence de la certification “Bouclier de Protection des Données” (” Privacy Shield”) du sous-traitant ultérieur et devra confirmer régulièrement, et au minimum une fois par an, que la certification demeure valable.

  10. SOUS-TRAITANTS ULTÉRIEURS
    1. 9.1. Le recours par le Responsable du traitement à des sous-traitants ultérieurs ainsi que le contrat correspondant nécessite l'accord préalable et écrit, par email certifié, si possible, et à défaut par e-mail. Le Sous-traitant informera le Responsable du traitement à l'avance et sans délai de tout changement de sous-traitant ultérieur par rapport à la liste préalablement approuvée par le Responsable du traitement. Le Responsable du traitement ne doit pas s'opposer sans justification à une modification envisagée.

      9.2. Expandi LTD doit imposer à tout sous-traitant ultérieur approuvé les mêmes obligations de protection des Données à caractère personnel que celles énoncées dans le présent DPA.

      9.3. Conformément à l'article 28, paragraphe 4 du Règlement UE 679/2016, lorsque le Sous-traitant Expandi LTD nommera lui-même un sous-traitant ultérieur, toutes les obligations en vigueur entre le Responsable du traitement et Expandi LTD seront imposées au sous-traitant ultérieur.

      9.4. Expandi LTD demeure responsable de ses sous-traitants ultérieurs et répondra de leurs actes et omissions comme des siens propres et toute référence aux obligations, actes et omissions de Expandi LTD figurant dans le présent DPA doit être interprétée comme se référant également aux obligations, actes et omissions des sous-traitants ultérieurs de Expandi LTD.

  11. VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
    1. 10.1. Expandi LTD informera le Responsable du traitement sans délai de toute suspicion de non-conformité aux réglementations relatives à la protection des Données à caractère personnel ou aux des termes du présent DPA ainsi qu’en cas de perturbation grave des opérations de Traitement ou de toute autre irrégularité dans le Traitement des Données à caractère personnel du Responsable du traitement. Expandi LTD examinera et corrigera rapidement toute non-conformité aussi tôt que possible et, à la demande du Responsable du traitement, lui fournira toutes les informations demandées par ce dernier relativement à la violation suspectée.

      10.2. Expandi LTD informera le Responsable du traitement sans délai (et en aucun cas après plus de 48 heures) après avoir eu connaissance d'une Violation de Données à caractère personnel concernant les services. Expandi LTD investiguera rapidement la Violation de Données à caractère personnel et fournira au Responsable du traitement toute l’assistance raisonnablement nécessaire afin que ce dernier puisse satisfaire à ses obligations légales (y compris les obligations de notification des autorités de contrôle ou des Personnes concernées).

      10.3. Il est précisé qu’Expandi LTD devra informer le Responsable du traitement de toute Violation de Données à caractère personnel, y compris de celles affectant tout sous-traitant Expandi LTD, dans les 48 heures à compter de la détection de la Violation suspectée.

  12. DURÉE
    1. 11.1. Le présent DPA restera valable jusqu'au terme du contrat de service, Expandi LTD devra conserver le plus haut niveau de confidentialité relativement aux données et informations concernant le Responsable du traitement dont il a eu connaissance du fait de l'exécution de ses obligations.

      11.2. Au terme du contrat de service, Expandi LTD doit, sauf disposition contraire, qu’elle résulte d’une loi ou d’une réglementation nationale ou européenne, cesser toute opération de Traitement des Données à caractère personnel ou les annuler dans leur intégralité, et en tout état de cause certifier par écrit au Responsable du traitement qu’il n’existe plus aucune copie desdites données en sa possession. A la demande du Responsable du traitement Expandi LTD devra préciser les méthodes et procédures techniques utilisées pour l'annulation et la destruction.

  13. COMPÉTENCE ET MÉDIATION
    1. 12.1. Les litiges, investigations et contentieux entre les Parties relativement au présent DPA doivent être portés devant les tribunaux compétents de Milan.

      12.2. Le présent DPA est régi par la loi italienne.


Annexe A –MESURES DE SECURITE

Expandi LTD, conformément aux Principes de Sécurité des Données du RGP ci-dessous, a mis et continuera à mettre en œuvre toutes les mesures techniques et organisationnelles de sécurité en vue de protéger les données à caractère personnel des Clients du Responsable du traitement contre toute perte accidentelle, destruction, modification, divulgation, accès non autorisé ou destruction illicite.

