English 
Deutsch 
Español 
Português 
Français 
Italiano 
中文 (中国) AVENANT DE TRAITEMENT DES DONNÉES
Date de révision : 16 juin 2026
Le présent Avenant de Traitement des Données (le « ATD ») est conclu entre :
(1) Le Client : l’entité contractante du Client expressément identifiée dans le Bon de Commande applicable (ou tout autre formulaire de commande ou document émis en vertu de celui-ci et accepté par le Client) pour la fourniture des services VDR (« Bon de Commande »), agissant en qualité de Responsable du traitement (« Client » ou « Responsable du traitement ») ;
(2) Ideals : l’entité contractante d’Ideals expressément identifiée dans le Bon de Commande applicable, agissant en qualité de Sous-traitant (« Ideals » ou « Sous-traitant »).
Intégration et hiérarchie des normes
Le présent ATD complète les Conditions Générales de Service d’Ideals (« CGS »), disponibles à l’adresse https://www.idealsvdr.com/terms-and-conditions/, et en fait partie intégrante. Il s’applique dans la mesure où Ideals traite des Données Personnelles pour le compte du Client en qualité de Sous-traitant dans le cadre des Services. En exécutant le Bon de Commande faisant référence aux CGS, ou en accédant aux Services ou en les utilisant, le Client accepte d’être lié par le présent ATD en son nom propre et au nom de ses Utilisateurs.
L’« Accord VDR Ideals » désigne les CGS ainsi que tout Bon de Commande applicable. Collectivement, l’Accord VDR Ideals et le présent ATD sont désignés dans les présentes sous le terme « Accord ».
En cas de conflit ou d’incohérence entre les termes de l’Accord, uniquement dans la mesure où ce conflit concerne les obligations de protection des données et de traitement, les dispositions des documents suivants (par ordre de priorité) prévaudront : (a) le présent ATD ; puis (b) l’Accord VDR Ideals. Sauf modification expresse dans le présent ATD, l’Accord VDR Ideals reste inchangé et en pleine vigueur.
1. DÉFINITIONS
« Données Personnelles du Client » désigne les Données Personnelles (i) téléchargées par le Client sur la Salle des Données Virtuelle (ci-après la « SDV ») et (ii) traitées par Ideals pour le compte du Client dans le cadre de la fourniture des Services en vertu de l’Accord VDR Ideals.
« Responsable du traitement » désigne le Client.
« Sous-traitant » désigne Ideals.
« Exigences de Protection des Données » désigne, selon le cas applicable : le RGPD de l’UE et les lois de mise en œuvre locales ; le RGPD britannique et le Data Protection Act 2018 du Royaume-Uni ; la loi fédérale suisse sur la protection des données (LPD, y compris la LPD révisée) ; la loi brésilienne Lei Geral de Proteção de Dados (LGPD) ; la loi indienne sur la protection des données personnelles numériques (DPDP Act) et ses règlements d’application (lorsqu’ils sont en vigueur, dans la mesure applicable) ; les lois américaines sur la protection de la vie privée des États régissant les contrats de sous-traitant/prestataire de services (notamment la CCPA/CPRA et les lois d’État similaires) ; ainsi que toute autre loi applicable en matière de protection de la vie privée ou des données et les orientations/décisions contraignantes des autorités compétentes.
« Délégué à la Protection des Données (DPD) » désigne le délégué à la protection des données désigné par Ideals, joignable à l’adresse privacy@idealscorp.com.
« Données Personnelles de l’UE » désigne les Données Personnelles régies par le RGPD de l’UE.
« Lois Américaines sur la Protection de la Vie Privée des États » désigne, selon le cas applicable, la CCPA/CPRA californienne et les lois d’État américaines similaires en matière de protection de la vie privée (p. ex., CPA, VCDPA, CTDPA, UCPA) dans la mesure où elles s’appliquent aux Services.
« Données Personnelles » désigne les informations relatives à un individu qui (a) peuvent être utilisées pour identifier, contacter ou localiser un individu spécifique, y compris les données que le Client choisit de télécharger sur la SDV ; (b) peuvent être combinées avec d’autres informations permettant d’identifier, de contacter ou de localiser un individu spécifique ; ou (c) sont définies comme « données personnelles » ou « informations personnelles » par les lois et réglementations applicables relatives à la collecte, l’utilisation, le stockage ou la divulgation d’informations concernant un individu identifiable.
« Mécanismes de Transfert Applicables » désigne, selon le cas applicable : (i) les Clauses Contractuelles Types de l’UE adoptées par la Décision de la Commission (UE) 2021/914 (Module 2 – Responsable du traitement vers Sous-traitant) ; (ii) l’Avenant International de Transfert de Données britannique (ou IDTA, selon le cas) ; (iii) l’Avenant suisse du PFPDT ; et (iv) le cas échéant, le Cadre de Protection des Données UE–États-Unis, l’extension britannique au Cadre de Protection des Données UE–États-Unis, et le Cadre de Protection des Données Suisse–États-Unis, à condition que l’importateur de données concerné maintienne une certification valide.
« Cadres de Protection des Données » désigne le Cadre de Protection des Données UE–États-Unis (DPF) et, selon le cas applicable, l’extension britannique au DPF UE–États-Unis et le DPF Suisse–États-Unis, tels qu’administrés par le Département du Commerce des États-Unis.
« Violation de Données Personnelles » désigne toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé, accidentel ou illicite, aux Données Personnelles du Client.
« Traiter » et ses dérivés désignent toute opération ou ensemble d’opérations effectuées sur des Données Personnelles ou des ensembles de Données Personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Sous-traitant Ultérieur » désigne toute entité qui fournit des services de traitement à Ideals dans le cadre du traitement effectué par Ideals pour le compte du Client.
« Autorité de Contrôle » désigne toute autorité de contrôle compétente de l’UE, l’ICO britannique, le PFPDT suisse, l’ANPD brésilienne, ou toute autre autorité compétente selon le cas applicable.
2. NATURE, PORTÉE ET FINALITÉ DU TRAITEMENT DES DONNÉES
Chaque partie s’engage à traiter les Données Personnelles reçues dans le cadre de l’Accord, y compris les Données Personnelles relatives aux personnes figurant dans les documents téléchargés sur la SDV et les autres Données Personnelles du Responsable du traitement, uniquement aux fins prévues par l’Accord.
En outre, Ideals informera le Client si elle considère qu’une instruction reçue du Client enfreint les Exigences de Protection des Données, permettant ainsi au Client de revoir et, si nécessaire, de modifier cette instruction.
3. CONFORMITÉ AUX LOIS
Les parties respecteront chacune leurs obligations respectives au titre de toutes les Exigences de Protection des Données applicables.
