La partie contractante Seagate identifiée dans votre accord Lyve Services (« Seagate ») et vous (l'« Entreprise ») (individuellement une « partie » et collectivement les « parties ») avez conclu un accord relatif à Lyve Services (l'« Accord »), qui autorise Seagate à Traiter les Informations personnelles de l'Entreprise (telles que définies ci-après) dans le but de fournir certains services (les « Services ») à cette dernière. Le présent Accord de confidentialité des données, y compris toutes les annexes et pièces jointes à celui-ci, (l'« Accord »), régit le Traitement par Seagate des Informations personnelles de l'Entreprise, est considéré comme faisant partie du Contrat et intégré à ce dernier par référence, et entre en vigueur à la date de signature dudit Contrat (la « Date d'entrée en vigueur »).
Les parties conviennent de ce qui suit :
- DÉFINITIONS
- Le terme « Société affiliée » désigne toute entité qui contrôle la partie concernée, est contrôlée par elle ou est sous contrôle commun avec elle, « contrôle » signifiant la détention ou le droit de contrôler plus de 50 % des titres avec droit de vote de ladite entité.
- Le terme « Loi/Droit applicable à la protection de la vie privée » désigne l'ensemble des lois, règles et réglementations du monde relatives à la protection des données, à la sécurité des données et à la confidentialité s'appliquant aux Informations personnelles de l'Entreprise en question, y compris, selon le cas : (i) la loi de l'UE sur la protection des données ; (ii) la loi singapourienne sur la protection des données personnelles de 2012 (n° 26 de 2012) ; (iii) l'ensemble des lois, règles et réglementations des États-Unis, y compris les lois sur la protection de la vie privée des États-Unis ; et (iv) les normes du secteur applicables selon la nature des Informations personnelles de l'Entreprise.
- Le terme « Violation de données » désigne toute atteinte confirmée à la sécurité ayant donné lieu à une destruction, perte ou altération fortuites ou illicites, à une divulgation, une consultation ou une acquisition non autorisées d'Informations personnelles de l'Entreprise, ou à tout autre Traitement non autorisé desdites données.
- Le terme « Loi(s) de l'UE sur la protection des données » désigne toutes les lois et réglementations sur la protection des données applicables à l'Union européenne (« UE ») ou à l'Espace économique européen (« EEE »), y compris (a) le Règlement général sur la protection des données 2016/679 (« RGPD de l'UE » ou « RGPD ») ; (b) le RGPD tel que sauvegardé dans le droit du Royaume-Uni en vertu de l'article 3 de la Loi de 2018 sur le retrait de l'Union européenne et de la Loi de 2018 sur la protection des données du Royaume-Uni (le « RGPD britannique ») ; (c) la loi fédérale suisse sur la protection des données du 19 juin 1992 et ses ordonnances correspondantes (« LPD suisse ») ; (d) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (e) les mises en œuvre nationales applicables de (a),(b) et (c).
- Le terme « Informations personnelles de l'Entreprise » désigne toutes les Données à caractère personnel traitées par Seagate pour le compte de l'Entreprise dans le cadre du présent Accord, telles que décrites plus précisément dans son Annexe A.
- Le terme « Clauses standard » ou « CS » désigne, (i) dans les cas où le RGPD s'applique, les clauses contractuelles annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (« CS UE ») ; et (ii) dans les cas où le RGPD britannique s'applique, les clauses types de protection des données pour les responsables du traitement adoptées en vertu de l'article 46, paragraphe 2, point c) ou d), du RGPD britannique (« CS britanniques ») (telles que modifiées, remplacées ou mises à jour de temps à autre).
- Le terme « Données à caractère personnel » renvoie à toute information protégée en tant que « données personnelles », « informations personnelles » ou « informations personnelles identifiables », ou définie par des termes similaires au sens du Droit applicable à la protection de la vie privée.
- Le terme « Traiter » ou « Traitement » désigne, entre autres, les opérations effectuées sur les Informations personnelles de l'Entreprise, par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la modification, l'utilisation, la consultation, la divulgation, la diffusion, la copie, le transfert, le stockage ou tout autre moyen de conservation, la suppression, l'harmonisation, la combinaison, la limitation, l'adaptation, la récupération, la destruction ou l'élimination d'Informations personnelles de l'Entreprise.
- Le terme « Transfert restreint » signifie : (i) dans les cas où le RGPD s'applique, un transfert de Données à caractère personnel de l'Entreprise de l'EEE vers un pays situé en dehors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission européenne ; (ii) dans les cas où le RGPD britannique s'applique, un transfert de Données à caractère personnel de l'Entreprise du Royaume-Uni vers tout autre pays qui n'y est pas soumis sur la base d'une réglementation d'adéquation conformément à l'article 17A de la loi britannique sur la protection des données de 2018 ; et (iii) lorsque la Loi fédérale suisse sur la protection des données s'applique, un transfert de Données à caractère personnel de l'Entreprise de la Suisse vers tout autre pays qui n'y est pas soumis sur la base d'une décision d'adéquation reconnue en vertu de la loi suisse sur la protection des données.
- Le terme « Informations sensibles » désigne tous les types d'Informations personnelles de l'Entreprise suivants : (i) numéro de sécurité sociale, numéro d'identification fiscal, numéro de passeport, numéro de permis de conduire ou tout autre numéro d'identification émis par l'administration ; (ii) informations de carte bancaire, numéro de compte bancaire, avec ou sans codes ou mots de passe permettant d'accéder aux historiques de compte ou de crédit ; ou (iii) mention de race, de religion, d'origine ethnique, de vie, de pratiques ou d'orientation sexuelles ; informations médicales, génétiques ou biométriques, modèles biométriques ; informations relatives aux opinions politiques ou philosophiques, à l'appartenance à un parti politique ou à un syndicat ; informations de vérification d'antécédents ou données judiciaires, telles que les casiers judiciaires ou les informations relatives à d'autres procédures judiciaires ou administratives. Cela inclut en outre les Informations personnelles de l'Entreprise concernant des enfants protégés par les lois sur la protection des données des enfants et toute autre information ou combinaison d'informations définies comme des « catégories particulières de données » ou par des termes similaires définis au sens du RGPD ou de toute autre Loi applicable à la protection de la vie privée.
- Le terme « Sous-traitant indirect » désigne tout tiers engagé par Seagate ou par un autre Sous-traitant indirect qui aura accès à des Informations personnelles de l'Entreprise, en recevra ou en traitera de toute autre manière.
- Le terme « Personnel Seagate » désigne tout employé, travailleur indépendant, Sous-traitant indirect ou agent de Seagate autorisés par Seagate à Traiter des Informations personnelles de l'Entreprise.
- Le terme « Lois des États-Unis sur la protection de la vie privée » désigne l'ensemble des lois, règles et réglementations applicables en matière de confidentialité des données, de protection des données et de cybersécurité auxquelles les Données à caractère personnel de l'Entreprise sont soumises.
- Les termes « Particulier », « Responsable du traitement », « Personne concernée », « Sous-traitant », « Autorité de contrôle », « Entreprise », « Objectif professionnel », « Objectif commercial », « Collecter », « Vente », « Fournisseur de services » et « Partage » ont la signification qui leur est donnée dans le Droit applicable à la protection de la vie privée.
- Le terme « inclure » doit être interprété comme signifiant « inclure, entre autres », et les termes apparentés doivent être interprétés en conséquence.
- SÉCURITÉ ET PROTECTION DES DONNÉES
- Rôles dans la protection des données. Les parties reconnaissent et conviennent que l'Entreprise est le Responsable du traitement et que Seagate agit au nom de cette dernière en tant que Sous-traitant ou Fournisseur de services à l'égard des Informations personnelles de l'Entreprise, sauf lorsque l'Entreprise agit en tant que Sous-traitant de ses propres Informations personnelles, auquel cas Seagate devient un Sous-traitant indirect.
- Respect des lois. Chacune des parties s'engage à remplir ses obligations en vertu du Droit applicable à la protection de la vie privée en ce qui concerne les Informations personnelles de l'Entreprise qu'elle traite dans le cadre du présent Accord. Tout Traitement des Informations personnelles de l'Entreprise effectué dans le cadre de cet Accord doit être réalisé conformément au Droit applicable à la protection de la vie privée. Cependant, Seagate n'est pas tenue de respecter le Droit applicable à la protection de la vie privée ni les normes locales/du secteur pouvant s'appliquer à l'Entreprise ou à son secteur d'activité, et qui, de manière générale, ne sont pas applicables à Seagate en tant que fournisseur de services. Lorsque l'Entreprise fait une utilisation spécifique des services et que le Droit applicable à la protection de la vie privée ou les normes locales/du secteur l'obligent à prendre des dispositions contractuelles spécifiques et/ou des mesures complémentaires de conformité qui dépassent le cadre des dispositions du présent Accord, l'Entreprise est tenue d'en informer Seagate au moins (30) jours avant de lui transmettre les Informations personnelles de l'Entreprise concernées par de telles exigences. Seagate s'engage à offrir à l'Entreprise une assistance raisonnable pour l'aider à respecter lesdites obligations et pourra, à son entière discrétion, signer le ou les contrats requis pour couvrir les Informations personnelles de l'Entreprise qui sont soumises à de telles obligations, sans que cela limite l'effet des dispositions du présent Accord. L'Entreprise pourra informer Seagate de telles exigences spécifiques à sa juridiction à l'adresse de notification de l'entité Seagate contractante identifiée dans l'Accord.
