Accord sur le traitement des données

Version 2.1.0

Les parties :

  • L'organisation enregistrée qui s'est inscrite au PowerDMARC, ci-après dénommée le "contrôleur".

Et

  •  MENAINFOSEC, Inc. dont le siège social et le principal établissement est situé dans le Delaware, États-Unis d'Amérique, ci-après dénommé "letransformateur";

Préambule :

  1. Le contrôleur a conclu un ou plusieurs accords avec le sous-traitant pour que ce dernier lui fournisse divers services ou conclura un tel accord. Cet accord ou ces accords conjoints sont ci-après dénommés "l'accord principal".
  2. Dans le cadre de l'exécution de l'accord principal, le sous-traitant traitera les données dont le responsable du traitement est et reste responsable. Ces données comprennent les données personnelles au sens du règlement général sur la protection des données (UE 2016/679), ci-après dénommé " GDPR".
  3. Compte tenu des dispositions de l'article 28, paragraphe 3, de la GDPR, lesparties souhaitent fixer dans le présent accord les conditions dans lesquelles ces données à caractère personnel seront traitées.

Accord :

  • Champ d'application
    1. Le présent accord est applicable dans la mesure où, dans le cadre de la fourniture des services relevant de l'accord principal, une ou plusieurs opérations de traitement sont effectuées, qui sont incluses dans l'annexe 1.
    2. Les opérations de traitement de l'annexe 1qui sont effectuées dans le cadre de la fourniture des services sont ci-après dénommées "lesopérations de traitement". Les données à caractère personnel traitées dans ce cadre sont les suivantes :les"données à caractère personnel".
    3. Tous les concepts de cet accord ont la signification qui leur est donnée dans le GDPR.
    4. Si des données personnelles supplémentaires ou autres sont traitées sur les instructions du responsable du traitement ou si elles sont traitées autrement que ce qui est décrit dans la présente clause, le présent accord s'applique autant que possible à ces opérations de traitement également.
    5. Les annexes font partie de cet accord. Elles consistent en :

Annexe 1: les traitements, les données à caractère personnel et les durées de conservation ;