4. OBLIGATIONS DU CLIENT
Le Client s’engage à :
4.1 Fournir des instructions à Ideals et déterminer les finalités et les moyens généraux du traitement des Données Personnelles du Client par Ideals, conformément à l’Accord ;
4.2 Se conformer à ses obligations de protection, de sécurité et autres obligations à l’égard des Données Personnelles du Client, prescrites par les Exigences de Protection des Données pour les responsables du traitement, en :
A. Établissant et maintenant une procédure permettant l’exercice des droits des personnes dont les Données Personnelles du Client sont traitées pour le compte du Client ;
B. Téléchargeant et traitant uniquement les données que le Client est autorisé à télécharger sur la SDV ;
C. Veillant à la conformité aux dispositions du présent Accord de la part de son personnel ou de tout tiers accédant aux Données Personnelles du Client ou les utilisant en son nom.
5. OBLIGATIONS D’IDEALS
5.1 Exigences de traitement. Ideals s’engage à :
A. Traiter les Données Personnelles du Client (i) uniquement aux fins de fourniture, de support et d’amélioration des services d’Ideals (y compris pour fournir des analyses et autres rapports), en utilisant les mesures de sécurité techniques et organisationnelles appropriées mentionnées dans le présent ATD et à l’Annexe II ; et (ii) en conformité avec les instructions reçues du Client. Ideals n’utilisera ni ne traitera les Données Personnelles du Client à quelque autre fin. Toute activité liée à l’amélioration des services, à la production d’analyses ou à d’autres rapports sera effectuée exclusivement sur des données anonymisées qui ne constituent plus des Données Personnelles au sens du RGPD, du RGPD britannique ou de la LPD (et des concepts équivalents en vertu d’autres lois applicables).
B. Prendre des mesures commercialement raisonnables pour s’assurer que les personnes engagées pour agir pour le compte d’Ideals respectent les termes de l’Accord et sont tenues de respecter et de reconnaître la confidentialité des Données Personnelles du Client ;
C. Si elle entend engager des Sous-traitants Ultérieurs pour l’aider à remplir ses obligations conformément à l’Accord ou pour déléguer tout ou partie des activités de traitement à ces Sous-traitants Ultérieurs, demeurer responsable vis-à-vis du Client des actes et omissions des Sous-traitants Ultérieurs en matière de protection des données, dans la mesure où ces Sous-traitants Ultérieurs agissent sur instruction d’Ideals ;
D. Sur demande écrite, fournir au Client un résumé des politiques de confidentialité et de sécurité d’Ideals ;
E. Si Ideals collecte des Données Personnelles auprès de personnes en tant que responsable du traitement indépendant (p. ex., pour l’administration des comptes, la facturation, la sécurité, la conformité, la prévention des fraudes et/ou d’autres opérations commerciales non effectuées pour le compte du Client), Ideals sera Responsable du traitement (ou toute autre qualité équivalente) pour ce traitement et le présent ATD ne s’appliquera pas à ce traitement ;
F. DPD. Ideals maintient un Délégué à la Protection des Données désigné et communiquera ses coordonnées au Client et aux autorités compétentes sur demande.
5.2 Assistance au Client. Ideals fournira une assistance raisonnable au Client concernant :
A. Toute demande émanant des personnes concernées du Client relative à l’accès, la rectification, l’effacement, la limitation, la portabilité, le blocage ou la suppression des Données Personnelles du Client traitées par Ideals pour le compte du Client. Si une personne concernée envoie une telle demande directement à Ideals, Ideals la transmettra rapidement au Client ;
B. L’enquête sur les Violations de Données Personnelles et la notification de ces violations à l’Autorité de Contrôle et aux personnes concernées du Client ; Ideals notifiera en tout état de cause au Client toute Violation de Données Personnelles sans délai indu après en avoir eu connaissance, en fournissant suffisamment d’informations et d’assistance pour permettre au Client de remplir ses propres obligations légales ;
C. Le cas échéant, la préparation des analyses d’impact sur la protection des données et, si nécessaire, la tenue de consultations auprès de toute Autorité de Contrôle.
5.3 Traitement obligatoire.
Si Ideals est tenue par les Exigences de Protection des Données ou toute autre loi applicable de traiter des Données Personnelles du Client pour une raison autre que la fourniture des services décrits dans l’Accord, Ideals en informera le Client avant tout traitement, sauf si Ideals est légalement interdite d’informer le Client d’un tel traitement (p. ex., en raison d’obligations de confidentialité en vertu de la loi applicable).
6. SÉCURITÉ
6.1 Ideals a mis en œuvre des mesures de sécurité administratives, techniques et physiques raisonnables (notamment en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, les contrôles d’accès, la surveillance et la journalisation, la détection des vulnérabilités et des violations, la réponse aux incidents, ainsi que le chiffrement des Données Personnelles du Client en transit et au repos) pour se protéger contre tout accès, perte, altération, divulgation ou destruction non autorisés ou accidentels des Données Personnelles du Client ;
6.2 Ideals est responsable du caractère adéquat des mesures de sauvegarde en matière de sécurité, de confidentialité et de protection de la vie privée de l’ensemble du personnel d’Ideals concernant les Données Personnelles du Client et répond de tout manquement de ce personnel aux termes du présent ATD ;
6.3 Ideals a pris des mesures raisonnables pour s’assurer que l’ensemble du personnel d’Ideals protège la sécurité, la confidentialité et la vie privée des Données Personnelles du Client conformément aux exigences du présent ATD ;
6.4 La liste des mesures techniques et organisationnelles mises en œuvre par Ideals est présentée dans le présent ATD et à l’Annexe II ;
6.5 Ideals déclare que les personnes autorisées par Ideals à traiter les Données Personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
7. AUDIT
7.1 Audit et assurance du Client. Au maximum une fois par période de 12 mois (ou pour motif valable suite à une Violation de Données Personnelles avérée), le Client peut auditer la conformité d’Ideals au présent ATD. Ideals mettra d’abord à disposition ses rapports d’assurance tiers les plus récents (p. ex., certificat ISO/IEC 27001, SOC 2 Type II), les résumés de tests d’intrusion et la documentation connexe. Si ces éléments ne démontrent pas raisonnablement la conformité, le Client peut mener un audit ciblé dans le cadre d’un accord de confidentialité, avec un préavis écrit de 30 jours, pendant les heures ouvrables normales, sans accès aux données d’autres clients ni aux outils de test propriétaires d’Ideals.
7.2 Audits des autorités réglementaires. Ideals coopérera aux audits ou enquêtes des Autorités de Contrôle compétentes.
7.3 Frais. Le Client remboursera les frais directs raisonnables et les frais de déplacement d’Ideals directement imputables à un audit sur site initié par le Client.