- Non-divulgation des Informations personnelles de l'Entreprise. Seagate n'est pas autorisée à divulguer à des tiers les Informations personnelles de l'Entreprise, de quelque manière et à quelque fin que ce soit, sans accord écrit préalable de cette dernière, exception faite des divulgations effectuées en application de la loi, conformément à l'article 2.8 ci-dessous, à des Sous-traitants indirects ou dans le but de fournir les Services. Toute personne autorisée à Traiter les Informations personnelles de l'Entreprise doit accepter par contrat d'assurer la confidentialité de ces informations ou se soumettre à une obligation légale appropriée de confidentialité.
- Portée du Traitement. En toutes circonstances, Seagate s'engage à : (i) Traiter les Informations personnelles de l'Entreprise conformément au présent Accord aux fins de fournir à celle-ci les Services prévus dans l'Accord, et ce conformément aux instructions légales documentées de l'Entreprise (« Fins autorisées ») et (ii) ne pas Traiter les Informations personnelles de l'Entreprise pour ses propres besoins ou pour les besoins d'un tiers. Seagate n'est pas autorisée (i) à vendre ou à divulguer les Informations personnelles de l'Entreprise, (ii) à conserver, utiliser ou divulguer ces informations à des fins autres que les Fins autorisées, y compris à conserver, utiliser ou divulguer des Informations personnelles à des fins commerciales autres que la fourniture des Services prévus par le ou les Contrats, ni (iii) à conserver, utiliser ou divulguer des Informations personnelles en dehors de la relation commerciale directe entre Seagate et l'Entreprise. Seagate s'engage à informer l'Entreprise si elle ne peut plus remplir ses obligations en vertu de la loi californienne de 2018 sur la protection de la vie privée des consommateurs (Code civil californien, articles 1798.100 et suivants) (« CCPA ») modifiée par la loi californienne sur la protection de la vie privée (« CPRA »). Seagate certifie avoir compris les exigences et restrictions stipulées à l'article 2.4 et s'engage à s'y conformer, ainsi qu'à respecter les exigences applicables aux Fournisseurs de services en vertu des lois CCPA. et CPRA En outre, les parties reconnaissent et conviennent que l'échange d'Informations personnelles de l'Entreprise entre elles ne constitue pas une Vente et n'implique aucune contrepartie monétaire ou autre rétribution eu égard au présent Accord ou Accord sur la protection des données. Seagate se conformera en toutes circonstances aux restrictions applicables prévues par les lois CCPA et CPRA concernant le fait de combiner les Informations personnelles de l'Entreprise provenant de celle-ci aux Données à caractère personnel que Seagate reçoit de, ou pour le compte de, une ou plusieurs autres personnes, ou que Seagate collecte lors de ses interactions avec le Particulier. L'Entreprise et Seagate déclarent avoir lu et compris les exigences définies par les lois CCPA et CPRA.
- Instructions de Traitement. Les parties conviennent que l'Accord (incluant le présent Accord de confidentialité des données) établit les instructions complètes et définitives adressées à Seagate par l'Entreprise concernant le Traitement des Informations personnelles de cette dernière. Si Seagate est légalement tenue de Traiter les Informations personnelles de l'Entreprise à d'autres fins, Seagate s'engage à informer l'Entreprise d'une telle obligation avant de procéder audit Traitement, à moins que la loi lui interdise de le faire. Toute modification apportée aux instructions de l'Entreprise sera soumise à l'approbation des parties (notamment en ce qui concerne les frais supplémentaires à engager pour se conformer à de nouvelles instructions).
- Obligations de l'Entreprise. L'Entreprise convient (i) qu'elle est tenue de satisfaire à ses obligations en vertu du Droit applicable à la protection de la vie privée eu égard au traitement qu'elle réalise sur ses Informations personnelles et aux instructions de traitement qu'elle fournit à Seagate, (ii) qu'elle a transmis les avis et qu'elle a obtenu (ou est tenue d'obtenir) tous les consentements (le cas échéant) et tous les droits requis selon le Droit applicable à la protection de la vie privée pour autoriser Seagate à traiter ses Informations personnelles et à fournir les Services conformément au Contrat et au présent Accord, et (iii) qu'elle est responsable de sécuriser son utilisation des Services, notamment en protégeant les identifiants d'accès à son compte, en assurant la sécurité de ses Informations personnelles qui transitent vers les Services ou depuis ce dernier, et en prenant des mesures permettant de chiffrer et de sauvegarder de manière sécurisée les Informations personnelles de l'Entreprise traitées en lien avec les Services. L'Entreprise s'engage à mettre en œuvre et à appliquer des mesures techniques et d'organisation liées à la sécurité permettant de protéger ses Informations personnelles contre les Violations de données, et à préserver la sécurité et la confidentialité des Informations personnelles de l'Entreprise dont elle a la garde et le contrôle.
- Programme de sécurité des informations. Seagate mettra en œuvre, appliquera, surveillera et, au besoin, mettra à jour un programme écrit complet de sécurité des informations qui contient les mesures de protection administratives, techniques et physiques appropriées pour protéger les Informations personnelles de l'Entreprise contre les menaces ou dangers prévisibles touchant la sécurité, la confidentialité ou l'intégrité desdites informations (comme l'accès, la collecte, l'utilisation, la copie, la modification, l'élimination ou la divulgation non autorisés, la perte, la destruction, l'acquisition ou la détérioration non autorisées, illicites ou fortuites, ou toute autre forme de Traitement non autorisée) (« Programme de sécurité des informations »). L'Entreprise reconnaît que le Programme de sécurité des informations dépend des progrès et des évolutions techniques et que Seagate peut être amenée à mettre à jour ou modifier ledit programme de temps à autre, sous réserve que ces mises à jour ou modifications n'entraînent pas une détérioration de la sécurité globale des Services souscrits par l'Entreprise.
- Restrictions relatives aux Sous-traitants indirects. Si nécessaire, Seagate peut divulguer les Informations personnelles du Client à des Sous-traitants indirects pour fournir ses Services au Client, sous réserve des conditions visées à l'article 2.8. En signant le présent Accord, l'Entreprise donne à Seagate l'autorisation écrite générale d'engager des Sous-traitants indirects pour fournir les Services. Les Sous-traitants indirects actuellement engagés par Seagate et agréés par l'Entreprise sont répertoriés dans l'Annexe C du présent Accord. L'Entreprise peut s'abonner aux notifications par e-mail concernant les changements de Sous-traitants indirects en écrivant à l'adresse corporatecontracts@seagate.com et en indiquant en objet de l'e-mail : « Subscribe to Lyve Cloud Data Privacy Agreement Sub-Processor Update Alerts ». Seagate informera par écrit l'Entreprise au moins quinze (15) jours calendaires à l'avance de l'engagement de tout nouveau Sous-traitant indirect. L'Entreprise peut s'opposer par écrit à la nomination de chacun de ces Sous-traitants indirects pour des motifs raisonnables (par exemple, si la mise à disposition des Informations personnelles de l'Entreprise au Sous-traitant indirect porte atteinte au Droit applicable à la protection de la vie privée ou affaiblit la protection desdites Informations) en en informant Seagate par écrit dans les meilleurs délais et sous dix (10) jours ouvrés suivant la réception de l'avis émis par Seagate conformément au présent article 2.8. Ladite notification doit indiquer les motifs raisonnables de cette objection, et les parties doivent discuter de ces préoccupations de bonne foi en vue de trouver une solution commercialement raisonnable. Seagate peut, à sa seule discrétion, retirer le Sous-traitant indirect de la liste. Si Seagate retire un Sous-traitant indirect de la liste, il lui sera accordé un délai raisonnable pour le remplacer. Si l'Entreprise ne s'oppose pas au Sous-traitant indirect proposé dans les dix (10) jours calendaires suivant la réception de l'avis envoyé par Seagate, le Sous-traitant indirect est réputé avoir été approuvé.