  • Sujet
    1. Le contrôleur a et conserve le contrôle total des données à caractère personnel. Si le contrôleur ne traite pas lui-même les données à caractère personnel en utilisant les systèmes du sous-traitant, ce dernier les traitera exclusivement sur la base d'instructions écrites du contrôleur, par exemple en ce qui concerne toute donnée à caractère personnel transmise à des tiers en dehors de l'Union européenne. Le Contrat principal est considéré comme une instruction générique à cet égard.
    2. Les opérations de traitement ne sont effectuées que dans le cadre de l'accord principal. Le responsable du traitement ne traite pas les données à caractère personnel autrement que dans les conditions prévues par l'Accord principal. En particulier, le responsable du traitement n'utilisera pas les données à caractère personnel à ses propres fins.
    3. Le sous-traitant effectuera les opérations de traitement de manière appropriée et avec le soin nécessaire.
  • Mesures de sécurité
    1. Le transformateur prend toutes les mesures de sécurité techniques et organisationnelles qui lui sont demandées en vertu de la GDPR et en particulier de l'article 32 de la GDPR.
    2. Le responsable du traitement veille à ce que les personnes, et non seulement les employés, qui participent aux opérations de traitement chez le responsable du traitement soient tenues de respecter la confidentialité des données à caractère personnel.
  • Violations de données et l'évaluation des incidences sur la vie privée
    1. Le sous-traitant notifie au responsable du traitement toute "violation de données à caractère personnel" au sens de l'article 4 du 12 RIPD. Une telle violation est ci-après dénommée "violation desdonnées".
    2. Le sous-traitant fournira au contrôleur, en temps utile, toutes les informations qu'il a en sa possession et qui sont nécessaires pour remplir les obligations de l'article 33 de la GDPR. À cet égard, le sous-traitant doit fournir les informations respectives dès que possible dans un format standard à déterminer par le sous-traitant. Cela implique que le sous-traitant informe le responsable du traitement d'une violation des données dès que possible s'il est évident que la violation des données est susceptible d'entraîner un risque pour les droits et libertés des personnes physiques. S'il est évident qu'une violation des données n'entraînera probablement pas de risque pour les droits et libertés des personnes physiques, le sous-traitant est autorisé à en informer le responsable du traitement à un moment ultérieur, à condition que la notification ait lieu sans retard injustifié. S'il y a des raisons de douter que la violation des données soit susceptible d'entraîner un risque pour les droits et libertés des personnes physiques, le sous-traitant notifie la violation des données au responsable du traitement dans les meilleurs délais.
    3. Il appartient exclusivement au responsable du traitement de déterminer si une violation de données constatée chez le sous-traitant doit être signalée à l'autorité néerlandaise chargée des données à caractère personnel et/ou à la personne concernée.
  • Engagement des sous-processeurs
    1. En effectuant les opérations de traitement, le sous-traitant n'est pas autorisé à engager un tiers comme sous-traitant secondaire sans le consentement préalable du contrôleur. Le consentement du contrôleur peut également concerner une certaine catégorie de sous-traitants secondaires.
    2. Si le contrôleur donne son consentement, le sous-traitant doit s'assurer que le tiers concerné conclut un accord dans lequel il observe au moins les mêmes obligations légales et toute obligation supplémentaire que celles du sous-traitant dans le cadre de cet accord.
    3. Dans le cas où le consentement concerne un certain type de tiers, le sous-traitant informe le contrôleur des sous-traitants secondaires qu'il a engagés. Le contrôleur peut alors s'opposer aux ajouts ou aux remplacements concernant les sous-traitants secondaires du sous-traitant.
  • Obligation de confidentialité
    1. Le responsable du traitement assurera la confidentialité des données à caractère personnel. Le responsable du traitement garantit que les données à caractère personnel ne seront pas directement ou indirectement mises à la disposition de tiers. Le terme "tiers" inclut également le personnel du responsable du traitement, dans la mesure où il n'est pas nécessaire qu'il prenne connaissance des données à caractère personnel. Cette interdiction ne s'applique pas si des dispositions contraires sont prévues dans le présent accord et/ou dans la mesure où un règlement ou un jugement légal exige une quelconque divulgation.
    2. Le sous-traitant informe le contrôleur de toute demande d'une partie autre que la personne concernée pour accéder à des données à caractère personnel, les fournir ou les demander et les communiquer sous une autre forme, en violation de l'obligation de confidentialité prévue dans la présente clause, à moins que la loi ne l'interdise au sous-traitant. En cas de demande de la personne concernée, le responsable du traitement transmet ces demandes au contrôleur, ou renvoie la personne concernée au contrôleur.
  • Délais de conservation et suppression
    1. Le responsable du traitement est chargé de déterminer les périodes de conservation des données à caractère personnel. Dans la mesure où les données à caractère personnel sont sous le contrôle du Contrôleur (par exemple en cas de services d'hébergement), il les supprimera lui-même en temps voulu.
    2. En cas de résiliation de l'accord principal ou, le sous-traitant supprime les données à caractère personnel après l'expiration de la période de conservation mentionnée à l'annexe 1, à la discrétion du responsable du traitement, les lui transfère, sauf si les données à caractère personnel doivent être conservées plus longtemps, par exemple en relation avec les obligations (légales) du sous-traitant, ou si le responsable du traitement demande que les données à caractère personnel soient conservées plus longtemps et que le sous-traitant et le responsable du traitement s'entendent sur les coûts et les autres conditions de cette conservation plus longue, ce dernier cas de figure nonobstant la responsabilité du responsable du traitement de respecter les périodes de conservation légales. Tout transfert au responsable du traitement se fait aux frais de ce dernier.
    3. Dans le cas où le contrôleur demande un compte et la suppression de données via le login protégé, le responsable de traitement supprime les données à caractère personnel dans les trente jours suivant la demande de compte et de suppression de données, à la discrétion du contrôleur, les lui transfère, à moins que les données à caractère personnel ne doivent être conservées plus longtemps, par exemple en relation avec les obligations (légales) du responsable de traitement, ou si le contrôleur demande que les données à caractère personnel soient conservées plus longtemps et que le responsable de traitement et le contrôleur s'entendent sur les coûts et les autres conditions de cette conservation plus longue, cette dernière étant nonobstant la responsabilité du contrôleur de respecter les périodes de conservation légales. Tout transfert au responsable du traitement se fait aux frais de ce dernier.
    4. Le responsable du traitement déclare, à la demande du contrôleur, que la suppression visée au paragraphe précédent a eu lieu. Le contrôleur peut faire vérifier à ses frais si cela a effectivement eu lieu. La clause 10 duprésent accord s'applique à cette vérification. Dans la mesure où cela est nécessaire, le responsable du traitement informe tous les sous-traitants secondaires impliqués dans le traitement des données à caractère personnel de toute résiliation de l'accord principal et leur donne instruction d'agir conformément aux dispositions de celui-ci.
    5. Sauf accord contraire entre les parties, le contrôleur se chargera lui-même de la sauvegarde des données à caractère personnel.
  • Droits de la personne concernée 
    1. Si le responsable du traitement a lui-même accès aux données à caractère personnel, il doit répondre lui-même à toutes les demandes de la personne concernée concernant les données à caractère personnel. Le responsable du traitement transmet immédiatement au responsable du traitement toute demande reçue par celui-ci.
    2. Ce n'est que si ce qui a été prévu au paragraphe précédent est impossible que le sous-traitant coopérera pleinement et en temps utile avec le contrôleur afin de
    3. fournir à la personne concernée l'accès à ses données personnelles respectives après approbation du contrôleur et sur ses instructions,
    4. supprimer ou corriger les données personnelles,
    5. démontrer que les données à caractère personnel ont été supprimées ou corrigées si elles sont incorrectes (ou, dans le cas où le responsable du traitement n'accepte pas que les données à caractère personnel soient incorrectes, enregistrer le fait que la personne concernée considère ses données à caractère personnel comme incorrectes)
    6. fournir au responsable du traitement ou au tiers désigné par celui-ci les données à caractère personnel respectives sous une forme structurée, usuelle et lisible par machine et
    7. permettre au contrôleur de respecter ses obligations en vertu de la GDPR ou de toute autre législation applicable dans le domaine du traitement des données à caractère personnel.
    8. Les coûts et les exigences liés à la coopération visée au paragraphe précédentsont déterminés conjointement par les parties. En l'absence de tout accord à cet égard, les coûts seront pris en charge par le contrôleur.
  • Responsabilité
    1. Le responsable du traitement est par exemple responsable et à ce titre, il est entièrement responsable (de la finalité prévue) des opérations de traitement, de l'utilisation et du contenu des données à caractère personnel, de la communication à des tiers, de la durée de conservation des données à caractère personnel, de la manière dont les données sont traitées et des moyens mis en œuvre à cette fin.
    2. Le transformateur est responsable devant le contrôleur, comme le prévoit le contrat principal. Vérification
      1. Le contrôleur est habilité à vérifier le respect des dispositions du présent accord une fois par an à ses propres frais ou à les faire vérifier par un auditeur indépendant agréé ou un professionnel de l'informatique agréé.
      2. Le transformateur fournit au contrôleur toutes les informations nécessaires pour démontrer que les obligations de l'article 28 de la GDPR ontété respectées. Si le tiers engagé par le contrôleur donne une instruction qui, de l'avis du transformateur, constitue une infraction à la GDPR, le transformateur en informe immédiatement le contrôleur.
      3. L'enquête du contrôleur sera toujours limitée aux systèmes du sous-traitant utilisés pour les opérations de traitement. Les informations obtenues lors de la vérification sont traitées de manière confidentielle par le contrôleur et ne sont utilisées que pour vérifier le respect par le sous-traitant des obligations découlant du présent accord, et les informations ou parties de celles-ci sont supprimées dès que possible. Le contrôleur garantit que tout tiers engagé s'acquittera également de ces obligations.
    3. Autres dispositions
      1. Toute modification du présent accord n'est valable que si elle a été convenue par écrit par les parties.
      2. Les parties adapteront le présent accord à toute réglementation modifiée ou complétée, aux instructions supplémentaires des autorités compétentes et à une meilleure compréhension de l'application de la GDPR (par exemple, mais sans s'y limiter, par la jurisprudence ou les rapports), à l'introduction de dispositions standard et/ou à d'autres événements ou connaissances qui nécessitent un tel ajustement.
      3. Cet accord est en vigueur aussi longtemps que l'accord principal est en vigueur. Les dispositions du présent accord restent en vigueur dans la mesure où cela est nécessaire pour le règlement du présent accord et dans la mesure où elles sont censées survivre à la résiliation du présent accord. La dernière catégorie de dispositions comprend, mais sans s'y limiter, les dispositions relatives à la confidentialité et aux litiges.
      4. Le présent accord prévaut sur tous les autres accords entre le contrôleur et le transformateur.
      5. Cet accord est exclusivement régi par le droit néerlandais.
      6. Les parties soumettront exclusivement leurs litiges en rapport avec le présent accord au tribunal d'arrondissement d'Amsterdam.