8. TRANSFERTS DE DONNÉES
8.1 Les Parties s’appuieront sur les Mécanismes de Transfert Applicables pour tout transfert de Données Personnelles du Client vers un pays n’assurant pas un niveau de protection adéquat. Lorsqu’Ideals détient une certification valide dans le cadre du Cadre de Protection des Données, les Parties conviennent que ce Cadre constituera le mécanisme de transfert légal pour les données personnelles concernées. Si, à tout moment, la certification d’Ideals expire, est retirée, ou si le Cadre concerné est invalidé ou rendu autrement indisponible, les CCT/l’Avenant britannique/l’Avenant suisse incorporés dans le présent ATD s’appliqueront automatiquement en tant que mécanisme de substitution, sans qu’aucune autre action des Parties ne soit nécessaire.
8.2 Transferts UE/EEE (CCT de l’UE). Pour les transferts de Données Personnelles de l’UE vers Ideals en vue de leur traitement par Ideals dans une juridiction autre qu’une juridiction de l’UE/EEE ou un pays bénéficiant d’une décision d’adéquation, les Parties incorporent par référence les CCT de l’UE (Responsable du traitement vers Sous-traitant, Module 2) adoptées par la Décision (UE) 2021/914, complétées conformément aux Annexes I à III du présent ATD. Le texte des CCT de l’UE est joint en tant qu’Annexe I (ou incorporé par référence s’il est joint à l’ensemble de l’Accord).
8.3 Transferts britanniques (Avenant britannique / IDTA). Pour les transferts restreints en vertu du RGPD britannique, les Parties incorporent par référence l’Avenant International de Transfert de Données britannique aux CCT de l’UE (ou l’IDTA si convenu dans le document de commande), complété à l’aide des tableaux figurant à l’Annexe II.
8.4 Transferts suisses (Avenant suisse). Pour les transferts soumis à la LPD suisse vers une juridiction non adéquate, les Parties incorporent par référence l’Avenant suisse du PFPDT, figurant à l’Annexe III, complété à l’aide des annexes pertinentes du présent ATD.
8.5 Mesures supplémentaires. Ideals met en œuvre et maintiendra des mesures techniques et organisationnelles appropriées (notamment un chiffrement fort en transit et au repos, des contrôles d’accès et une journalisation stricte des accès) pour répondre aux exigences des analyses d’impact des transferts applicables.
8.6 Accès au support initié par le Client en tant qu’instruction. Lorsque le Client active l’Accès au support ou le demande par écrit/ticket, cette action constitue des instructions documentées pour (i) l’accès à distance limité par le personnel de support d’Ideals et (ii) tout transfert transfrontalier inhérent à la fourniture de ce support. La portée et la durée sont limitées au ticket/à la session spécifique et sont enregistrées dans les journaux d’audit.
9. RESTITUTION ET SUPPRESSION DES DONNÉES
Sur demande écrite raisonnable du Client adressée à privacy@idealscorp.com (ou telle que définie dans l’Accord VDR Ideals), Ideals devra, au choix du Client, restituer toutes les Données Personnelles du Client et les copies de ces données au Client ou les détruire de manière sécurisée et, sur demande, certifier l’achèvement de cette opération, sauf si les Exigences de Protection des Données empêchent Ideals de restituer ou de détruire tout ou partie des Données Personnelles du Client. Lorsque la conservation est requise par la loi, Ideals limitera le traitement à la finalité et à la durée minimales requises.
10. SOUS-TRAITANTS ULTÉRIEURS
10.1 Le Client reconnaît que, dans le cadre de la fourniture des Services, Ideals peut transférer les Données Personnelles du Client à des Sous-traitants Ultérieurs et interagir avec eux.
10.2 La liste des Sous-traitants Ultérieurs est fournie à l’Annexe III du présent ATD.
11. DROIT APPLICABLE, JURIDICTION ET COMPÉTENCE
Le présent ATD est régi et interprété conformément au droit applicable et aux dispositions relatives au règlement des litiges stipulés dans l’Accord VDR Ideals, sauf que :
(a) La présente section ne modifie pas les choix opérés aux clauses 17/18 (droit applicable/forum) dans le cadre des CCT de l’UE ;
(b) Pour les transferts britanniques, l’Avenant britannique/l’IDTA s’applique selon le cas ;
(c) Pour les transferts suisses, l’Avenant suisse s’applique selon le cas.
12. DURÉE
Le présent ATD reste en vigueur aussi longtemps que l’Accord VDR Ideals est valide.
ANNEXE 0
A. Références aux autorités de contrôle applicables (à titre indicatif)
UE/EEE : autorité de contrôle compétente conformément au RGPD (établissement du Client / établissement principal).
Royaume-Uni : ICO (lorsque le RGPD britannique s’applique).
Suisse : PFPDT (lorsque la LPD suisse s’applique).
Brésil : ANPD (lorsque la LGPD s’applique).
Californie : CPPA (lorsque la CCPA californienne s’applique).
Inde : autorité/organisme compétent (conformément à la loi en vigueur).
La présente Annexe est fournie à titre indicatif uniquement et ne modifie ni ne remplace l’autorité de contrôle compétente identifiée dans le cadre des CCT de l’UE. Pour les besoins des CCT de l’UE (clause 13), l’autorité de contrôle compétente est déterminée exclusivement en vertu du RGPD et identifiée à l’Annexe I(C).
ANNEXE I
CLAUSES CONTRACTUELLES TYPES
SECTION I
Clause 1 – Objet et champ d’application
(a) Les présentes clauses contractuelles types ont pour objet d’assurer le respect des exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.
(b) Les Parties :
(i) la ou les personnes physiques ou morales, autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après « entité/entités ») transférant les données à caractère personnel, tels qu’énumérés à l’Annexe I.A (ci-après chacun « l’exportateur de données »), et
(ii) la ou les entités dans un pays tiers recevant les données à caractère personnel de l’exportateur de données, directement ou indirectement via une autre entité également partie aux présentes Clauses, tels qu’énumérés à l’Annexe I.A (ci-après chacun « l’importateur de données »)
ont accepté les présentes clauses contractuelles types (ci-après : les « Clauses »).
(c) Les présentes Clauses s’appliquent au transfert de données à caractère personnel tel que précisé à l’Annexe I.B.
(d) L’Appendice aux présentes Clauses contenant les Annexes qui y sont visées fait partie intégrante des présentes Clauses.
Clause 2 – Effet et invariabilité des Clauses
(a) Les présentes Clauses établissent des garanties appropriées, y compris des droits opposables pour les personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du Règlement (UE) 2016/679 et, pour les transferts de données de responsables du traitement vers des sous-traitants et/ou entre sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du Règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour ajouter ou mettre à jour des informations dans l’Appendice.
(b) Les présentes Clauses s’entendent sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du Règlement (UE) 2016/679 (RGPD).