PRINCIPES DE SECURITE DES DONNEES DU RGPD

Le Responsable du traitement requiert du Sous-traitant qu’il respecte les mesures de sécurité ci-après lors de l’exécution des Traitements qui font l’objet du présent DPA :

  1. Gérer les Données à caractère personnel des Personnes concernées dans des archives protégées sur les appareils mobiles et dans les dispositifs de stockage partagés. En cas de cryptage, il est recommandé de choisir une clé cryptographique appropriée à la nature des Données à caractère personnel concernées.
  2. Limiter la diffusion des Données à caractère personnel des Personnes concernées aux seules personnes autorisées.
  3. Autoriser l'accès par les utilisateurs aux Données à caractère personnel par les utilisateurs selon la règle du "privilège minimum".
  4. Utilisation du système d'authentification des utilisateurs approprié aux systèmes qui traitent les Données à caractère personnel.
  5. Enregistrer et surveiller l'accès des utilisateurs aux Données à caractère personnel afin de garantir une chaîne de responsabilité claire et vérifiable.
  6. Conserver les traces d'accès pertinentes au système et aux Données à caractère personnel pendant la durée de l'activité de Traitement.
  7. Enregistrer tous les accès aux journaux système par les utilisateurs disposant de droits d'administration.
  8. Interdire l'utilisation partagée entre utilisateurs pour l'accès aux systèmes et aux Données.
  9. Séparer de manière logique le réseau afin que les utilisateurs "invités" ne puissent pas accéder au même sous-réseau que les utilisateurs du système de l'entreprise. D’une manière générale, lorsque cela est possible, utiliser plusieurs sous-réseaux logiques (VLAN) avec des règles spécifiques (ACL) pour accéder aux services et ressources réseau.
  10. Utiliser le protocole de sécurité approprié pour les réseaux Wi-Fi
  11. Séparer physiquement le réseau de sorte que seul le personnel autorisé puisse accéder aux périphériques réseau.
  12. Utiliser uniquement des protocoles de communication sécurisés tels que TLS 1.2 et SSH pour les sessions de communication client-serveur.
  13. Autoriser l'accès à distance aux ressources informatiques uniquement et exclusivement via des canaux sécurisés qui rendent le trafic de données non traçable (IPsec, etc.).
  14. Garder les clés cryptographiques utilisées pour les applications et les communications dans des "conteneurs" spéciaux.
  15. Inhiber l'accès des utilisateurs des systèmes au réseau TOR (The Onion Routing).
  16. N'utilisez que des systèmes de stockage mobiles (USB) dotés d'une protection cryptographique adéquate pour le transport des Données à caractère personnel des Personnes concernées.
  17. Fournir des solutions MDM / MDA si les utilisateurs utilisent ou stockent les Données à caractère personnel des Personnes concernées sur les appareils mobiles, qu'ils appartiennent à la société (COPE) ou aux utilisateurs(BYOD)
  18. Utilisez le protocole SFTP pour le transfert de données massif, interdire l'utilisation de FTP.
  19. Inhiber l'utilisation par les utilisateurs de systèmes personnels de cloud privé (ex : DropBox, Gdrive, etransfer, etc.) pour le stockage et le transfert de fichiers contenant des Données à caractère personnel des Personnes concernées.
  20. N'utiliser que des systèmes de messagerie instantanée utilisant les protocoles OTR (Off the record)
  21. Utiliser les protocoles PGP ou S / MIME pour la sécurité cryptographique du contenu des e-mails
  22. Prévoir des systèmes adéquats capables de garantir la continuité du service fourni (continuité d'activité) pour le compte du Responsable du traitement, de sorte qu'en cas d'incident de sécurité, cela ne compromette pas la disponibilité des données et services fournis pour le compte ou au bénéfice de ce dernier.
  23. Prévoir des procédures de gestion des incidents appropriées afin que chaque incident de sécurité soit détecté, enregistré et traité par un personnel spécialisé dans sa résolution. Chaque incident doit être enregistré dans le registre des incidents du responsable concerné et communiqué ensuite au Responsable du traitement.