- Exécution des obligations des Sous-traitants indirects. Si un Sous-traitant indirect ne remplit pas ses obligations de protection des données ou est exclu par Seagate, Seagate demeure pleinement responsable envers l'Entreprise de l'exécution des obligations dudit Sous-traitant indirect. Si Seagate n'est pas en mesure de remplir ces obligations sans le Sous-traitant indirect en question, Seagate peut résilier tout Accord applicable entre les parties et/ou leurs Sociétés affiliées, sans encourir aucun coût ni aucune responsabilité à l'égard de l'Entreprise.
- Obligations du Personnel et des Sous-traitants indirects de Seagate. Seagate s'engage à s'assurer que toute personne autorisée à Traiter les Informations personnelles de l'Entreprise s'est engagée à protéger leur confidentialité ou est tenue de le faire en vertu d'une obligation légale appropriée. Lorsque Seagate confie à un Sous-traitant indirect des activités de Traitement spécifiques au nom de l'Entreprise, Seagate s'engage à conclure avec le Sous-traitant indirect concerné un contrat écrit définissant les obligations de ce dernier en matière de protection des données (confidentialité des données, protection et sécurité des informations) au moins pendant la durée du Traitement, de sorte que le Sous-traitant indirect soit tenu de protéger les Informations personnelles de l'Entreprise conformément au Droit applicable à la protection de la vie privée.
- Avis de demandes ou de réclamations. À moins que la loi l'interdise, Seagate s'engage à aviser l'Entreprise de toute demande ou réclamation reçue par Seagate concernant le Traitement des Informations personnelles de l'Entreprise, notamment :
- demandes d'une Personne concernée souhaitant exercer l'un de ses droits en vertu du Droit applicable à la protection de la vie privée, incluant, entre autres, les demandes de portabilité des données, d'accès aux données, de modification, de suppression ou de limitation des données, ou toute demande similaire ; ou
- réclamations ou allégations selon lesquelles le Traitement enfreint les droits d'une Personne concernée.
- Réponses de l'Entreprise aux demandes de Personnes concernées. Compte tenu de la nature du Traitement, Seagate s'engage à aider l'Entreprise par des mesures techniques et d'organisation appropriées, dans la mesure du possible, de sorte que l'Entreprise puisse satisfaire à son obligation de répondre aux demandes de Personnes concernées souhaitant exercer leurs droits, aux frais de l'Entreprise. Seagate s'engage à aviser l'Entreprise par écrit dans les plus brefs délais dans les cas suivants : (i) Seagate reçoit une demande d'une personne concernée relative au Traitement des Informations personnelles de l'Entreprise (sauf si la demande est fondée sur les lois CCPA et CPRA, auquel cas Seagate s'engage à informer le demandeur que sa demande n'est pas recevable, au motif qu'elle est adressée à un Fournisseur de services au sens des lois CCPA et CPRA) ou (ii) Seagate reçoit une réclamation, une communication ou une demande portant sur les obligations de l'Entreprise dans le cadre du Droit applicable à la protection de la vie privée. En dehors de la situation décrite au point (i) concernant les demandes fondées sur les lois CCPA et CPRA, Seagate n'est pas tenue de répondre directement à de telles demandes, réclamations ou communications (si ce n'est pour inviter la personne concernée à contacter l'Entreprise) sans l'accord préalable de l'Entreprise, à moins que la loi l'y oblige
- Demandes de divulgation. Le Client reconnaît que Seagate peut être tenue de divulguer, sans l'en aviser ni demander son accord, des Informations personnelles de l'Entreprise aux autorités dans le cadre d'une enquête, d'un contrôle ou d'une instruction en lien avec les services. À moins que la loi le lui interdise, Seagate s'engage à déployer des efforts raisonnables pour aviser l'Entreprise de la réception d'un document demandant ou prétendant imposer la divulgation d'Informations personnelles de l'Entreprise (telles que des questions orales, des interrogatoires, des demandes d'informations ou de documents dans des procédures judiciaires, des assignations à comparaître, des demandes d'enquête civile ou d'autres demandes ou Procédures similaires). Seagate s'engage à déployer des efforts raisonnables pour empêcher et limiter toute divulgation ou pour protéger la confidentialité des Informations personnelles de l'Entreprise.
- Coopération. Aux frais de l'Entreprise, Seagate s'engage à offrir une assistance raisonnable à l'Entreprise pour l'aider à remplir ses obligations dans le cadre du Droit applicable à la protection de la vie privée en ce qui concerne la sécurité des Informations personnelles de l'Entreprise et à réaliser des analyses d'impact relatives à la confidentialité et à la protection des données (telles que raisonnablement requises), ainsi que les consultations associées auprès des Autorités de contrôle.
- Avis de violations possibles ou d'incapacité de se conformer. Seagate s'engage à aviser l'Entreprise si :
- Seagate a des raisons de penser que des instructions de l'Entreprise concernant le Traitement des Informations personnelles de l'Entreprise pourraient porter atteinte au droit applicable ;
- Seagate a des raisons de penser qu'elle n'est pas en mesure de respecter l'une de ses obligations en vertu du présent Accord ou du Droit applicable à la protection de la vie privée, et ne peut pas remédier à cette incapacité dans un délai raisonnable ; ou
- Seagate est informée de circonstances ou de modifications du droit applicable susceptibles de l'empêcher de remplir ses obligations en vertu du présent Accord.
- TRANSFERTS DE DONNÉES
- Transferts internationaux. L'Entreprise consent par la présente à ce que Seagate transfère et traite toutes les Informations personnelles de l'Entreprise dans ou vers un territoire autre que celui dans lequel ces informations ont été collectées pour la première fois, à condition que Seagate prenne toutes les mesures nécessaires pour s'assurer que ce transfert et ce Traitement sont conformes à la Loi applicable à la protection de la vie privée et au présent Accord de confidentialité des données (y compris les mesures que l'Entreprise peut communiquer ponctuellement à Seagate).
- Mécanismes de transfert. Les parties conviennent que lorsque le transfert des Informations personnelles de l'Entreprise à Seagate est un Transfert restreint, il sera soumis aux mécanismes de transfert ci-dessous :
- Clauses standard. Les parties conviennent que le Transfert restreint sera soumis aux Clauses standard appropriées, qui sont automatiquement incorporées par référence et font partie intégrante du présent Accord de confidentialité des données, comme suit :
- En ce qui concerne les Informations personnelles de l'Entreprise qui sont protégées par le RGPD, les CCT (Clauses contractuelles types) de l'UE s'appliqueront comme suit :
- Les modules deux et trois, selon le cas, s'appliquent ;
- à la Clause 7, la clause d'amarrage facultative s'applique ;
- à la Clause 9, l'option 2 s'appliquera, et le délai de notification préalable des changements de Sous-traitants indirects sera de quinze (15) jours calendaires ;
- à la Clause 11, la langue facultative ne s'appliquera pas ;
- à la clause 17, l'option 1 s'appliquera, et les CCT de l'UE seront régies par le droit des Pays-Bas ;
- à la Clause 18(b), les litiges seront portés devant les tribunaux des Pays-Bas ;
- l'Annexe I des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe A du présent Accord de confidentialité des données ; et
- l'Annexe II des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe B du présent Accord.
- En ce qui concerne les données qui sont protégées par le RGPD britannique, les CCT de l'UE telles que mises en œuvre conformément au paragraphe (1) ci-dessus s'appliqueront à condition que :
- toute référence dans les CCT de l'UE à la « Directive 95/46/CE » ou au « Règlement (UE) 2016/679 » doit être interprétée comme une référence au RGPD britannique ; les références à des articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par la section ou l'article correspondant du RGPD britannique ; les références à « l'UE », à « l'Union » et au « droit des États membres » sont toutes remplacées par « le Royaume-Uni » ou « britannique » ; la Clause 13(a) et la Partie C de l'Annexe II des CCT de l'UE ne sont pas utilisées ; les références à l'« autorité de contrôle compétente » et aux « tribunaux compétents » sont interprétées comme des références à l'« Information Commissioner » et aux tribunaux d'Angleterre et du Pays de Galles ; la Clause 17 des CCT de l'UE est remplacée par le texte suivant : « Les Clauses sont régies par le droit de l'Angleterre et du Pays de Galles » et la Clause 18 des CCT de l'UE est remplacée par le texte suivant : « Les litiges découlant des présentes Clauses seront portés devant les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut engager une procédure judiciaire contre l'exportateur et/ou l'importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux » ;
- dans la mesure et aussi longtemps que les CCT de l'UE, telles que mises en œuvre conformément au paragraphe 2, point (A) ci-dessus, ne peuvent pas être utilisées pour transférer légalement au Fournisseur les Informations personnelles de l'Entreprise protégées par l'Accord de confidentialité des données britannique, les CCT britanniques seront incorporées au présent Accord, en feront partie intégrante et s'appliqueront à ces transferts ; et
- aux fins des CCT britanniques (le cas échéant), les Annexes/Appendices pertinents desdites CCT sont réputées complétées par les informations contenues dans les Annexes A et B du présent Accord de confidentialité des données.
