Responsable: Client
Sous-traitant: Zippsafe AG, Europa-Strasse 17, 8152 Glattbrugg, ci-après «Zippsafe»
1. Le présent accord complète le contrat conclu entre les parties concernant le système Zippsafe Management System (ZMS) («contrat principal»). Il prévaut sur le contrat principal, ses éléments et les éventuelles conditions générales des parties en cas de divergences.
2. L’objet de cet accord est le traitement des données personnelles dans le cadre de l’exécution par Zippsafe des obligations découlant du contrat principal. Le contrat principal s’applique à la relation juridique entre la société Zippsafe AG, y compris toutes ses filiales nationales et étrangères, et ses clients.
3. L’objet du traitement des données inclut les catégories de données et de personnes mentionnées dans le contrat principal.
4. Le traitement des données est effectué dans les lieux suivants: Union européenne et Suisse.
5. Zippsafe est en droit de faire appel à des sous-sous-traitants pour l’exécution de la prestation. Zippsafe contrôle attentivement ses sous-sous-traitants et conclut avec eux un accord de sous-traitance de traitement des données qui contient pour l’essentiel les dispositions du présent accord. Zippsafe informe le client du changement ou du recours à un nouveau sous-sous-traitant au moins 4 semaines à l’avance et par écrit (p. ex. par e-mail). Dans des cas justifiés, le client peut s’y opposer. Si, par la suite, les parties ne parviennent pas à se mettre d’accord, Zippsafe peut résilier le contrat principal avec un préavis de 30 jours à la date de son choix.
6. Zippsafe s’engage à ne pas utiliser les données personnelles traitées à d’autres fins que celles convenues dans le contrat principal. La transmission de données personnelles dans le cadre d’injonctions de remise ou de perquisition par les autorités, dont Zippsafe informera le client le plus rapidement possible si cela est autorisé, fait exception à cette règle.
7. Lors de l’exécution des prestations, Zippsafe ne fait appel qu’à des personnes ou des sous-sous-traitants qui sont tenus par contrat ou par la loi au respect de la confidentialité et qui sont familiarisés avec les dispositions pertinentes en matière de protection des données.
8. Zippsafe ne traite les données personnelles que dans le cadre d’instructions documentées du client. Le client doit immédiatement confirmer ses instructions orales par écrit (p. ex. par e-mail). Zippsafe signale au client si une instruction enfreint la législation en vigueur sur la protection des données et suspend tout traitement jusqu’à ce que le client confirme l’instruction par écrit.
9. Zippsafe permet au client ou à un auditeur mandaté par lui d’effectuer les contrôles relatifs au respect du présent accord. De tels contrôles doivent être annoncés au moins 4 semaines à l’avance. Le client a le droit d’effectuer une journée de contrôle gratuitement par an. Toute dépense supplémentaire engendrée doit être remboursée à Zippsafe par le client aux taux habituels du marché.
En lieu et place d’un contrôle sur place, Zippsafe peut fournir des preuves écrites sur demande (p. ex. en divulguant les résultats d’un audit, d’une certification ou d’autres contrôles tels que des tests anti-intrusions). Si Zippsafe dispose d’une certification ISO-27001 ou d’une certification équivalente qui inclut le ZMS dans son champ d’application, la preuve de l’adéquation des mesures techniques et organisationnelles est considérée comme apportée et il n’existe un droit à un contrôle sur place qu’en cas de soupçons justifiés.
10. Zippsafe garantit la sécurité des données par des mesures techniques et organisationnelles appropriées conformément à l’annexe I. Ces mesures sont soumises à l’évolution de la technique. Zippsafe peut appliquer des mesures alternatives adéquates. Dans ce cas, le niveau de sécurité actuel ne saurait être inférieur. Les modifications importantes doivent être documentées.
11. Zippsafe s’engage en outre à informer le client d’un incident relatif à la sécurité des données dans les 48 heures suivant sa constatation.
12. Zippsafe apporte son soutien au client, dans la mesure du raisonnable, pour l’élaboration d’analyses d’impact sur la protection des données concernant le ZMS, ainsi que pour répondre aux demandes des personnes concernées et dans le cadre des injonctions ou contrôles des autorités concernant les données personnelles enregistrées dans le ZMS.
13. Aucune copie ou duplication des données n’est effectuée à l’insu du client, à l’exception des copies de sécurité et autres copies techniquement nécessaires, dans la mesure où elles sont requises pour garantir un traitement des données en bonne et due forme.
14. À la demande du client, mais au plus tard à la fin du contrat principal, Zippsafe supprime toutes les données personnelles du client, sous réserve d’autres accords (p. ex. conservation de sauvegarde) ou d’obligations légales de conservation.
15. Cet accord reste en vigueur aussi longtemps que Zippsafe traite les données personnelles du client, c’est-à-dire, le cas échéant, au-delà de la fin du contrat principal, si Zippsafe ou ses sous-sous-traitants conservent encore des sauvegardes contenant les données personnelles du client. Dans un tel cas et une fois le contrat principal terminé, le droit de contrôle visé au point 9 se limite à des demandes écrites.
16. Le présent accord, en particulier l’annexe I, peut être adapté à tout moment par Zippsafe moyennant un préavis raisonnable. Le client en sera informé par écrit. Dans des cas justifiés, le client peut s’y opposer. Si, par la suite, les parties ne parviennent pas à se mettre d’accord, Zippsafe peut résilier le contrat principal avec un préavis de 30 jours à la date de son choix.
Les dispositions suivantes traitent des mesures de sécurité des données et de la garantie d’un niveau de protection adéquat en matière de confidentialité, d’intégrité, de disponibilité et de résistance des systèmes. Dans ce cadre, Zippsafe tient compte de l’état de la technique, des coûts ainsi que de la nature, de l’étendue et des finalités du traitement.
Les mesures spécifiques pour le ZMS sont détaillées dans le document «Zippsafe Management System (ZMS) Documentation». Zippsafe prend en outre les mesures techniques et organisationnelles suivantes au niveau de son infrastructure et de son organisation:
Contrôles d’accès
Gestion des identités et des accès (IAM)
Accès aux données uniquement avec authentification
Authentification multifactorielle (MFA) pour tous
Gestion des accès privilégiés (PAM)
Règles relatives aux mots de passe
Principe du moindre privilège
Principe du need to know (besoin d’en connaître)
Chiffrement au repos (at rest)
Chiffrement en transit (in transit)
Sauvegardes
Concept de management de la continuité des activités (BCM)
Pare-feux
EDR/XDR
Inventaire de tous les logiciels et équipements
Protection contre les logiciels malveillants
Gestion actuelle des correctifs
Séparation des systèmes productifs et autres
Directive sur la sécurité des informations