Clause 3 – Bénéficiaires tiers
(a) Les personnes concernées peuvent invoquer et faire respecter les présentes Clauses, en tant que bénéficiaires tiers, à l’encontre de l’exportateur de données et/ou de l’importateur de données, à l’exception des dispositions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
(ii) Clause 8 – Clause 8.1(b), 8.9(a), (c), (d) et (e) ;
(iii) Clause 9 – Clause 9(a), (c), (d) et (e) ;
(iv) Clause 12 – Clause 12(a), (d) et (f) ;
(v) Clause 13 ;
(vi) Clause 15.1(c), (d) et (e) ;
(vii) Clause 16(e) ;
(viii) Clause 18 – Clause 18(a) et (b).
(b) Le paragraphe (a) s’entend sans préjudice des droits des personnes concernées au titre du Règlement (UE) 2016/679.
Clause 4 – Interprétation
(a) Lorsque les présentes Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ces termes ont le même sens que dans ce Règlement.
(b) Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
(c) Les présentes Clauses ne doivent pas être interprétées d’une manière contraire aux droits et obligations prévus par le Règlement (UE) 2016/679.
Clause 5 – Hiérarchie
En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment de l’accord sur les présentes Clauses ou conclu ultérieurement, les présentes Clauses prévalent.
Clause 6 – Description du/des transfert(s)
Les détails du/des transfert(s), et notamment les catégories de données à caractère personnel qui sont transférées et la/les finalité(s) pour laquelle/lesquelles elles sont transférées, sont précisés à l’Annexe I.B.
Clause 7 – Clause d’accession
(a) Toute entité qui n’est pas partie aux présentes Clauses peut, avec l’accord des Parties, y adhérer à tout moment, soit en qualité d’exportateur de données, soit en qualité d’importateur de données, en complétant l’Appendice et en signant l’Annexe I.A.
(b) Une fois l’Appendice complété et l’Annexe I.A signée, l’entité qui adhère devient Partie aux présentes Clauses et dispose des droits et obligations d’un exportateur de données ou d’un importateur de données conformément à sa désignation à l’Annexe I.A.
(c) L’entité qui adhère n’acquiert aucun droit ni obligation découlant des présentes Clauses pour la période antérieure à sa qualité de Partie.
SECTION II – OBLIGATIONS DES PARTIES
Clause 8 – Garanties en matière de protection des données
L’exportateur de données garantit qu’il a utilisé tous les efforts raisonnables pour vérifier que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations au titre des présentes Clauses.
8.1 Instructions
(a) L’importateur de données traite les données à caractère personnel uniquement sur la base des instructions documentées de l’exportateur de données. L’exportateur de données peut donner de telles instructions tout au long de la durée du contrat.
(b) L’importateur de données informe immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.
8.2 Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour les finalités spécifiques du transfert, telles qu’indiquées à l’Annexe I.B, sauf sur instruction ultérieure de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données met une copie des présentes Clauses, y compris l’Appendice tel que complété par les Parties, à la disposition de la personne concernée, sans frais. Dans la mesure nécessaire pour protéger des secrets d’affaires ou d’autres informations confidentielles, y compris les mesures décrites à l’Annexe II et les données à caractère personnel, l’exportateur de données peut expurger une partie du texte de l’Appendice avant d’en partager une copie, mais fournit un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure d’en comprendre le contenu ou d’exercer ses droits.
8.4 Exactitude
Si l’importateur de données prend connaissance de l’inexactitude ou du caractère obsolète des données à caractère personnel qu’il a reçues, il en informe l’exportateur de données sans délai indu. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5 Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pour la durée spécifiée à l’Annexe I.B. À la fin de la prestation des services de traitement, l’importateur de données efface, au choix de l’exportateur de données, toutes les données à caractère personnel traitées pour le compte de l’exportateur de données et certifie à l’exportateur de données qu’il l’a fait, ou restitue à l’exportateur de données toutes les données à caractère personnel traitées en son nom et efface les copies existantes. Jusqu’à l’effacement ou la restitution des données, l’importateur de données continue d’assurer la conformité aux présentes Clauses.
8.6 Sécurité du traitement
(a) L’importateur de données et, pendant la transmission, également l’exportateur de données, mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, notamment la protection contre les violations de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès à ces données (ci-après « violation de données à caractère personnel »).
(b) L’importateur de données accorde l’accès aux données à caractère personnel aux membres de son personnel uniquement dans la stricte mesure nécessaire à la mise en œuvre, à la gestion et au suivi du contrat.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes Clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, notamment des mesures visant à atténuer ses effets négatifs. Il notifie également cette violation à l’exportateur de données sans délai indu après en avoir pris connaissance.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide à se conformer à ses obligations au titre du Règlement (UE) 2016/679, notamment pour notifier l’autorité de contrôle compétente et les personnes concernées affectées.
8.7 Données sensibles
Lorsque le transfert implique des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques, des données biométriques aux fins d’identification unique d’une personne physique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et infractions (ci-après « données sensibles »), l’importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l’Annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur la base des instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne que si le tiers est lié ou accepte d’être lié par les présentes Clauses, ou si le transfert ultérieur répond à l’une des conditions prévues aux points (i) à (iv) de la Clause 8.8.
8.9 Documentation et conformité
(a) L’importateur de données répond rapidement et de manière adéquate aux demandes de l’exportateur de données relatives au traitement effectué au titre des présentes Clauses.
(b) Les Parties sont en mesure de démontrer la conformité aux présentes Clauses.
(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer la conformité aux obligations prévues par les présentes Clauses et, à la demande de l’exportateur de données, autorise et contribue aux audits des activités de traitement couvertes par les présentes Clauses.
(d) L’exportateur de données peut choisir de réaliser l’audit lui-même ou de mandater un auditeur indépendant.
(e) Les Parties mettent les informations visées aux paragraphes (b) et (c), y compris les résultats des audits, à la disposition de l’autorité de contrôle compétente sur demande.
Clause 9 – Recours à des sous-traitants ultérieurs
(a) AUTORISATION GÉNÉRALE ÉCRITE. L’importateur de données dispose de l’autorisation générale de l’exportateur de données pour engager des sous-traitants ultérieurs à partir d’une liste convenue. L’importateur de données informe spécifiquement l’exportateur de données par écrit de tout changement prévu à cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins trente (30) jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour s’opposer à ces changements avant l’engagement du/des sous-traitant(s) ultérieur(s).
(b) Lorsque l’importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit prévoyant, en substance, les mêmes obligations de protection des données que celles qui lient l’importateur de données au titre des présentes Clauses.
(c) L’importateur de données fournit, à la demande de l’exportateur de données, une copie de ce contrat de sous-traitance ultérieure et de tout avenant ultérieur à l’exportateur de données.
(d) L’importateur de données demeure entièrement responsable vis-à-vis de l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur au titre de son contrat avec l’importateur de données.
(e) L’importateur de données convient d’une clause de bénéficiaire tiers avec le sous-traitant ultérieur par laquelle – si l’importateur de données a effectivement disparu, a cessé d’exister en droit ou est devenu insolvable – l’exportateur de données a le droit de résilier le contrat de sous-traitance ultérieure et d’instruire le sous-traitant ultérieur d’effacer ou de restituer les données à caractère personnel.