- En ce qui concerne les Informations personnelles de l'Entreprise qui sont protégées par la LPD suisse, les CCT de l'UE, telles que mises en œuvre conformément au paragraphe (1) ci-dessus, s'appliqueront à condition que :
- les références prévues dans les CCT de l'UE au « Règlement (UE) 2016/679 » ou au « RGPD » soient interprétées comme des références à la loi fédérale suisse sur la protection des données (LPD) ;
- les références à l'« UE », à l'« Union » et au « droit de l'État membre » soient interprétées comme des références à la Suisse et au droit suisse, selon le cas ;
- le terme « État membre » ne soit pas interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) ;
- les clauses des CCT l'UE soient interprétées comme protégeant les données des personnes morales jusqu'à l'entrée en vigueur de la Loi fédérale sur la protection des données révisée ; et
- les références à l'« autorité de contrôle compétente » et aux « tribunaux compétents » soient interprétées comme des références au Préposé fédéral à la protection des données et à la transparence (PFPDT) et aux tribunaux compétents en Suisse.
- Dans le cas où une disposition du présent Contrat ou du présent Accord de confidentialité des données contredit, directement ou indirectement, les Clauses standard, ces dernières prévalent.
- Autre mécanisme de transfert : si Seagate adopte, pour les Données à caractère personnel, un mécanisme d'exportation de données alternatif (notamment, toute nouvelle version des CTT, ou tout nouveau cadre réglementaire les remplaçant, adopté conformément à la Loi de l'UE sur la protection des données applicable) qui n'est pas décrit dans le présent Accord de confidentialité des données (« Mécanisme de transfert alternatif »), ledit Mécanisme s'applique en lieu et place de celui décrit dans le présent Accord (à la condition que ce Mécanisme de transfert alternatif soit conforme à la Loi de l'UE sur la protection des données et couvre les territoires vers lesquels les Données à caractère personnel sont transférées), et l'Entreprise accepte de signer tous les documents et de prendre toutes les mesures raisonnablement nécessaires pour donner un effet juridique audit Mécanisme de transfert alternatif. En outre, si un tribunal compétent ou une autorité de contrôle ayant un pouvoir contraignant juge ou détermine (pour quelque motif que ce soit) que les mesures décrites dans le présent Accord ne permettent pas de transférer lesdites données à caractère personnel de l'Entreprise conformément à la loi, l'Entreprise accepte que Seagate mette en œuvre les mesures ou protections supplémentaires raisonnablement requises pour permettre le transfert desdites données à caractère personnel dans le respect de la loi.
- Transferts en dehors de pays où l'exportation de données est réglementée. Lorsque le Droit applicable à la protection de la vie privée restreint les exportations de données en imposant de prendre des mesures supplémentaires pour autoriser le transfert d'Informations personnelles de l'Entreprise à Seagate (ou à ses Sous-traitants indirects), l'Entreprise s'engage à se conformer auxdites exigences en matière de protection des données, notamment en obtenant les consentements requis ou en concluant les contrats de transfert de données requis (par exemple, des CCT) ou en recourant à une autre solution garantissant une protection appropriée pour un tel transfert.
- CONFORMITÉ ET RESPONSABILITÉ
- Audit. Pas plus d'une fois tous les douze (12) mois, l'Entreprise pourra demander à Seagate de mettre à disposition les informations strictement nécessaires pour démontrer la conformité avec le Droit applicable à la protection de la vie privée concernant le Traitement des Informations personnelles de l'Entreprise. Seagate autorisera et facilitera les audits réalisés par l'Entreprise, ou par un auditeur tiers indépendant mandaté par cette dernière, aux frais de l'Entreprise. Le cas échéant, ledit auditeur tiers indépendant devra être approuvé par Seagate (à moins que ce tiers soit une Autorité de contrôle). L'auditeur devra conclure un accord de confidentialité écrit, acceptable aux yeux de Seagate, ou être soumis à des obligations légales de confidentialité, pour pouvoir conduire un audit.
- Portée de l'audit. Pour demander un audit, l'Entreprise enverra à Seagate un préavis écrit de trente (30) jours calendaires et une suggestion de plan d'audit décrivant la portée, la durée et la date de début de l'audit. Seagate examinera le plan d'audit proposé et transmettra à l'Entreprise ses remarques ou questions éventuelles (par exemple, à propos d'une demande d'information susceptible de porter atteinte à la sécurité, à la vie privée, à l'emploi ou à d'autres règles pertinentes de Seagate ou d'une de ses Sociétés affiliées). Seagate s'engage à coopérer avec l'Entreprise pour convenir d'un plan d'audit final.
- Rapport d'audit. L'Entreprise fournira à Seagate tous les rapports d'audit générés en lien avec un audit, à moins que le Droit applicable à la protection de la vie privée l'interdise ou qu'une Autorité de contrôle lui ait fourni d'autres instructions. L'Entreprise est autorisée à utiliser les rapports d'audit uniquement aux fins de répondre à ses obligations légales d'audit ou de vérifier que les dispositions du présent Accord sont effectivement respectées. Les rapports d'audit, ainsi que toutes les informations fournies par Seagate pour l'audit, sont des Informations confidentielles de Seagate.
- Conformité démontrable. Sur demande raisonnable de l'Entreprise, Seagate s'engage à fournir les informations raisonnablement nécessaires pour démontrer sa conformité avec le Droit applicable à la protection de la vie privée des États-Unis.
- RESPONSABILITÉS DE SEAGATE APRÈS UNE VIOLATION DE DONNÉES
- Notification de la Violation de données. Seagate informera l'Entreprise par écrit dans les plus brefs délais en cas de Violation de données avérée et s'engage à :
- enquêter sur ledit incident ou apporter son aide raisonnable dans cette démarche ;
- fournir à l'Entreprise les informations concernant la Violation de données, et lui fournir rapidement les autres informations pertinentes lorsque celles-ci sont disponibles ; et
- déployer des efforts commercialement raisonnables pour contenir la Violation de données, limiter ses conséquences ou assister l'Entreprise dans cette démarche, aux frais de cette dernière.
- Considérations relatives aux notifications. La notification d'une Violation de données ou le fait de répondre à une telle notification, conformément au présent article (« Réponse à une Violation de données ») ne signifient pas que Seagate reconnaît une faute ou une responsabilité concernant ladite Violation de données.
- Communications. Seagate s'engage à ne divulguer aucune communication relative à une Violation de données d'une manière qui identifierait ou qui serait raisonnablement susceptible d'identifier l'Entreprise, ou d'en révéler l'identité, sans l'accord préalable de l'Entreprise.
- Conservation des éléments de preuve. Seagate s'engage à maintenir un plan de réponse aux incidents. Après la découverte d'une Violation de données, Seagate conservera les éléments de preuve liés à la Violation et maintiendra une chaîne de commandement claire conforme à son plan de réponse aux incidents.
- RETOUR ET SUPPRESSION SÉCURISÉE DES INFORMATIONS PERSONNELLES DE L'ENTREPRISE
- Retour et suppression de Informations personnelles de l'Entreprise. À la suite de l'événement qui, parmi les deux événements suivants, survient en premier, à savoir (a) la demande de l'Entreprise ou (b) l'expiration ou la résiliation anticipée du ou des accords conclus entre les parties et/ou leurs Sociétés affiliées en lien avec le Traitement des Informations personnelles de l'Entreprise, Seagate s'engage, à la seule discrétion de l'Entreprise, à exporter lesdites Informations ou à exiger de ses Sous-traitants indirects qu'ils les exportent, ou à donner à l'Entreprise, ou à la personne désignée par cette dernière comme étant habilitée à les exporter, la possibilité d'exporter toutes les Informations personnelles de l'Entreprise dans un format informatisé et interopérable, sauf si la conservation des Informations personnelles de l'Entreprise est exigée par le Droit applicable à la protection de la vie privée. Chaque partie s'engage à identifier une personne à contacter pour effectuer la migration des Informations personnelles de l'Entreprise, et à agir promptement, avec diligence et en toute bonne foi pour faciliter un transfert rapide. Dans un délai de 30 jours suivant (a) la migration par Seagate des Informations personnelles de l'Entreprise ou (b) la date à laquelle l'Entreprise informe Seagate de sa volonté de ne pas migrer lesdites Informations, Seagate et les Sous-traitants indirects s'engagent à détruire de manière sécurisée toutes les Informations personnelles de l'Entreprise et à les remplacer par de nouvelles données ou à détruire de toute autre manière lesdites Informations par le biais d'une méthode approuvée d'écrasement des données.
