Dernière modification: 8 août 2023 | Versions précédentes
Jibe et la contrepartie qui accepte le présent avenant ("Partenaire") ont conclu un contrat pour la fourniture des Services de traitement (modifié de temps en temps, le "Contrat").
Le présent Avenant sur le traitement des données (y compris les annexes, "Avenant sur le traitement des données") est conclu par Jibe et le Partenaire, et complète le Contrat. Le présent Avenant relatif au traitement des données entrera en vigueur et remplacera toutes les conditions précédemment applicables relatives à son objet (y compris les conditions relatives au traitement des données et à la sécurité concernant les Services du Sous-traitant) à compter de la Date d'entrée en vigueur des Conditions.
Si vous acceptez le présent Avenant relatif au traitement des données au nom du Partenaire, vous garantissez que: (a) vous disposez de la capacité juridique nécessaire pour engager le Partenaire à respecter l'Avenant, (b) vous avez lu et compris l'Avenant, et (c) vous l'acceptez au nom du Partenaire. Si vous ne disposez pas de l'autorité juridique pour engager le Partenaire, veuillez ne pas accepter cet Avenant sur le traitement des données.
1. Introduction
Cet Avenant relatif au traitement des données reflète l'accord des parties sur les conditions régissant le traitement et la sécurité de certaines données en lien avec la législation européenne sur la protection des données et la législation non européenne en matière de protection des données.
2. Définitions et interprétation
2.1 Dans cet Avenant relatif au traitement des données:
"Produit complémentaire" désigne un produit, un service ou une application fournis par Jibe ou un tiers qui: (a) ne fait pas partie des Services de sous-traitance ; et (b) est accessible et utilisable dans l'interface utilisateur des Services de sous-traitance ou est intégré aux Services de sous-traitance.
"Conditions supplémentaires liées à la législation non européenne sur la protection des données" désigne les conditions supplémentaires mentionnées dans l'Annexe 3, qui reflètent l'accord des parties sur les conditions régissant le traitement de certaines données dans le cadre de certaines législations non européennes en matière de protection des données.
"Pays approprié" désigne:
(a) pour les données traitées sujettes au RGPD de l'UE: l'EEE, ou un pays ou territoire reconnu comme assurant une protection des données adéquate en vertu du RGPD de l'UE ;
(b) pour les données traitées sujettes au RGPD du Royaume-Uni: le Royaume-Uni, ou un pays ou territoire reconnu comme assurant une protection des données adéquate en vertu du RGPD du Royaume-Uni et du Data Protection Act 2018 ; et/ou
(c) pour les données traitées soumises à la LPD suisse: la Suisse, ou un pays ou territoire (i) inclus dans la liste des États dont la législation assure un niveau de protection adéquat, publiée par le Préposé fédéral à la protection des données et à la transparence suisse, ou (ii) reconnu comme assurant une protection des données adéquate par le Conseil fédéral suisse en vertu de la LPD suisse, dans chaque cas, autre que sur la base d'un cadre de protection des données facultatif.
"Solution de transfert alternative" désigne une solution, autre que les CCT, qui permet le transfert légal de données à caractère personnel vers un pays tiers, conformément à la Législation européenne sur la protection des données, par exemple un cadre de protection des données reconnu comme garantissant que les entités locales participantes fournissent une protection adéquate.
"Incident lié aux données" : violation de la sécurité de Jibe entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données à caractère personnel du Partenaire sur des systèmes gérés ou contrôlés par Jibe. Les "Incidents liés aux données" n'incluent pas les tentatives infructueuses ni les activités ne mettant pas en jeu la sécurité des Données à caractère personnel du Partenaire, comme les tentatives de connexion non abouties, les pings, les analyses de port, les attaques par déni de service, ni les autres attaques réseau touchant les pare-feu ou les systèmes en réseau.
"Outil pour les personnes concernées" désigne un outil (le cas échéant) mis à la disposition des personnes concernées par une entité Jibe, qui permet à Jibe de répondre directement et de manière standardisée à certaines demandes de personnes concernées concernant les Données à caractère personnel du Partenaire (par exemple, les paramètres de la publicité en ligne ou un plug-in de navigateur de désactivation).
"EEE" désigne l'Espace économique européen.