Clause 10 – Droits des personnes concernées
(a) L’importateur de données notifie promptement à l’exportateur de données toute demande reçue d’une personne concernée.
(b) L’importateur de données aide l’exportateur de données à remplir ses obligations en réponse aux demandes des personnes concernées pour l’exercice de leurs droits au titre du Règlement (UE) 2016/679.
(c) Pour remplir ses obligations au titre des paragraphes (a) et (b), l’importateur de données se conforme aux instructions de l’exportateur de données.
Clause 11 – Recours
(a) L’importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, d’un point de contact autorisé à traiter les plaintes.
(b) En cas de litige entre une personne concernée et l’une des Parties quant au respect des présentes Clauses, cette Partie met tout en œuvre pour régler le problème à l’amiable en temps utile.
(c) Lorsque la personne concernée invoque un droit de bénéficiaire tiers conformément à la Clause 3, l’importateur de données accepte la décision de la personne concernée de déposer une plainte ou de saisir les tribunaux compétents.
(d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme sans but lucratif dans les conditions prévues à l’article 80, paragraphe 1, du Règlement (UE) 2016/679.
(e) L’importateur de données se conforme à toute décision contraignante en vertu du droit applicable de l’UE ou d’un État membre.
(f) L’importateur de données accepte que le choix opéré par la personne concernée ne préjuge pas de ses droits substantiels et procéduraux à rechercher des voies de recours conformément aux lois applicables.
Clause 12 – Responsabilité
(a) Chaque Partie est responsable envers l’autre Partie de tout dommage qu’elle cause à l’autre Partie par toute violation des présentes Clauses.
(b) L’importateur de données est responsable envers la personne concernée, et la personne concernée est en droit de recevoir une indemnisation, pour tout dommage matériel ou moral que l’importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits de bénéficiaire tiers prévus par les présentes Clauses.
(c) Nonobstant le paragraphe (b), l’exportateur de données est responsable envers la personne concernée pour tout dommage matériel ou moral que l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) cause à la personne concernée.
(d) Les Parties conviennent que si l’exportateur de données est tenu responsable au titre du paragraphe (c) pour des dommages causés par l’importateur de données (ou son sous-traitant ultérieur), il est en droit de réclamer à l’importateur de données la part de l’indemnisation correspondant à la responsabilité de l’importateur de données pour le dommage.
(e) Lorsque plusieurs Parties sont responsables du dommage causé à la personne concernée suite à une violation des présentes Clauses, toutes les Parties responsables sont solidairement responsables.
(f) Les Parties conviennent que si l’une d’elles est tenue responsable au titre du paragraphe (e), elle est en droit de réclamer à l’autre/aux autres Partie(s) la part de l’indemnisation correspondant à leur responsabilité pour le dommage.
(g) L’importateur de données ne peut pas invoquer la conduite d’un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.
Clause 13 – Surveillance
(a) L’autorité de contrôle chargée de s’assurer de la conformité de l’exportateur de données avec le Règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’Annexe I.C, agit en tant qu’autorité de contrôle compétente.
(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans toute procédure visant à assurer le respect des présentes Clauses.
SECTION III – LOIS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS PAR DES AUTORITÉS PUBLIQUES
Clause 14 – Lois et pratiques locales affectant la conformité aux Clauses
(a) Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l’accès par les autorités publiques, empêchent l’importateur de données de remplir ses obligations au titre des présentes Clauses.
(b) Les Parties déclarent que pour fournir la garantie visée au paragraphe (a), elles ont dûment pris en compte notamment les éléments suivants : les circonstances spécifiques du transfert ; les lois et pratiques du pays tiers de destination ; toute mesure de sauvegarde contractuelle, technique ou organisationnelle pertinente.
(c) L’importateur de données garantit que, lors de l’évaluation visée au paragraphe (b), il a fourni toutes les informations pertinentes à l’exportateur de données.
(d) Les Parties conviennent de documenter l’évaluation visée au paragraphe (b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.
(e) L’importateur de données accepte de notifier promptement à l’exportateur de données tout changement de lois ou de pratiques susceptible d’affecter sa capacité à respecter les présentes Clauses.
(f) Suite à une notification au titre du paragraphe (e), l’exportateur de données prend les mesures appropriées pour remédier à la situation, y compris la suspension ou la résiliation du contrat si nécessaire.
Clause 15 – Obligations de l’importateur de données en cas d’accès par des autorités publiques
15.1 Notification
(a) L’importateur de données accepte de notifier promptement à l’exportateur de données et, dans la mesure du possible, à la personne concernée, s’il : (i) reçoit une demande juridiquement contraignante d’une autorité publique ; ou (ii) prend connaissance d’un accès direct par des autorités publiques aux données à caractère personnel transférées.
(b) Si l’importateur de données est interdit de notifier l’exportateur de données et/ou la personne concernée, il s’efforce d’obtenir une levée de cette interdiction.
(c) Dans la mesure permise par les lois du pays de destination, l’importateur de données fournit à l’exportateur de données des informations pertinentes sur les demandes reçues à intervalles réguliers.
(d) L’importateur de données conserve les informations visées aux paragraphes (a) à (c) pour la durée du contrat et les met à la disposition de l’autorité de contrôle compétente sur demande.
15.2 Examen de la légalité et minimisation des données
(a) L’importateur de données accepte d’examiner la légalité de la demande de divulgation et de la contester si, après évaluation attentive, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illicite.
(b) L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation.
(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation.
SECTION IV – DISPOSITIONS FINALES
Clause 16 – Non-conformité aux Clauses et résiliation
(a) L’importateur de données informe promptement l’exportateur de données s’il n’est pas en mesure de respecter les présentes Clauses, quelle qu’en soit la raison.
(b) En cas de violation ou d’incapacité à respecter les présentes Clauses, l’exportateur de données suspend le transfert des données à caractère personnel jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié.
(c) L’exportateur de données est en droit de résilier le contrat en ce qui concerne le traitement des données à caractère personnel au titre des présentes Clauses, lorsque : (i) le transfert a été suspendu et la conformité n’est pas rétablie dans un délai raisonnable ; (ii) l’importateur de données est en violation substantielle ou persistante des présentes Clauses ; ou (iii) l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal ou d’une autorité de contrôle compétent.
(d) Les données à caractère personnel transférées avant la résiliation du contrat sont, au choix de l’exportateur de données, immédiatement restituées ou entièrement effacées.
(e) Chaque Partie peut révoquer son accord d’être liée par les présentes Clauses lorsque la Commission européenne adopte une décision couvrant le transfert de données à caractère personnel auquel s’appliquent les présentes Clauses.