- Obligations de suppression. Nonobstant l'article 6.1, que l'Entreprise ait ou non demandé à Seagate de retourner les Informations personnelles la concernant, Seagate peut être tenue de supprimer lesdites informations des services à l'expiration ou à la résiliation anticipée du ou des accords conclus entre les parties et/ou leurs Sociétés affiliées concernant le Traitement des Informations personnelles de l'Entreprise, sauf si la conservation des Informations personnelles de l'Entreprise est exigée par le Droit applicable à la protection de la vie privée. Si l'Entreprise choisit d'intégrer ou de migrer ses Informations personnelles dans un autre service Seagate, y compris Seagate Lyve Services, l'Entreprise reconnaît que Seagate est autorisée, après l'intégration ou la migration desdites données, à supprimer ou à éliminer d'une autre manière toutes les Informations personnelles de l'Entreprise stockées dans le service d'origine. L'Entreprise reconnaît que, compte tenu de la nature du service, Seagate ne disposera pas d'un accès technique aux données sans autorisations complémentaires, pour assurer la continuité de la sécurité.
- Destruction des Informations personnelles de l'Entreprise. À moins que le Droit applicable à la protection de la vie privée l'interdise, si Seagate se débarrasse des supports papier, électroniques ou autres contenant des Informations personnelles de l'Entreprise, Seagate s'engage à le faire en prenant toutes les mesures raisonnables pour détruire les Informations personnelles de l'Entreprise de l'une des manières suivantes : (a) déchiquetage, (b) effacement et suppression permanents, (c) démagnétisation ou (d) modification des Informations personnelles de l'Entreprise pour les rendre illisibles, non reconstructibles et indéchiffrables. Si Seagate déclasse ou met hors service de toute autre manière un disque dur contenant une copie des Informations personnelles de l'Entreprise, Seagate s'engage à déchiqueter ou détruire de façon fiable le disque de manière à rendre illisibles et à détruire lesdites Informations conformément aux normes NIST 800-88, révision 1.
- DIVERS
- Durée. Le présent Accord reste en vigueur jusqu'à (i) ce qu'il n'y ait aucun autre accord actif entre les parties et (ii) que Seagate ait cessé d'avoir la garde, le contrôle ou l'accès à des Informations personnelles de l'Entreprise. Seagate traitera les Informations personnelles de l'Entreprise jusqu'à ce que la relation prenne fin, conformément aux dispositions de l'Accord. Les obligations de Seagate et les droits de l'Entreprise en vertu du présent Accord de confidentialité des données resteront en vigueur aussi longtemps que Seagate traitera les Informations personnelles de l'Entreprise.
- Ordre de priorité. Le Contrat reste inchangé et pleinement en vigueur. En cas de divergences entre le présent Accord de confidentialité des données et le ou les Contrats conclus entre les parties et/ou leurs Sociétés affiliées, les dispositions des documents suivants (par ordre de priorité) prévaudront : (a) les Clauses contractuelles types (le cas échéant) ; (b) le présent Accord de confidentialité des données et (c) le corps du Contrat. Le présent Accord ne saurait limiter ou restreindre les Clauses contractuelles types. Il ne doit être considéré que comme un complément.
- Mises à jour. Les parties s'engagent à collaborer raisonnablement pour mettre à jour le présent Accord par accord mutuel écrit, selon les besoins, afin d'assurer le respect des lois et règlements applicables.
- Données relatives aux services. Nonobstant toute disposition contraire dans le Contrat (présent Accord inclus), Seagate est autorisée à collecter, utiliser et divulguer les données relatives à l'utilisation, à l'assistance et/ou à la manipulation des Services (« Données relatives aux services ») à des fins commerciales légitimes telles que la facturation, la gestion des comptes, l'assistance technique et le développement de produits. Lorsque lesdites Données relatives aux services sont considérées comme des Informations personnelles de l'Entreprise en vertu du Droit applicable à la protection de la vie privée, Seagate en est responsable et s'engage à les Traiter conformément à la Politique de protection de la vie privée de Seagate (dont la version la plus récente est disponible à l'adresse https://www.seagate.com/legal-privacy/) qui est susceptible d'être actualisée de temps à autre et au Droit applicable à la protection de la vie privée. Afin de lever toute forme de doute, et à l'exception du présent article 7.4, les dispositions du présent Accord de confidentialité des données ne s'appliquent pas aux Données relatives aux services.
- Tiers bénéficiaires. Les Sociétés affiliées de Seagate sont des tiers bénéficiaires désignés du présent Accord ; chacune d'elles peut appliquer les dispositions des présentes comme si elle était un signataire dudit Accord. Seagate peut également appliquer les dispositions du présent Accord pour le compte de ses Sociétés affiliées, au lieu d'introduire une cause d'action de façon séparée à l'encontre de l'Entreprise.
- Divulgation à une Autorité de contrôle ou à un organisme de réglementation. L'Entreprise reconnaît que Seagate est autorisée à divulguer le présent Accord (y compris les CCT) et toutes les dispositions du Contrat relatives à la protection de la vie privée à la Federal Trade Commission, à une autorité européenne chargée de la protection des données ou à tout autre organisme judiciaire ou de réglementation, à leur demande.
- Principe de séparation. Si l'une des dispositions du présent Accord sur la protection des données est inefficace ou nulle, les autres dispositions n'en sont pas affectées. Les parties doivent remplacer la disposition non valide ou nulle par une disposition légale qui reflète l'objet de la disposition en question. En cas d'absence d'une disposition nécessaire, les parties doivent en ajouter une qui soit appropriée et de bonne foi.
- Exemplaires. Le présent Accord de confidentialité des données peut être signé par signature électronique, laquelle doit être considérée comme un original, y compris à des fins de preuve. Le présent Accord peut être signé en deux ou plusieurs exemplaires, sans qu'il soit nécessaire que les deux parties y apposent leur signature, chacun d'eux étant considéré comme un original, et l'ensemble constituant un seul et même instrument.
- Interprétation. Les rubriques du présent Accord de confidentialité des données ne sont fournies qu'à titre indicatif et n'auront aucune incidence sur l'interprétation des présentes.
- Responsabilité. La responsabilité globale cumulée de chaque partie et de toutes ses Sociétés affiliées découlant directement ou indirectement du présent Accord (incluant les Clauses contractuelles types), que cette responsabilité soit contractuelle, délictuelle (y compris par négligence) ou fondée sur une autre théorie de la responsabilité, est soumise aux limitations et exclusions de responsabilité prévues au Contrat (ou intégrées dans celui-ci par référence) dans toute la mesure autorisée par le Droit applicable à la protection de la vie privée, à condition que ces limites ne s'appliquent pas à la responsabilité de l'une ou l'autre des parties en vertu des Clauses contractuelles types.
- Droit applicable. Le présent Accord est régi et interprété selon les dispositions du Contrat relatives au droit applicable et à la juridiction compétente, sauf exigences contraires dans le Droit applicable à la protection de la vie privée.
ANNEXE A
DESCRIPTION DU TRAITEMENT DES DONNÉES
A. LISTE DES PARTIES
MODULE 2 : Transfert du Responsable du traitement au Sous-traitant
MODULE 3 : Transfert entre Sous-traitants
Exportateur(s) des données :
ENTREPRISE
Coordonnées du contact: comme spécifié dans l'Accord. La ou les adresses électroniques désignées par l'Entreprise dans son compte via ses préférences de notification.
Activités pertinentes pour le transfert : l'Entreprise utilise le ou les services Lyve Services spécifiés dans l'Accord et est responsable de l'utilisation desdits Services conformément à la documentation applicable.
Signature et date : en concluant l'Accord, l'exportateur de données est réputé avoir signé les présentes Clauses contractuelles types qui y sont incorporées, y compris leurs annexes, à la date d'entrée en vigueur dudit Accord.
Rôle de l'exportateur de données : le rôle de l'exportateur de données est défini à l'article 2.1 (Rôles dans la protection des données) du présent Accord de confidentialité des données.
Importateur(s) des données :
SEAGATE
Coordonnées du contact: comme spécifié dans l'Accord. L'équipe en charge de la protection des données chez Seagate peut être contactée à l'adresse data.protection.officer@seagate.com.