"RGPD de l'UE" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
"Législation européenne sur la protection des données" désigne, selon le cas, (a) le RGPD et/ou (b) la LPD suisse.
"Législation européenne" signifie selon les cas: (a) la législation de l'UE ou d'un des pays membres de l'UE (si le RGPD de l'UE s'applique au traitement des Données à caractère personnel du Partenaire) ; et/ou (b) la législation du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données à caractère personnel du Partenaire).
RGPD désigne, selon le cas: (a) le RGPD de l'UE et/ou (b) le RGPD du Royaume-Uni.
Jibe désigne l'entité Jibe qui est partie au Contrat.
"Entité Jibe" désigne Jibe Mobile, Inc., Jibe Mobile Limited ou toute autre entité qui contrôle directement ou indirectement, est contrôlée par ou est placée sous le même contrôle que Jibe Mobile, Inc.
"Certification ISO 27001" : certification ISO/IEC 27001:2013 ou certification comparable pour les Services de traitement.
Nouveau sous-traitant : concept défini dans la Section 11.1 (Autorisation d'engagement de sous-traitants indirects).
Législation non européenne sur la protection des données : législation sur la protection des données ou la confidentialité en vigueur en dehors de l'EEE, du Royaume-Uni et de la Suisse.
"Adresse e-mail de notification" désigne l'adresse e-mail (le cas échéant): (i) fournie par le Partenaire à Jibe ou (ii) désignée par le Partenaire, via l'interface utilisateur des Services du Traitement, ou par tout autre moyen fourni par Jibe, pour recevoir certaines notifications de Jibe concernant le présent Avenant sur le Traitement des Données. Pour plus de clarté, il incombe au Partenaire de fournir à Jibe une Adresse e-mail de notification et de l'informer de toute modification de cette adresse.
"Données à caractère personnel du Partenaire" désigne les données à caractère personnel traitées par Jibe pour le compte du Partenaire dans le cadre de la fourniture des Services de sous-traitance par Jibe.
"CCT partenaires" désigne les CCT (responsable du traitement à sous-traitant), les CCT (sous-traitant à responsable du traitement) et/ou les CCT (sous-traitant à sous-traitant), le cas échéant.
"Services de traitement" : services RCS Business Messaging (tels que décrits sur la page developers.google.com/business-communications/rcs-business-messaging).
"CCT" désigne les CCT partenaires et/ou les CCT (sous-traitant à sous-traitant, exportateur Jibe), le cas échéant.
"CCT (Responsable du traitement à sous-traitant)" désigne les conditions disponibles à l'adresse business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"CCT (sous-traitant à responsable du traitement)" désigne les conditions disponibles à l'adresse business.safety.google/gdprprocessorterms/sccs/p2c.
"CCT (sous-traitant à sous-traitant)" désigne les conditions disponibles à l'adresse business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"CCT (sous-traitant à sous-traitant, exportateur Jibe)" désigne les conditions disponibles à l'adresse business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
La Documentation de sécurité désigne la certification ISO 27001 et toute autre certification ou documentation de sécurité que Jibe peut mettre à disposition en lien avec les Services de traitement.
Mesures de sécurité : concept défini dans la Section 7.1.1 (Mesures de sécurité de Jibe).
"Sous-traitants" : tiers autorisés en vertu du présent Avenant sur le traitement des données à avoir un accès logique aux Données à caractère personnel du Partenaire et à les traiter afin de fournir une partie des Services du Traiteur et toute assistance technique associée.
"Autorité de contrôle" désigne, selon le cas: (a) une "autorité de contrôle" telle que définie dans le RGPD de l'UE ; et/ou (b) le "Commissaire" tel que défini dans le RGPD du Royaume-Uni et/ou la LPD suisse.
LPD suisse désigne la loi fédérale (suisse) sur la protection des données du 19 juin 1992.
Période de validité : période allant de la Date d'entrée en vigueur des Conditions jusqu'à la fin de la fourniture par Jibe des Services de traitement en vertu de l'Accord.
"Date d'entrée en vigueur des Conditions" désigne la date d'entrée en vigueur du Contrat.
RGPD du Royaume-Uni désigne le RGPD de l'UE tel qu'amendé et incorporé dans la législation du Royaume-Uni en application de la loi sur le retrait de l'Union européenne (European Union Withdrawal Act) de 2018, ainsi que la législation secondaire applicable conformément à cette loi.