Clause 17 – Droit applicable
Les présentes Clauses sont régies par le droit de l’État dans lequel l’exportateur de données est établi. Lorsque ce droit ne permet pas de droits de bénéficiaires tiers, elles sont régies par le droit d’un État membre de l’UE permettant de tels droits. Les Parties conviennent qu’il s’agira du droit de Malte.
Clause 18 – Choix du for et compétence juridictionnelle
(a) Tout litige découlant des présentes Clauses est résolu par les tribunaux d’un État membre de l’UE.
(b) Les Parties conviennent qu’il s’agira des tribunaux de Malte.
(c) La personne concernée peut également engager une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
(d) Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.
ANNEXE II
AVENANT INTERNATIONAL DE TRANSFERT DE DONNÉES DU ROYAUME-UNI AUX CLAUSES CONTRACTUELLES TYPES DE L’UE
Le présent Avenant britannique (« Avenant ») fait partie des Clauses Contractuelles Types (« CCT ») jointes en tant qu’Annexe 1 à l’Avenant de Traitement des Données (« ATD »).
Le présent Avenant a vocation à s’appliquer au transfert de Données Personnelles depuis le Royaume-Uni vers un pays situé en dehors du Royaume-Uni qui ne fait pas l’objet d’une décision d’adéquation du gouvernement britannique.
Partie 1 : Tableaux
Tableau 1 : Parties
| Date de début | La date à laquelle le premier Transfert Restreint de Données Personnelles du Client a lieu dans le cadre du présent Avenant. |
| Les Parties | Exportateur (qui envoie le Transfert Restreint) : Conformément à l’Annexe I.A des CCT incorporées dans le présent Accord. Importateur (qui reçoit le Transfert Restreint) : Conformément à l’Annexe I.A des CCT incorporées dans le présent Accord. |
| Contact principal | Conformément à l’Annexe I.A des CCT incorporées dans le présent Accord. |
Tableau 2 : CCT de l’UE sélectionnées, Modules et Clauses sélectionnées
| Module | Module en vigueur | Clause 7 (Clause d’accession) | Clause 11 (Option) | Clause 9a (Autorisation préalable ou générale) | Clause 9a (Délai) | Les données personnelles reçues de l’importateur sont-elles combinées avec des données collectées par l’exportateur ? |
| 1 | ||||||
| 2 | X | Incluse | Incluse | Autorisation générale | 30 jours | Non |
| 3 | ||||||
| 4 |
Tableau 3 : Informations relatives à l’Appendice
| Annexe 1A : Liste des Parties | Conformément à l’Annexe I.A des CCT incorporées dans le présent Accord. |
| Annexe 1B : Description du transfert | Conformément à l’Annexe I.B des CCT incorporées dans le présent Accord. |
| Annexe II : Mesures techniques et organisationnelles | Conformément à l’Annexe II des CCT incorporées dans le présent Accord. |
| Annexe III : Liste des sous-traitants ultérieurs | Conformément à l’Annexe III des CCT incorporées dans le présent Accord. |
Tableau 4 : Fin du présent Avenant en cas de modification de l’Avenant approuvé
| Fin de l’Avenant en cas de modification | Quelle Partie peut mettre fin au présent Avenant conformément à la Section 19 : X aucune des deux Parties |
Partie 2 : Clauses obligatoires
Clauses obligatoires de l’Avenant approuvé, à savoir le modèle d’Avenant B.1.0 émis par l’ICO et soumis au Parlement conformément à l’article 119A du Data Protection Act 2018 du 2 février 2022, tel que révisé en vertu de la Section 18 de ces Clauses obligatoires.
ANNEXE III
AVENANT SUISSE (LPD) AUX CLAUSES CONTRACTUELLES TYPES DE L’UE
Parties : Le présent Avenant suisse (l’« Avenant suisse ») est conclu entre les Parties aux Clauses Contractuelles Types de l’UE adoptées par la Décision de la Commission (UE) 2021/914 (les « CCT UE ») incorporées dans l’Accord entre :
- Exportateur de données (Suisse) : Responsable du traitement
- Importateur de données : Sous-traitant
1) Objet et champ d’application
1.1 Le présent Avenant suisse adapte les CCT UE aux transferts de données à caractère personnel soumis à la loi fédérale suisse sur la protection des données (LPD, y compris la LPD révisée) depuis la Suisse vers un pays ne disposant pas d’un niveau de protection adéquat.
2) Ajustements d’interprétation
2.1 Les références au « RGPD » doivent être lues, selon le cas, comme incluant la LPD et ses dispositions d’application.
2.2 Les références à un « État membre de l’UE » et à un « État membre » doivent être interprétées comme incluant la Suisse, dans la mesure nécessaire pour que les personnes concernées suisses bénéficient de droits de tiers.
2.3 Les références à une « autorité de contrôle » doivent, pour les transferts exclusivement suisses, être interprétées comme incluant le Préposé fédéral à la protection des données et à la transparence (PFPDT).
2.4 Les termes « données à caractère personnel », « personne concernée », « traitement » et autres termes du RGPD doivent être interprétés de manière cohérente avec les concepts équivalents de la LPD lorsque la LPD s’applique.
2.5 Le présent Avenant suisse ne modifie pas le texte des CCT UE, sauf mention expresse.
3) Autorité compétente
3.1 Les références à l’« autorité de contrôle compétente » et à l’« autorité de contrôle » doivent être comprises comme désignant le PFPDT lorsque les données sont soumises exclusivement à la LPD ; et à la fois le PFPDT et l’autorité de contrôle compétente de l’UE dans la mesure où le transfert de données est régi à la fois par la LPD et le RGPD.
4) Droit applicable et for (Clauses 17 et 18 des CCT UE)
4.1 Transferts exclusivement suisses :
- Clause 17 (Droit applicable) : les Parties choisissent le droit suisse.
- Clause 18 (For et juridiction) : les Parties choisissent les tribunaux de Lucerne, Suisse.
4.2 Transferts parallèles UE+Suisse : les Clauses 17 et 18 restent telles que sélectionnées pour le RGPD dans le cadre des CCT UE.
5) Transferts ultérieurs et droits de bénéficiaires tiers
5.1 Là où les CCT UE font référence aux droits des personnes concernées d’invoquer les clauses, ces droits sont réputés inclure les personnes concernées suisses au titre de la LPD.
5.2 Toute référence dans les CCT UE susceptible d’exclure les personnes concernées suisses ne doit pas être interprétée en ce sens.
6) Lois locales et accès par les autorités publiques
6.1 Lorsque les CCT UE exigent une évaluation des lois/pratiques locales et des obligations relatives à l’accès par les autorités publiques, les Parties effectuent cette évaluation en référence à la LPD pour les transferts exclusivement suisses, et à la LPD et au RGPD pour les transferts parallèles UE+Suisse.
6.2 L’importateur de données fournit à l’exportateur les informations raisonnablement nécessaires pour réaliser l’évaluation dans le contexte de la LPD.