Activités pertinentes pour le transfert : Seagate traite les Informations personnelles de l'Entreprise pour l'objet spécifié dans l'Accord et jusqu'à ce que l'Accord prenne fin ou expire, sauf accord contraire des parties par écrit. L'objet est déterminé par le ou les services Lyve Services auxquels l'Entreprise s'abonne et les données que cette dernière télécharge sur lesdits Services.
Signature et date : en concluant l'Accord, l'importateur des données est réputé avoir signé les présentes Clauses contractuelles types incorporées dans le présent document, y compris leurs annexes, à la date d'entrée en vigueur de l'Accord.
Rôle de l'importateur des données : le rôle de l'importateur des données est défini à l'article 2.1 (Rôles dans la protection des données) du présent Accord de confidentialité des données.
B. DESCRIPTION DU TRANSFERT
MODULE 2 : Transfert du Responsable du traitement au Sous-traitant
MODULE 3 : Transfert entre Sous-traitants
Catégories de personnes concernées dont les Informations personnelles sont transférées
L'Entreprise peut transmettre des Informations personnelles à Seagate, dans une mesure déterminée et contrôlée par l'Entreprise à sa seule discrétion, qui peuvent inclure, entre autres, des données à caractère personnel relatives aux catégories suivantes de personnes concernées :
- Employés, conseillers, consultants, fournisseurs, sous-traitants, sous-traitants indirects et agents actuels et antérieurs de l'Entreprise ;
- Partenaires actuels et antérieurs de l'Entreprise et leurs employés, partenaires, conseillers, consultants, fournisseurs, sous-traitants, sous-traitants indirects et agents ;
- Clients actuels et antérieurs de l'Entreprise et leurs employés, partenaires, conseillers, consultants, fournisseurs, sous-traitants, sous-traitants indirects et agents.
Catégories de données à caractère personnel transférées
L'Entreprise peut soumettre à Seagate des Informations personnelles la concernant, dont l'Entreprise détermine et contrôle l'étendue à sa seule discrétion, et qui peuvent inclure des données à caractère personnel fournies par elle, en son nom ou collectées par Seagate en relation avec les Services.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme une stricte limitation de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
L'Entreprise peut soumettre des données sensibles à Seagate, dont l'Entreprise détermine et contrôle l'étendue à sa seule discrétion, et qui peuvent inclure des données sensibles fournies par elle, en son nom ou collectées par Seagate dans le cadre des Services. Les mesures de protection mises en œuvre par Seagate sont décrites à l'Annexe II.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
L'Entreprise détermine et contrôle, à sa seule discrétion, la fréquence du transfert, par l'Entreprise, des Données à caractère personnel à Seagate, conformément au Contrat (y compris le présent Accord de confidentialité des données).
Nature du traitement
Seagate traitera les Informations personnelles de l'Entreprise uniquement dans le but de fournir les Services à cette dernière en vertu du Contrat (y compris le présent Accord de confidentialité des données).
Finalité(s) du transfert et du traitement ultérieur des données
L'Entreprise transférera ses Informations personnelles à Seagate uniquement dans le but de recevoir les Services en vertu du Contrat (y compris le présent Accord de confidentialité des données), notamment :
- Stockage et autre Traitement nécessaire pour fournir, maintenir et améliorer les Services fournis à l'Entreprise conformément au Contrat
- Divulgations effectuées en vertu du Contrat et/ou imposées par la loi en vigueur.
La période pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période
Seagate conservera les Informations personnelles de l'Entreprise que cette dernière aura transférées à Seagate conformément au Contrat (y compris le présent Accord de confidentialité des données) et conformément aux instructions légales documentées de l'Entreprise.
Pour les transferts à des sous-traitants (indirects), préciser également l'objet, la nature et la durée du traitement.
Non pertinent
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
MODULE 2 : Transfert du Responsable du traitement au Sous-traitant
MODULE 3 : Transfert entre Sous-traitants
Identifier la ou les autorités de contrôle compétentes conformément à la Clause 13.
L'autorité de contrôle compétente, conformément à la Clause 13 des CTT de l'UE, est soit (i) l'autorité de contrôle applicable à l'exportateur de données dans son pays d'établissement dans l'EEE, soit (ii) lorsque l'exportateur des données n'est pas établi dans l'EEE, l'autorité de contrôle applicable dans le pays de l'EEE où le représentant de l'UE de l'exportateur des données a été désigné conformément à l'article 27, paragraphe 1, du RGPD, soit (iii) lorsque l'exportateur des données n'est pas obligé de désigner un représentant, l'autorité de contrôle applicable au pays de l'EEE où se trouvent les personnes concernées par le transfert. En ce qui concerne le Traitement des Données à caractère personnel de l'Entreprise auxquelles le RGPD britannique s'applique, l'autorité de contrôle compétente est l'Information Commissioners Office (l'« ICO »). En ce qui concerne le Traitement des Données à caractère personnel auxquelles la loi fédérale suisse sur la protection des données (LPD) s'applique, l'autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence.
ANNEXE B
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
MODULE 2 : Transfert du Responsable du traitement au Sous-traitant
MODULE 3 : Transfert entre Sous-traitants
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs des données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
Seagate met en œuvre, maintient, surveille et, si nécessaire, met à jour son programme écrit complet de sécurité des informations. Le programme de sécurité des informations de Seagate contient les mesures de protection administratives, techniques et physiques permettant de protéger les Informations personnelles de l'Entreprise contre les menaces ou les dangers prévisibles touchant la sécurité, la confidentialité ou l'intégrité desdites informations (comme l'accès, la collecte, l'utilisation, la copie, la modification, l'élimination ou la divulgation non autorisés, la perte, la destruction, l'acquisition ou la détérioration non autorisées, illicites ou fortuites, ou toute autre forme de Traitement non autorisé) (« Programme de sécurité des informations »).
Seagate dispose d'une équipe de sécurité de l'information distincte et spécialisée qui gère son Programme de sécurité des informations. Cette équipe facilite et soutient les évaluations et audits indépendants réalisés par des tiers. L'Entreprise reconnaît que le Programme de sécurité des informations dépend des progrès et des évolutions techniques et que Seagate peut être amenée à mettre à jour ou modifier ledit programme de temps à autre, sous réserve que ces mises à jour ou modifications n'entraînent pas une détérioration de la sécurité globale des services Lyve Services souscrits par l'Entreprise.
Seagate n'examine pas et ne modifie pas les données, contenus et supports créés, stockés ou rendus accessibles par l'intermédiaire des services Lyve Services.
Les mesures suivantes sont en place pour protéger les Données à caractère personnel de l'Entreprise traitées par Lyve Cloud Services et Lyve Mobile Services (collectivement « les Services Lyve ») :
Chiffrement des données à caractère personnel : mesures permettant de convertir une information clairement lisible en une chaîne illisible au moyen d'un procédé cryptographique.
- Seagate a mis en place des mesures de sécurité robustes pour garantir la protection des données de l'Entreprise, notamment le chiffrement au repos AES-256-GCM pour Lyve Cloud Services et TCG Enterprise, le chiffrement au repos ED AES 256 bits pour Lyve Mobile Services et la prise en charge du chiffrement en transit.
- L'une des principales caractéristiques de sécurité des services Lyve Services est que Seagate chiffre toutes les données avant de les stocker, qu'elles soient ou non chiffrées à la source. Il n'est pas possible de réduire la protection. Lorsque l'Entreprise choisit de mettre fin à sa location avec Lyve Services, ses données seront effacées en toute sécurité.
- Des centres de données tiers hébergent Lyve Cloud Services, ce qui garantit la plus haute disponibilité et d'accès aux centres de données. Par conception, le chiffrement des données ne peut pas être désactivé dans Lyve Cloud Services. Cela signifie que les données sont toujours chiffrées au repos et en transit. En outre, la protection contre les ransomwares protège les données contre les attaques malveillantes, tandis que l'immuabilité des objets les protège contre les manipulations ou les suppressions accidentelles.
Mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement :
- Confidentialité : mesures garantissant que les informations ne sont accessibles que par une personne autorisée et empêchant l'intrusion de personnes non autorisées dans les systèmes et applications utilisés pour le Traitement des données à caractère personnel.
- Seagate s'est dotée d'une politique de contrôle d'accès dédiée.
- Système de droits différenciés basé sur des groupes de sécurité et des listes de contrôle d'accès.
- Politique en matière de mots de passe, y compris des directives pour la gestion des mots de passe.
- Les mots de passe doivent avoir une complexité minimale définie. Les mots de passe initiaux doivent être modifiés après la première connexion.
- Gestion des droits d'accès, y compris concept d'autorisation, mise en œuvre des restrictions d'accès, application du principe du « besoin de savoir », gestion des droits d'accès individuels.
- Formation et accords de confidentialité pour le personnel interne et le personnel externe.