2.2 Les termes "responsable du traitement", "personne concernée", "données à caractère personnel", "traitement" et "sous-traitant" utilisés dans le présent Avenant sur le Traitement des Données ont la signification donnée dans le RGPD, et les termes "importateur de données" et "exportateur de données" ont la signification donnée dans les CCT applicables.
2.3 Les termes inclure et y compris signifient "y compris, mais sans s'y limiter". Les exemples utilisés dans cet avenant relatif au traitement des données ne sont donnés qu'à titre illustratif et ne constituent pas les seuls exemples d'un concept donné.
2.4 Toute référence à un cadre juridique, une loi ou un autre texte législatif est une référence à sa version en vigueur, susceptible de faire l'objet de modifications de temps en temps.
2.5 En cas de divergences entre la traduction du présent Avenant relatif au traitement des données et la version originale en anglais, la version en anglais prévaudra.
3. Durée de cet avenant sur le traitement des données
Le présent Avenant sur le traitement des données s'appliquera à partir de la Date d'entrée en vigueur des Conditions et, que la Période de validité ait expiré ou non, restera en vigueur jusqu'à (et expirera automatiquement à) la suppression par Jibe de toutes les Données à caractère personnel du Partenaire, comme décrit dans le présent Avenant sur le traitement des données.
4. Application de cet avenant relatif au traitement des données
4.1 Application de la législation européenne sur la protection des données Les sections 5 (Traitement des données) à 12 (Contacter Jibe ; Traiter les enregistrements) (inclusives) ne s'appliqueront que dans la mesure où la Législation européenne sur la protection des données s'applique au traitement des Données à caractère personnel du Partenaire, y compris si:
(a) le traitement des données s'effectue dans le cadre des activités d'un établissement du Partenaire dans l'EEE ou au Royaume-Uni ; et/ou
(b) Les Données à caractère personnel du Partenaire sont des données à caractère personnel en lien avec des personnes concernées qui se trouvent dans l'EEE ou au Royaume-Uni, et le traitement concerne la fourniture de biens ou de services à ces personnes dans l'EEE ou la surveillance de leur comportement dans l'EEE ou au Royaume-Uni.
4.2 Application aux services des sous-traitants. Le présent Avenant relatif au traitement des données ne s'applique qu'aux Services de traitement des données pour lesquels les parties ont accepté le présent Avenant relatif au traitement des données (par exemple: (a) les Services de traitement des données pour lesquels le Partenaire a cliqué pour accepter le présent Avenant relatif au traitement des données ; ou (b) si l'Accord intègre le présent Avenant relatif au traitement des données par référence, les Services de traitement des données faisant l'objet de l'Accord).
4.3 Incorporation des conditions supplémentaires liées à la législation non européenne en matière de protection des données Les Conditions supplémentaires liées à la législation non européenne sur la protection des données s'ajoutent à cet Avenant relatif au traitement des données.
5. Traitement des données
5.1 Rôles et conformité vis-à-vis des réglementations ; Autorisation.
5.1.1 Responsabilités du sous-traitant et du responsable du traitement. Les parties reconnaissent et conviennent de ce qui suit:
(a) L'Annexe 1 décrit l'objet et les détails du traitement des Données à caractère personnel du Partenaire.
(b) Jibe est un sous-traitant des Données à caractère personnel du Partenaire en vertu de la Législation européenne sur la protection des données.
(c) Le Partenaire est un responsable du traitement ou un sous-traitant, selon le cas, des Données à caractère personnel du Partenaire conformément à la Législation européenne sur la protection des données.
(d) Chaque partie respecte les obligations applicables en vertu de la Législation européenne relative à la protection des données pour le traitement des Données à caractère personnel du Partenaire.
5.1.2 Partenaires de traitement. Si le Partenaire est un sous-traitant:
(a) Le Partenaire garantit de façon continue que le responsable du traitement compétent a autorisé (i) les instructions, (ii) la nomination par le Partenaire de Jibe en tant qu'autre sous-traitant et (iii) l'engagement par Jibe de sous-traitants, comme décrit dans la Section 11 (Sous-traitants).