7) Annexes et mécanismes de complétion
7.1 Les Annexes I à III des CCT UE sont incorporées par référence au présent Avenant suisse et s’appliquent mutatis mutandis aux transferts soumis à la LPD.
7.2 Lorsque le présent Avenant suisse nécessite une modification de l’Annexe I(C) ou des sélections au titre des Clauses 17 à 18 pour les transferts exclusivement suisses, ces sélections sont réputées modifiées comme indiqué aux Sections 3.1 et 4.1 ci-dessus.
8) Prévalence
8.1 En cas d’incohérence entre le présent Avenant suisse et les CCT UE, le présent Avenant suisse prévaut dans la stricte mesure nécessaire pour se conformer à la LPD.
8.2 En cas d’incohérence entre le présent Avenant suisse et l’Accord/l’ATD, le présent Avenant suisse prévaut pour les transferts soumis à la LPD.
APPENDICE
La présente Annexe fait partie des Clauses et doit être complétée et signée par les Parties.
ANNEXE I AUX CLAUSES CONTRACTUELLES TYPES
A. LISTE DES PARTIES
Importateur de données – SOUS-TRAITANT
L’entité contractante d’Ideals applicable identifiée dans l’Accord VDR
Coordonnées : privacy@idealscorp.com
Activités pertinentes pour les données transférées : Fourniture des services dans le cadre de l’Accord VDR Ideals
Exportateur de données – RESPONSABLE DU TRAITEMENT
L’entité contractante du Client applicable et les coordonnées identifiées dans l’Accord VDR
Activités pertinentes pour les données transférées : Fourniture des services dans le cadre de l’Accord VDR Ideals
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données sont transférées
Toutes personnes dont les informations figurent dans les documents téléchargés sur la SDV.
Catégories de données à caractère personnel transférées
Toutes catégories de données à caractère personnel téléchargées dans la SDV.
Données sensibles transférées (le cas échéant) et restrictions ou mesures de sauvegarde appliquées
Telles que déterminées par le Client en fonction du contenu téléchargé. Ideals applique les mesures de sauvegarde décrites à l’Annexe II.
Fréquence du transfert
Sur une base continue.
Nature du traitement
Fourniture des services dans le cadre de l’Accord VDR Ideals.
Finalité(s) du transfert de données et traitement ultérieur
Fourniture des services dans le cadre de l’Accord VDR Ideals.
Durée de conservation des données à caractère personnel
Telle que spécifiée dans l’Accord VDR Ideals.
Pour les transferts vers des (sous-)traitants, préciser également l’objet, la nature et la durée du traitement
Fourniture des services dans le cadre de l’Accord VDR Ideals.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
L’autorité de contrôle compétente au titre de la Clause 13 est l’autorité de contrôle compétente pour l’Exportateur de données conformément au Règlement (UE) 2016/679 (RGPD), déterminée sur la base de l’établissement, de l’établissement principal ou d’autres critères applicables au titre du RGPD de l’Exportateur de données.
ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES (MTO)
Le groupe de sociétés Ideals met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la protection des données à caractère personnel traitées conformément au Règlement général sur la protection des données, aux lois locales sur la protection des données, à toute législation secondaire et réglementation mettant en œuvre le RGPD, et à toutes les lois sur la protection de la vie privée.
Le groupe de sociétés Ideals crée et maintient la documentation de sécurité et de protection de la vie privée suivante :
- Avenant de Traitement des Données (ATD)
- Mesures Techniques et Organisationnelles (MTO)
- Accord de Non-Divulgation (AND)
- Accord de sous-traitance ultérieure (si requis)
- Clauses Contractuelles Types de l’UE (Décision de la Commission (UE) 2021/914) (Module 2)
1. Confidentialité
| Mesures techniques | Mesures organisationnelles |
| Gestion des identités et des accès. SSO + MFA adaptative pour tous les accès des collaborateurs/administrateurs ; force minimale des mots de passe ≥ 12 caractères ou équivalent ; verrouillage du compte après plusieurs tentatives infructueuses consécutives ; sécurisation des sessions (verrouillage en cas d’inactivité, ré-authentification pour les opérations sensibles). Contrôle d’accès basé sur les rôles (RBAC) et moindre privilège. Rôles granulaires ; permissions partielles/limitées par périmètre selon la fonction professionnelle ; accès privilégié limité dans le temps et journalisé. Isolation des locataires et ségrégation logique. Espaces de noms de données par locataire ; contrôles d’autorisation au niveau applicatif ; ACL côté service pour empêcher les accès inter-locataires. Sécurité du réseau. Segmentation (VPC/sous-réseaux/groupes de sécurité), WAF, IDS/IPS, surveillance du réseau, limitation du débit et contrôles des flux sortants. Sécurité des terminaux. Chiffrement du disque complet, EDR/anti-malware, pare-feu hôtes, politiques de contrôle des ports USB appliquées par MDM/gestion des terminaux. Cryptographie. Chiffrement des données au repos avec des algorithmes solides et des clés gérées ; TLS 1.3 en transit pour toutes les communications externes et internes ; séparation des clés par environnement ; pseudonymisation/tokenisation si faisable. Gestion des clés. Clés stockées et gérées dans des KMS/coffres-forts de clés dédiés, séparés des données chiffrées ; rotation et journaux d’accès appliqués. Prévention des pertes de données (DLP). Règles DLP sur les terminaux et les outils de collaboration ; flux de mise en quarantaine/justification pour les tentatives d’exfiltration de données sensibles. Signatures numériques. Mécanismes de signature électronique approuvés pour les contrats et les processus de publication ; validation des signatures journalisée. | Gouvernance des accès. Politique d’accès et de rôles documentée ; processus d’entrée–mutation–départ ; révisions périodiques des accès ; séparation des tâches pour les attributions d’administration. Obligations de confidentialité. AND pour les employés et sous-traitants ; vérifications des antécédents selon le rôle et la législation locale. Diligence raisonnable vis-à-vis des tiers/fournisseurs. Contrôle des sous-traitants/sous-traitants ultérieurs basé sur les risques (certifications, références, ATD). Gestion des informations. Politique de classification et de traitement des données ; procédures sécurisées de gestion et d’assainissement/destruction des supports ; règlementation BYOD si applicable. |
2. Intégrité
| Mesures techniques | Mesures organisationnelles |