- Séparation des réseaux.
- Les demandes d'autorisation sont suivies, enregistrées et vérifiées régulièrement.
- Suppression de l'accès des employés en cas de licenciement ou de changement d'emploi.
- Processus de mise en service et de suspension des comptes.
- Séparation des responsabilités et des tâches pour réduire les possibilités de modification ou d'utilisation non autorisée ou involontaire.
- Exigences de confidentialité imposées aux employés.
- Formation obligatoire à la sécurité pour les employés, qui couvre la confidentialité et la gouvernance des données, la protection des données, la confidentialité, l'ingénierie sociale, les politiques de mot de passe et les responsabilités générales en matière de sécurité au sein et en dehors de Seagate.
- Accords de non-divulgation avec des tiers.
- Séparation des réseaux en fonction des niveaux de confiance.
- Intégrité : mesures garantissant que les Informations personnelles de l'Entreprise ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission ou le transport électronique, et qu'il est possible de vérifier et d'établir si et par qui les données ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées.
- Enregistrement de l'authentification et de l'accès au système logique surveillé.
- Enregistrement de l'accès aux données, entre autres l'accès, la modification, la saisie et la suppression des données.
- Documentation des droits de saisie des données et enregistrement des entrées liées à la sécurité.
- Disponibilité et résilience : mesures visant à réduire le risque encouru par les Informations personnelles de l'Entreprise en cas de destruction ou de perte accidentelle due à des influences internes ou externes, et à garantir la capacité à résister aux attaques ou à restaurer rapidement les systèmes en état de marche après une attaque.
Mesures visant à garantir la capacité à rapidement restaurer la disponibilité du système Lyve Cloud Services et l'accès à ce dernier en cas d'incident physique ou technique : mesures garantissant la capacité à rapidement restaurer rapidement le système en cas d'incident physique ou technique.
- Planification de la continuité et plan de reprise après sinistre.
- Processus de reprise après sinistre pour restaurer les processus.
- Procédures de gestion et de déclaration des incidents (gestion des incidents), y compris la détection et la réaction aux éventuels incidents de sécurité.
Processus visant à tester, évaluer et apprécier régulièrement l'efficacité des mesures techniques et organisationnelles de Lyve Cloud Services afin de garantir la sécurité du traitement :
- La surveillance et l'enregistrement des activités constituent une chronique des événements et génèrent des preuves. Les systèmes de production et autres systèmes critiques produisent des journaux d'événements enregistrant les activités des utilisateurs, les exceptions, les défaillances et les événements liés à la sécurité des informations.
- Seuls les employés autorisés de Seagate peuvent accéder à tous les journaux, et des contrôles d'accès sont en place pour empêcher tout accès non autorisé.
- Seagate protège les informations des journaux contre la falsification et les accès non autorisés. Cela inclut la protection des contrôles contre les modifications non autorisées des informations du journal et les problèmes opérationnels.
Mesures d'identification et d'autorisation des utilisateurs :
- Des procédures sont en place pour saisir et consigner les informations relatives à l'interaction des systèmes, des applications et des comptes d'utilisateurs.
- L'accès au code source des programmes et aux éléments associés (tels que les conceptions, les spécifications, les plans de vérification et de validation) est limité afin d'empêcher l'introduction de fonctionnalités non autorisées et d'éviter les modifications involontaires, ainsi que pour préserver la confidentialité de la propriété intellectuelle.
- Un processus formel d'enregistrement et de désenregistrement des utilisateurs pour la gestion des identifications est mis en œuvre pour attribuer les droits d'accès. Cela comprend l'émission d'identifications d'utilisateur uniques pour identifier la personne autorisée à accéder aux services Lyve Services (les identifications partagées ne sont pas autorisées) et la désactivation ou la suppression immédiate des identifications lorsqu'une personne quitte son emploi ou lorsqu'un contractant/fournisseur met fin à un contrat, ou n'a plus besoin d'accès.
- Le contrôle de l'attribution des informations secrètes d'authentification (par exemple, les mots de passe, les clés cryptographiques, les jetons matériels ou les cartes à puce) doit être maintenu par le biais d'un processus formel qui exige des utilisateurs qu'ils reconnaissent, dans le cadre de leurs conditions d'emploi, la confidentialité de ces informations.
Mesures de protection des Données lors de leur transmission à Lyve Cloud Services :
- Lyve Cloud Services a mis en place des mesures de sécurité robustes pour garantir que les Informations personnelles de l'Entreprise restent protégées, y compris le chiffrement au repos et la prise en charge du chiffrement en transit.
- Les personnes autorisées qui accèdent au réseau à partir de sites externes doivent utiliser des méthodes et une technologie de chiffrement et d'authentification approuvées.
- Seagate n'autorise pas l'utilisation de comptes partagés pour obtenir un accès à distance au réseau.
- Seagate limite l'accès à distance aux ressources et services nécessaires.
Mesures de protection des Informations personnelles de l'Entreprise pendant le stockage :
- Lyve Services a mis en place des mesures de sécurité robustes pour garantir que les Informations personnelles de l'Entreprise restent protégées, y compris le chiffrement au repos et la prise en charge du chiffrement en transit.
- Les instances des clients Seagate de Lyve Cloud Services sont séparées logiquement, et les tentatives d'accès aux données en dehors des limites de domaine autorisées sont empêchées et enregistrées.
- Des mesures sont en place pour garantir que les téléchargements exécutables, le code ou les acteurs non autorisés ne puissent pas accéder à des données non autorisées, y compris un client accédant aux fichiers d'un autre client.
Mesures visant à assurer la sécurité physique des lieux où sont traitées les Informations personnelles de l'Entreprise :
- Les mesures de sécurité applicables à Lyve Services sont proportionnelles au risque pesant sur les actifs et services d'information.
- Lyve Cloud Services intègre des mesures de sécurité physique et environnementale dans les installations pour minimiser les risques, éviter les menaces et éliminer les vulnérabilités afin de protéger les systèmes d'information et le personnel.
- La sécurité physique et environnementale est conçue pour empêcher l'accès physique non autorisé, les dommages et les interférences aux actifs et systèmes d'information de Lyve Cloud Service.
- Lyve Cloud Services protège les zones sécurisées par la mise en place de contrôles d'entrée afin de garantir que seul le personnel autorisé y a accès. Ces contrôles doivent inclure l'enregistrement de l'accès des visiteurs, la restriction de l'accès aux endroits où des informations sensibles sont conservées au seul personnel autorisé, l'obligation pour les utilisateurs de porter un badge d'identification visible et la limitation des individus aux seules zones physiques nécessaires à la conduite des affaires.
- Les équipements, les informations ou les logiciels ne doivent pas être emportés hors du site sans autorisation. Le délai de retrait des actifs doit être convenu par toutes les personnes concernées et le retour doit être vérifié. Les actifs doivent être enregistrés à leur sortie du site et à leur retour.
Mesures visant à assurer l'enregistrement des événements :
- Enregistrement à distance.
- Une politique de système de gestion de la sécurité de l'information (SGSI) est en place.
Mesures visant à garantir la configuration du système, y compris la configuration par défaut : mesures visant à garantir que tous les systèmes et dispositifs du champ d'application sont conformes aux paramètres de configuration de base.
- Seagate a mis en place une Politique de gestion des changements.
- Seagate surveille les changements apportés aux systèmes concernés pour s'assurer que les changements suivent le processus et pour atténuer le risque de changements non détectés dans la production.
- Seagate a mis en place une politique et des procédures de contrôle d'accès.
Mesures de gouvernance et de gestion internes des technologies de l'information (« TI ») et de la sécurité informatique :
- Seagate dispose d'un système de gestion de la sécurité de l'information (SGSI) conforme à la norme ISO 27001:2013.
- Seagate a mis en place une politique écrite de sécurité des informations, y compris la documentation de référence.
- L'autorité et la responsabilité de la gestion du programme de sécurité des informations de Seagate ont été déléguées au Directeur de la sécurité de l'information, qui est autorisé par la direction générale à prendre les mesures nécessaires pour établir, mettre en œuvre et gérer le programme de sécurité des informations de Seagate.
Mesures de certification/assurance des processus et des produits :
- Lyve Cloud Services a fait l'objet d'un audit par un tiers et a obtenu la conformité SOC 2, attestant de notre engagement envers les contrôles qui préservent la confidentialité des informations stockées et traitées dans notre service.
- Lyve Cloud Services est certifié ISO 27001, et son programme comprend, entre autres considérations : les politiques et procédures, la gestion des actifs, la gestion des accès, la cryptographie, la sécurité physique et environnementale, la politique de continuité des activités, la sécurité des ressources humaines, la reprise après sinistre, la sécurité du cloud et de l'infrastructure réseau, la conformité à la sécurité, la gestion des tiers, ainsi que la surveillance de la sécurité et la réponse aux incidents.