(b) Le Partenaire transmettra immédiatement au responsable du traitement concerné toute notification fournie par Jibe en vertu des Sections 5.4 (Notifications d'instructions), 7.2.1 (Notification d'incident), 11.4 (Possibilité d'objecter aux modifications apportées au sous-traitant) ou qui fait référence à des CCT ; et
(c) Le Partenaire peut mettre à la disposition du responsable du traitement concerné toute information fournie par Jibe en vertu des sections 7.4 (Certification de sécurité), 10.5 (Informations sur le centre de données) et 11.2 (Informations sur les sous-traitants).
5.2 Instructions du Partenaire En concluant le présent Avenant relatif au traitement des données, le Partenaire demande à Jibe de traiter ses Données à caractère personnel uniquement conformément à la loi applicable: (a) pour fournir les Services de sous-traitance et toute assistance technique associée ; (b) tel que précisé plus en détail par l'utilisation par le Partenaire des Services de sous-traitance (y compris dans les paramètres et autres fonctionnalités des Services de sous-traitance) et toute assistance technique associée ; (c) tel que documenté dans la forme du Contrat, y compris le présent Avenant relatif au traitement des données ; et (d) tel que documenté dans toute autre instruction écrite donnée par le Partenaire et reconnue par Jibe comme constituant des instructions aux fins du présent Avenant relatif au traitement des données (collectivement, les "Instructions").
5.3 Respect des instructions par Jibe. Jibe se conformera aux Instructions, sauf si la Législation européenne l'interdit.
5.4 Notifications d'instructions. Jibe informera immédiatement le Partenaire si, selon son avis: (a) la Législation européenne interdit à Jibe de se conformer à une Instruction ; (b) une Instruction ne respecte pas la Législation européenne sur la protection des données ; ou (c) Jibe est dans l'impossibilité de se conformer à une Instruction, sauf si cette notification est interdite par la Législation européenne. La présente Section 5.4 (Notifications d'instructions) ne réduit pas les autres droits et obligations des parties prévus dans l'Accord.
5.5 Produits complémentaires. Si le Partenaire utilise un Produit supplémentaire, les Services de sous-traitance peuvent permettre à ce Produit supplémentaire d'accéder aux Données à caractère personnel du Partenaire comme le requiert l'interopérabilité de ce Produit supplémentaire avec les Services de sous-traitance. Si nécessaire, les parties concluront des conditions de traitement des données distinctes pour définir la manière dont le Produit supplémentaire traitera les Données à caractère personnel du Partenaire.
6. Suppression des données
6.1 Suppression pendant la Durée.
6.1.1 Services de sous-traitance avec fonctionnalité de suppression. Pendant la Durée, si:
(a) la fonctionnalité des Services de sous-traitance inclut la possibilité pour le Partenaire de supprimer les Données à caractère personnel du Partenaire ;
(b) le Partenaire utilise les Services de sous-traitance pour supprimer certaines de ses Données à caractère personnel ; et
(c) Les Données à caractère personnel du Partenaire supprimées ne peuvent pas être récupérées par le Partenaire (par exemple, depuis la corbeille), alors Jibe supprimera lesdites Données à caractère personnel du Partenaire de ses systèmes dès que raisonnablement possible, sauf si la Législation européenne exige la conservation de ces données.
6.1.2 Services de sous-traitance sans fonctionnalité de suppression. Pendant la Durée, si la fonctionnalité des Services de sous-traitance n'inclut pas l'option permettant au Partenaire de supprimer ses Données à caractère personnel, Jibe se conformera à toute demande raisonnable du Partenaire visant à faciliter cette suppression, dans la mesure du possible, compte tenu de la nature et de la fonctionnalité des Services de sous-traitance, et sauf si la Législation européenne exige le stockage. Jibe peut facturer des frais (sur la base des coûts raisonnables de Jibe) pour toute suppression de données en vertu de la présente Section 6.1.2 (Services de traitement sans fonctionnalité de suppression). Jibe fournira au Partenaire des informations supplémentaires sur les frais applicables et la base de leur calcul avant toute suppression de données.
6.2 Suppression à l'expiration de la Durée. À l'expiration de la Période de validité, le Partenaire demande à Jibe de supprimer toutes ses Données à caractère personnel (y compris les copies existantes) des systèmes de Jibe, conformément à la législation applicable. Jibe s'engage à respecter cette instruction dès que raisonnablement possible, sauf si la législation européenne exige le stockage.