Annexe 1

Traitement des données à caractère personnel et délais de conservation

Cette annexe fait partie de l'accord de traitement et doit être paraphée par les parties.

  • Les données personnelles que les parties s'attendent à traiter :
    • Nom
    • Adresse électronique
    • Données de corps des données forensiques DMARC (RUF, courriels non conformes à DMARC)
  • L'utilisation (= méthode(s) de traitement) des données à caractère personnel, ainsi que les finalités et les moyens du traitement :
    • PowerDMARC traite les rapports DMARC entrants. Dans la spécification DMARC, il y a deux types de rapports :
      • Rapports agrégés
        Ces rapports contiennent des données sur le nombre de messages envoyés pour votre/vos domaine(s) pour une certaine adresse IP sur une base quotidienne, y compris les résultats des contrôles SPF et DKIM pour ces messages. Les rapports agrégés ne contiennent pas de données personnelles.
      • Rapports de police scientifique
        Les rapports forensiques sont envoyés par un nombre limité d'expéditeurs de rapports DMARC. Il s'agit de copies de messages spécifiques qui ont échoué aux contrôles DMARC. Le contenu de ces messages peut contenir des informations personnelles identifiables (PII). PowerDMARC propose plusieurs méthodes de stockage de ces messages :

        • Par défaut : Par défaut, le corps du message est dépouillé et seuls les en-têtes sont stockés
        • Crypté : Le client peut télécharger une clé PGP publique dans le logiciel PowerDMARC. L'ensemble des messages entrants sera crypté à l'aide de cette clé. Le client peut décrypter les données en utilisant sa clé privée et son mot de passe.
        • Non chiffré : Après confirmation et acceptation spécifique de PowerDMARC en tant que processeur de données, le client pourra stocker le corps complet du message en clair dans le logiciel PowerDMARC.

Les conditions d'utilisation et les périodes de conservation des (différents types de) données à caractère personnel :

  • Licence : Toutes les licences sauf la version de base gratuite
  • Conservation des données : 365 jours