| Transport sécurisé et interfaces. TLS 1.2+ ; HSTS ; suites de chiffrement robustes ; authentification des API avec des jetons/clés signés. Auditabilité. Journaux immuables/auditables pour les accès aux données, les actions administratives, les changements de configuration et la journalisation des saisies de données ; synchronisation des horloges (NTP). Contrôles applicatifs et de données. Validation côté serveur, intégrité référentielle, sommes de contrôle/hachages, versionnage si approprié. Contrôles de session. Délais d’expiration appliqués et ré-authentification pour les opérations sensibles. Gestion des vulnérabilités et des correctifs. Analyse continue des vulnérabilités ; application des correctifs selon des SLA ; références de configuration (CIS) avec détection des dérives. Contrôles des terminaux/ports. Verrouillage USB/port et contrôle des appareils au niveau du système d’exploitation/EDR. | Gestion des changements et des versions. Contrôle formel des changements (CAB si nécessaire), approbations, séparation des tâches, tests de restauration. Cycle de développement sécurisé (SDLC). Modélisation des menaces, revues de code, gestion des dépendances (SCA), gestion des secrets et contrôles de sécurité pré-production. Politiques et procédures. Politique de sécurité de l’information, Politique de protection des données et règles pour tout transfert physique de données (à titre exceptionnel). Besoin de traitement. Seul le personnel autorisé traite les données à caractère personnel ; fonctions et responsabilités documentées. |
3. Disponibilité et résilience
| Mesures techniques | Mesures organisationnelles |
| Redondance et tolérance aux pannes. Déploiements multi-zones de disponibilité, équilibrage de charge, mise à l’échelle automatique pour les services critiques. Sauvegardes et récupération. Sauvegardes automatisées et régulières ; plusieurs niveaux de stockage ; versionnage/immuabilité si pris en charge ; tests de restauration selon un calendrier défini. Surveillance et alertes. Journalisation centralisée/SIEM ; contrôles de santé ; surveillance de la capacité/utilisation ; alertes exploitables. Protection contre les perturbations. Protection DDoS, limitation du débit, disjoncteurs, modèles de dégradation gracieuse. Transferts traçables. Contrôles garantissant que les données ne peuvent pas être lues/copiées/modifiées/supprimées sans autorisation pendant la transmission/le transport ; vérification de la destination et contrôles d’intégrité. | PCA/PRA. Plans de continuité d’activité et de reprise après sinistre documentés avec RTO/RPO ; procédures de communication de crise. Gouvernance des sauvegardes. Politique de planification des sauvegardes, conservation, chiffrement, approbations de l’emplacement de stockage, révisions périodiques. Réponse aux incidents. Plan IR défini, procédures, revues post-incidents et actions correctives. Gestion des crises et des urgences. Protocole d’initiation, rôles et voies d’escalade ; exercices périodiques et évaluation des protocoles. |
4. Procédures de test, d’accès et d’évaluation réguliers
| Mesures techniques | Mesures organisationnelles |
| Tests de sécurité. Tests d’intrusion indépendants annuels, programme de divulgation responsable/bug bounty continu, analyse automatisée de routine (SAST/DAST/Cloud). Télémétrie des contrôles. Indicateurs de sécurité, tableaux de bord de santé des contrôles, vérifications automatisées de la conformité aux politiques. | Système de management et assurance. SMSI ISO/IEC 27001 en vigueur ; audits SOC 2 Type II ; attestations des contrôles et suivi des mesures correctives. Gouvernance et documentation. Référentiel central des politiques/MTO ; délineation documentée Responsable du traitement–Sous-traitant ; attribution formelle des responsabilités. Formation et sensibilisation. Formation régulière à la protection des données et à la sécurité (par rôle) ; simulations de phishing ; formation à l’ingénierie sécurisée. BYOD/Gestion des appareils. Règles écrites sur le BYOD et la gestion des actifs ; application via MDM. Révision périodique. Révision de l’efficacité des MTO au moins une fois par an ; mises à jour après changements importants, incidents ou évaluations des risques. |
5. Gouvernance de la protection de la vie privée et contrôles du cycle de vie des données
| Mesures techniques | Mesures organisationnelles |
| Minimisation des données et masquage. Minimisation au niveau des champs ; masquage/pseudonymisation pour les environnements non productifs ; journalisation sélective pour éviter la collecte de données sensibles. Automatisation de la conservation et de la suppression. Conservation pilotée par les politiques avec suppressions automatisées ; purge vérifiée des sauvegardes si faisable selon la politique. | AIPD/TRA. Analyses d’impact relatives à la protection des données (AIPD) basées sur les risques pour tout nouveau traitement ou traitement modifié ; registre des activités de traitement (RoPA). Gestion des sous-traitants ultérieurs. ATD/CCT contractuels, analyses d’impact des transferts et suivi continu. Demandes des personnes concernées. Procédures et SLA définis pour les demandes d’exercice des droits ; étapes de vérification d’identité. |
ANNEXE III
Ideals engage les entités Amazon Web Services (« AWS ») en tant que sous-traitants ultérieurs pour les services d’hébergement en nuage et d’infrastructure. L’ensemble du traitement des données est effectué par l’entité AWS correspondant au lieu sélectionné par le Client lors de la configuration de la Salle des Données.
Les emplacements de serveurs actuellement disponibles comprennent l’Allemagne, la France, l’Espagne, le Royaume-Uni, les États-Unis, le Brésil, la Chine, Singapour, l’Inde, le Japon et l’Australie, et sont susceptibles de changer à mesure qu’Ideals met à jour ses offres régionales.
L’emplacement du traitement des données ne sera pas modifié sans le consentement écrit préalable du Client.
Fonctionnalité optionnelle de traduction intégrale avancée – DeepL
Lorsque le Client active la fonctionnalité optionnelle de traduction intégrale avancée d’Ideals, Ideals peut engager DeepL SE en tant que sous-traitant ultérieur dans le but limité de traduire le contenu des documents soumis via cette fonctionnalité.
Cette fonctionnalité est optionnelle et n’est pas activée par défaut. Le traitement par DeepL peut avoir lieu dans l’Union européenne, aux États-Unis ou au Japon et peut donc différer de l’emplacement d’hébergement principal de la Salle des Données.
Ideals n’activera pas cette fonctionnalité lorsque cela entrerait en conflit avec les engagements contractuels applicables du Client, les restrictions régionales activées ou d’autres exigences légales documentées connues d’Ideals. DeepL est engagé uniquement pour l’exécution de la traduction demandée et non pour l’hébergement général de services. Il appartient au Client de décider d’utiliser ou non la fonctionnalité optionnelle de traduction intégrale avancée.
Addendum I – Conditions relatives à la CCPA/CPRA et aux lois américaines sur la protection de la vie privée des États
1. Qualité. Ideals agit en qualité de « prestataire de services » et/ou de « sous-traitant » à l’égard des Données Personnelles du Client.
2. Restrictions. Ideals ne doit pas :
(a) vendre ou partager les Données Personnelles du Client ;
(b) les conserver, les utiliser ou les divulguer à quelque fin que ce soit autre que les finalités commerciales spécifiées dans l’Accord ;
(c) combiner les Données Personnelles du Client avec des données personnelles reçues d’une autre source, sauf dans la mesure permise par la loi pour fournir les Services ;
(d) utiliser les Données Personnelles du Client en dehors de la relation commerciale directe avec le Client.