7. Sécurité des données
7.1 Mesures et assistance de Jibe en termes de sécurité.
7.1.1 Mesures de sécurité de Jibe. Jibe s'engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles visant à protéger les Données à caractère personnel du Partenaire contre toute destruction accidentelle ou illégale, perte, altération, divulgation ou accès non autorisés, comme décrit dans l'Annexe 2 (les "Mesures de sécurité"). Comme décrit dans l'annexe 2, les mesures de sécurité incluent les mesures suivantes: (a) chiffrer les données à caractère personnel ; (b) contribuer à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de Jibe ; (c) contribuer à rétablir rapidement l'accès aux données à caractère personnel après un incident ; et (d) tester régulièrement leur efficacité. Jibe peut mettre à jour ou modifier les Mesures de sécurité de temps en temps, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.
7.1.2 Accès et conformité. Jibe (a) autorisera ses employés, sous-traitants et sous-traitants de sous-traitance à accéder aux Données à caractère personnel du Partenaire uniquement dans la mesure strictement nécessaire pour respecter les Instructions ; (b) prendra les mesures appropriées pour s'assurer que ses employés, sous-traitants et sous-traitants de sous-traitance respectent les Mesures de sécurité dans la mesure applicable à leur champ d'application ; et (c) s'assurera que toutes les personnes autorisées à traiter les Données à caractère personnel du Partenaire se sont engagées à respecter leur confidentialité ou sont tenues d'observer des obligations statutaires de confidentialité appropriées.
7.1.3 Assistance de Jibe en matière de sécurité. En tenant compte de la nature du traitement des Données à caractère personnel du Partenaire et des informations dont dispose Jibe, Jibe aidera le Partenaire à se conformer à ses obligations (ou, si le Partenaire est un sous-traitant, celles du responsable du traitement concerné) concernant la sécurité des données à caractère personnel et les violations de données à caractère personnel, y compris les obligations du Partenaire (ou, si le Partenaire est un sous-traitant, celles du responsable du traitement concerné) en vertu des articles 32 à 34 (inclus) du RGPD, en procédant comme suit:
(a) en mettant en œuvre et en garantissant les Mesures de sécurité conformément à la Section 7.1.1 (Mesures de sécurité de Jibe) ;
(b) en respectant les conditions de la Section 7.2 (Incidents relatifs aux données) ; et
(c) Fournir au Partenaire la Documentation relative à la sécurité conformément à la Section 7.5.1 (Examen de la Documentation relative à la sécurité) et les informations contenues dans cet Avenant relatif au traitement des données.
7.2 Incidents relatifs aux données
7.2.1 Notification d'incident. Si Jibe a connaissance d'un Incident lié aux données, il s'engage à: (a) informer rapidement et sans délai le Partenaire de l'Incident lié aux données ; et (b) prendre rapidement des mesures raisonnables afin de minimiser les dommages et de sécuriser les Données à caractère personnel du Partenaire.
7.2.2 Détails concernant l'Incident relatif aux données. Les notifications effectuées en vertu de la section 7.2.1 (Notification d'incident) décrivent: la nature de l'Incident relatif aux données, y compris les ressources du Partenaire concernées ; les mesures que Jibe a prises ou prévoit de prendre pour gérer l'Incident relatif aux données et atténuer son risque potentiel ; les mesures, le cas échéant, que Jibe recommande au Partenaire de prendre pour gérer l'Incident relatif aux données ; et les coordonnées d'un point de contact permettant d'obtenir plus d'informations. Si toutes ces informations ne peuvent pas être fournies en même temps, la notification initiale de Jibe contiendra les informations disponibles à ce moment-là et d'autres informations seront fournies sans retard dès qu'elles seront disponibles.
7.2.3 Envoi de la notification. Jibe enverra sa notification d'Incident lié aux données à l'Adresse e-mail de notification ou, à la discrétion de Jibe (y compris si le Partenaire n'a pas fourni d'Adresse e-mail de notification), par une autre communication directe (par exemple, par téléphone ou en personne lors d'un rendez-vous). Il est de la responsabilité exclusive du Partenaire de fournir l'Adresse e-mail de notification et de s'assurer qu'elle est à jour et valide.