Mesures visant à assurer la minimisation des données : mesures visant à réduire la quantité de données collectées.
- La collecte des Informations personnelles de l'Entreprise est limitée aux données que cette dernière choisit de fournir dans Lyve Services.
- Des mesures de sécurité sont en place pour fournir uniquement le minimum d'accès nécessaire à l'exécution des fonctions requises.
Mesures visant à garantir la qualité des données : mesures visant à garantir que le pipeline de données crée et maintient une bonne qualité des données.
- Seagate n'examine ni ne modifie les données, le contenu ou le matériel créés, stockés ou rendus accessibles par Lyve Services, y compris les Informations personnelles de l'Entreprise, et cette dernière a toute latitude pour décider quelles données sont placées dans Lyve Services.
- Seagate dispose de contrôles de sécurité pour garantir l'intégrité des données.
Mesures visant à garantir une conservation limitée des données :
- Les propriétaires d'informations doivent développer et mettre en œuvre des procédures pour assurer l'élimination appropriée des actifs informationnels sous leur contrôle.
- Lyve Services protège les actifs informationnels et organisent leur destruction lorsque l'actif a atteint la fin de son cycle de vie, comme décrit dans le calendrier de conservation des enregistrements. La destruction sécurisée de ces actifs doit garantir qu'aucun contenu lisible ne reste intact.
- Un processus automatisé sécurisé doit être utilisé pour la destruction des données électroniques et un processus manuel sécurisé utilisé pour la destruction des enregistrements sur papier.
- Après la résiliation de tous les abonnements associés à un environnement, les données des clients soumises à Lyve Cloud Services sont conservées dans un statut inactif au sein de Lyve Cloud Services pendant 30 jours, après quoi elles sont écrasées ou supprimées de manière sécurisée de la production.
- Après la résiliation de tous les abonnements associés à un service Lyve Mobile Service, l'Entreprise doit utiliser la fonctionnalité d'effacement cryptographique disponible sur l'appareil pour effacer de manière sécurisée ses données de l'appareil en question. Lorsque l'appareil Lyve Mobile Service est retourné à Seagate, le personnel autorisé procède à son effacement dans un endroit sécurisé à accès contrôlé.
Mesures visant à garantir la responsabilité : les entreprises doivent tenir certains registres des données à caractère personnel qu'elles traitent.
- Des évaluations de la confidentialité sont requises lors de l'introduction de tout nouveau produit/service impliquant le traitement de données à caractère personnel.
- Seagate attribue la responsabilité de garantir la confidentialité de l'utilisateur final tout au long du cycle de vie du produit et par le biais des processus commerciaux applicables.
Mesures visant à permettre la portabilité des données et à assurer leur effacement :
- Lyve Mobile Services est conçu dans un souci de portabilité. Des accords portent sur le transfert sécurisé d'informations commerciales entre Lyve Cloud Services et des tiers externes.
- Lyve Mobile Services établit et maintient une documentation pour protéger les informations et les supports physiques en transit afin que les informations puissent être référencées dans les accords de transfert.
- Le contenu de la sécurité des informations de tout accord doit refléter le caractère sensible des informations commerciales concernées. Les accords peuvent être électroniques ou manuels et peuvent être des contrats formels.
- L'Entreprise peut être tenue de supprimer ses données des services à l'expiration ou à la résiliation anticipée de l'Accord. Lorsqu'un client choisit d'intégrer ou de faire migrer ses données dans un autre service Seagate, Seagate peut, lorsque cette opération est réussie, supprimer ou éliminer d'une autre manière toutes les données du client stockées dans le service d'origine.
- Lyve Services protège les actifs informationnels et organisent leur destruction lorsque l'actif a atteint la fin de son cycle de vie, comme décrit dans le calendrier de conservation des enregistrements. La destruction sécurisée de ces actifs doit garantir qu'aucun contenu lisible ne reste intact.
- Lyve Services utilise un processus automatisé sécurisé pour la destruction des données électroniques et un processus manuel sécurisé utilisé pour la destruction des enregistrements sur papier.
- Après la résiliation de tous les abonnements associés à Lyve Services, les équipements contenant des supports de stockage doivent être vérifiés pour s'assurer que les données sensibles et les logiciels sous licence ont été supprimés ou écrasés de manière sécurisée avant leur élimination ou leur réutilisation. Les supports de stockage doivent être supprimés ou écrasés de manière à ce que les données originales ne puissent pas être récupérées.
- Si Seagate déclasse ou met hors service de toute autre manière un disque dur contenant une copie des données de l'Entreprise, Seagate s'engage à déchiqueter ou détruire de façon fiable le disque de manière à rendre illisibles et à détruire lesdites données conformément aux normes NIST 800-88, révision 1.
ANNEXE C
LISTE DES SOUS-TRAITANTS INDIRECTS
Aucun.
ANNEXE D
DISPOSITIONS SPÉCIFIQUES PAR PAYS
Les exigences suivantes s'appliquent aux juridictions spécifiées :
- Singapour
- Les dispositions de la présente section 1 s'appliquent lorsque la loi singapourienne de 2012 sur la protection des données à caractère personnel (Singapore Personal Data Protection Act, n° 26 de 2012) s'applique au Traitement par Seagate des Informations personnelles de l'Entreprise.
- La clause 1.3 de l'Accord de confidentialité des données est remplacée par la clause suivante :
- Le terme « Violation de données » désigne toute atteinte à la sécurité ayant donné lieu à une destruction, perte ou altération fortuites ou illicites, à une divulgation, une consultation ou une acquisition non autorisées d'Informations personnelles de l'Entreprise, ou à tout autre Traitement non autorisé desdites données, y compris : (a) l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisés des Informations personnelles de l'Entreprise ; ou (b) la perte de tout support ou dispositif de stockage sur lequel sont stockées les Informations personnelles de l'Entreprise dans des circonstances où l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisés desdites Informations personnelles sont susceptibles de survenir.
- La clause 5.1 de l'Accord de confidentialité des données est remplacée par la clause suivante :
5.1 Notification de la Violation de données. Lorsque Seagate a des raisons de penser qu'une Violation de données s'est produite, Seagate doit en informer l'Entreprise par écrit dans les plus brefs délais et s'engage à :
- enquêter sur ledit incident ou apporter son aide raisonnable dans cette démarche ;
- fournir à l'Entreprise les informations concernant la Violation de données, et lui fournir rapidement les autres informations pertinentes lorsque celles-ci sont disponibles ; et
- déployer des efforts commercialement raisonnables pour contenir la Violation de données, limiter ses conséquences ou assister l'Entreprise dans cette démarche, aux frais de cette dernière.
- Inde
- Les dispositions de la présente section 2 s'appliquent lorsque l'Information Technology Act, 2000 (« IT Act (loi informatique) ») et des règles relatives aux technologies de l'information (Pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) de 2011 (« Règles de confidentialité ») dans la version modifiée et remplacée de temps à autre s'applique au Traitement par Seagate des Informations personnelles de l'Entreprise fournies par un Responsable du traitement en Inde, que le Traitement ait lieu ou non en Inde.
- En ce qui concerne le Traitement des données à caractère personnel de personnes concernées qui sont soumises à la loi informatique et aux règles de confidentialité, les informations suivantes seront considérées comme des « Données à caractère personnel ou des Informations sensibles » :
- mot de passe;
- informations financières, telles que le compte bancaire, la carte bancaire ou de débit, ou d'autres informations sur le mode de paiement ;
- état de santé physique, physiologique et émotionnelle ;
- orientation sexuelle ;
- dossier et antécédents médicaux ;
- informations biométriques ;
- toute précision relative aux clauses ci-dessus fournies pour la fourniture du service ; et
- ensemble des informations reçues en vertu des clauses ci-dessus à des fins de Traitement, stockées ou traitées en vertu d'un contrat légal ou autre.
Pour tous les accords conclus avant le 20 juin 2024, reportez-vous au PDF ci-après : Accord de confidentialité des données Lyve en vigueur avant le 20 juin 2024
Pour tous les accords conclus avant le 22 décembre 2022, reportez-vous au PDF ci-après :Accord de confidentialité des données Lyve en vigueur avant le 22 décembre 2022
Pour tous les accords conclus avant le 20 janvier 2022, reportez-vous au PDF ci-après : Accord de confidentialité des données Lyve en vigueur avant le 20 janvier 2022
Pour tous les accords conclus avant le 14 octobre 2021, reportez-vous au PDF ci-après : Accord de confidentialité des données Lyve en vigueur avant le14 octobre 2021