7.2.4 Notifications tierces. Il est de la responsabilité exclusive du Partenaire de respecter les lois applicables en termes de notification des incidents et de se conformer aux obligations de notification des tiers en cas d'éventuels Incidents liés aux données.
7.2.5 Absence de reconnaissance de tort par Jibe. La notification par Jibe d'un Incident relatif aux données ou sa réponse à un tel incident conformément à la présente Section 7.2 (Incidents relatifs aux données) ne saurait être interprétée comme une reconnaissance de tort ou de culpabilité par Jibe en lien avec l'Incident relatif aux données.
7.3 Responsabilités du Partenaire en matière de sécurité et évaluation de la sécurité.
7.3.1 Responsabilités du Partenaire en matière de sécurité. Le Partenaire accepte que, sans préjudice des obligations de Jibe décrites dans les sections 7.1 (Mesures et assistance de Jibe en termes de sécurité) et 7.2 (Incidents liés aux données):
(a) Le Partenaire est responsable de son utilisation des Services de traitement, y compris:
(i) d'utiliser les Services de sous-traitance de manière appropriée pour garantir un niveau de sécurité adapté au risque encouru par les Données à caractère personnel du Partenaire ; et
ii) de sécuriser les identifiants d'authentification du compte, les systèmes et les appareils que le Partenaire utilise pour accéder aux Services de sous-traitance ;
(b) Jibe n'est pas tenu de protéger les Données à caractère personnel du Partenaire que le Partenaire choisit de stocker ou de transférer en dehors des systèmes de Jibe et de ses sous-traitants.
7.3.2 Évaluation de la sécurité par le Partenaire. Le Partenaire reconnaît que les Mesures de sécurité mises en œuvre et gérées par Jibe, comme décrit dans la Section 7.1.1 (Mesures de sécurité de Jibe), fournissent un niveau de sécurité adapté au risque encouru par les Données à caractère personnel du Partenaire, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement des Données à caractère personnel du Partenaire, de l'état de l'art, des coûts d'implémentation et des risques pour les personnes physiques.
7.4 Certification de sécurité. Pour évaluer et garantir l'efficacité continue des Mesures de sécurité, Jibe conservera la certification ISO 27001 ou d'autres mesures appropriées pour démontrer l'efficacité des Mesures de sécurité.
7.5 Examens et audits de conformité.
7.5.1 Examen de la Documentation relative à la sécurité. Pour démontrer que Jibe respecte ses obligations en vertu de cet avenant relatif au traitement des données, Jibe mettra la documentation de sécurité à la disposition du Partenaire pour examen.
7.5.2 Droits d'audit du Partenaire.
(a) Jibe autorisera le Partenaire ou un auditeur tiers désigné par le Partenaire à effectuer des audits (y compris des inspections) pour vérifier que Jibe respecte ses obligations en vertu du présent Avenant sur le traitement des données, conformément à la Section 7.5.3 (Conditions commerciales supplémentaires pour les audits). Lors des audits, Jibe mettra à disposition toutes les informations nécessaires pour prouver la conformité et participera aux audits comme décrit dans la Section 7.4 (Certification de sécurité) et la présente Section 7.5 (Examens et audits de conformité).
(b) Si les CCT s'appliquent en vertu de la Section 10.2 (Transferts limités en Europe), Jibe autorisera le Partenaire (ou un vérificateur tiers désigné par le Partenaire) à effectuer des audits comme décrit dans les CCT applicables et, lors de ces audits, mettra à disposition toutes les informations requises par ces CCT, chacune conformément à la Section 7.5.3 (Conditions commerciales supplémentaires pour les audits).
(c) Le Partenaire peut également effectuer un audit pour vérifier que Jibe respecte ses obligations en vertu du présent Avenant sur le traitement des données en examinant tout certificat émis à Jibe par un ou plusieurs vérificateurs tiers (par exemple, une certification ISO 27001, le cas échéant).
7.5.3 Conditions supplémentaires pour les audits.
(a) Le Partenaire enverra toute demande d'audit en vertu des Sections 7.5.2(a) ou 7.5.2(b) à Jibe, comme décrit à la Section 12.1 (Contacter Jibe).
(b) Suivant la réception par Jibe d'une demande en vertu de la Section 7.5.3(a), Jibe et le Partenaire discuteront et conviendront à l'avance de la date de début, de la portée et de la durée raisonnables de tout audit en vertu de la Section 7.5.2(a) ou 7.5.2(b), ainsi que des contrôles de sécurité et de confidentialité applicables.
(c) Jibe peut facturer des frais (basés sur des coûts raisonnables de Jibe) pour tout audit en vertu de la Section 7.5.2(a) ou 7.5.2(b). Jibe fournira au Partenaire des informations supplémentaires sur les frais applicables et la base de leur calcul avant tout audit. Le Partenaire est responsable des frais facturés par tout vérificateur tiers qu'il a nommé pour effectuer l'audit.
(d) Jibe peut s'opposer à tout auditeur tiers désigné par le Partenaire pour effectuer un audit en vertu de la Section 7.5.2(a) ou 7.5.2(b) si, selon l'opinion raisonnable de Jibe, l'auditeur n'est pas suffisamment qualifié ou indépendant, est un concurrent de Jibe ou est manifestement inapproprié. Dans le cas d'une telle objection par Jibe, le Partenaire doit nommer un autre auditeur ou effectuer l'audit lui-même.
(e) Aucune disposition du présent Avenant sur le traitement des données n'impose à Jibe de divulguer les données suivantes au Partenaire ou à son vérificateur tiers, ni d'autoriser le Partenaire ou son vérificateur tiers à y accéder:
(i) Toute donnée de tout autre partenaire ou client d'une Entité Jibe ;
(ii) Toute information comptable ou financière interne de toute Entité Jibe ;
(iii) tout secret commercial d'une Entité Jibe ;
(iv) toute information qui, selon l'avis raisonnable de Jibe, pourrait: (A) compromettre la sécurité des systèmes ou des locaux de toute entité Jibe ; ou (B) entraîner la violation par une entité Jibe de ses obligations en vertu de la législation européenne sur la protection des données ou de ses obligations de sécurité et/ou de confidentialité envers le Partenaire ou tout tiers ; ou
(v) Toute information à laquelle le Partenaire ou son vérificateur tiers cherche à accéder pour toute raison autre que de satisfaire en toute bonne foi aux obligations du Partenaire en vertu de la Législation européenne sur la protection des données
8. Évaluations d'impact et consultations
En tenant compte de la nature du traitement et des informations dont dispose Jibe, Jibe aidera le Partenaire à se conformer à ses obligations (ou, si le Partenaire est un sous-traitant, celles du responsable du traitement concerné) concernant les évaluations d'impact sur la protection des données et les consultations préalables, y compris (le cas échéant) les obligations du Partenaire ou du responsable du traitement concerné en vertu des articles 35 et 36 du RGPD, en procédant comme suit:
(a) la mise à disposition de la Documentation sur la sécurité conformément à la Section 7.5.1 (Examen de la Documentation sur la sécurité) ;
(b) la mise à disposition des informations contenues dans cet Avenant relatif au traitement des données ; et
(c) la mise à disposition, conformément aux pratiques standards de Jibe, d'autres documents concernant la nature des Services de sous-traitance et le traitement des Données à caractère personnel du Partenaire (par exemple, les contenus du centre d'aide).
9. Droits des personnes concernées
9.1 Réponses aux demandes des personnes concernées. Si Jibe reçoit une demande d'une personne concernée par les Données à caractère personnel du Partenaire, le Partenaire autorise Jibe (qui notifiera le Partenaire) à:
(a) répondre directement à la demande de la personne concernée conformément à la fonctionnalité standard de l'Outil pour les personnes concernées (si la demande est effectuée via un Outil pour les personnes concernées) ; ou
(b) conseiller à la personne concernée d'envoyer sa demande au Partenaire, lequel sera tenu d'y répondre (si elle n'est pas envoyée par l'intermédiaire d'un Outil pour les personnes concernées).
9.2 Assistance de Jibe pour traiter les demandes des personnes concernées. Jibe aidera le Partenaire (ou, si le Partenaire est un sous-traitant, le Responsable du traitement concerné) à remplir ses obligations en vertu du RGPD pour répondre aux demandes d'exercice des droits des personnes concernées, en tenant compte en tout état de cause de la nature du traitement des Données à caractère personnel du Partenaire et, le cas échéant, de l'article 11 du RGPD, y compris (le cas échéant):
(a) en fournissant les fonctionnalités des Services de sous-traitance ;
(b) en respectant les engagements de la Section 9.1 (Réponses aux demandes des personnes concernées) ; et
(c) le cas échéant, en mettant à disposition des Outils pour les personnes concernées.
9.3 Rectification. Si le Partenaire constate que certaines de ses Données à caractère personnel sont inexactes ou obsolètes, il est tenu de les rectifier ou de les supprimer si la Législation européenne relative à la protection des données l'exige, y compris (le cas échéant) à l'aide de la fonctionnalité des Services de sous-traitant.
10. Transferts de données
10.1 Stockage des données et installations de traitement. Conformément au reste de la Section 10 (Transferts de données), Jibe peut traiter les Données à caractère personnel du Partenaire dans n'importe quel pays où Jibe ou l'un de ses Sous-traitants indirects dispose d'installations.
10.2 Transferts limités en Europe. Les parties reconnaissent que la Législation européenne sur la protection des données n'exige pas les CCT ni une Solution de transfert alternative pour traiter les Données à caractère personnel du Partenaire dans un Pays approprié ou les y transférer.
Si les Données à caractère personnel du Partenaire sont transférées vers un autre pays et que la Législation européenne sur la protection des données s'applique à ces transferts ("Transfert limité en Europe"), alors:
(a) Si Jibe adopte une Solution de transfert alternative pour les Transferts limités en Europe, Jibe informera le Partenaire de la solution appropriée et s'assurera que ces Transferts limités en Europe sont effectués conformément à cette solution ; et/ou
(b) Si Jibe n'a pas adopté ou a informé le Partenaire qu'il n'en adopterait plus une Solution de transfert alternative pour les Transferts limités en Europe, les dispositions suivantes s'appliquent:
(i) Si l'adresse de Jibe se trouve dans un pays approprié:
(A) Les CCT (sous-traitant à sous-traitant, exportateur Jibe) s'appliqueront à ces transferts limités en Europe de Jibe vers les sous-traitants ;
(B) En outre, si l'adresse du Partenaire ne se trouve pas dans un pays adéquat, les CCT (sous-traitant-responsable du traitement) s'appliquent aux transferts européens soumis à des restrictions entre Jibe et le Partenaire (que le Partenaire soit un responsable du traitement et/ou un sous-traitant) ; ou
(ii) Si l'adresse de Jibe ne se trouve pas dans un pays approprié:
les CCT (Responsable du traitement à sous-traitant) et/ou les CCT (Sous-traitant à sous-traitant) s'appliqueront (selon que le Partenaire est un responsable du traitement et/ou un sous-traitant) aux Transferts limités en Europe entre le Partenaire et Jibe ;
(c) Les références à Google LLC ou à Google et à Vous dans l'une des CCT désigneront respectivement Jibe et le Partenaire.
10.3 Mesures et informations supplémentaires. Jibe fournira au Partenaire des informations pertinentes sur les transferts européens limités, y compris des informations sur les mesures supplémentaires visant à protéger les données à caractère personnel du Partenaire, comme décrit dans la section 7.5.1 (Examens de la documentation de sécurité), l'annexe 2 (Mesures de sécurité) et d'autres documents concernant la nature des Services de sous-traitant et le traitement des données à caractère personnel du Partenaire (par exemple, des articles du centre d'aide).
10.4 Cessation. Si le Partenaire conclut, en fonction de son utilisation actuelle ou prévue des Services de sous-traitance, que la Solution de transfert alternative et/ou les CCT, le cas échéant, ne fournissent pas de garanties appropriées pour ses Données à caractère personnel, il peut résilier immédiatement le Contrat pour commodité en en informant Jibe par écrit.
10.5 Informations sur les centres de données. Des informations sur les emplacements des centres de données Google LLC sont disponibles sur la page www.google.com/about/datacenters/locations/index.html.
11. Sous-traitants indirects
11.1 Autorisation d'engagement de Sous-traitants indirects. Le Partenaire autorise spécifiquement l'engagement des Sous-traitants listés à la Section 11.2 (Informations sur les Sous-traitants) à compter de la Date d'entrée en vigueur des Conditions. De plus, le Partenaire autorise généralement l'engagement d'autres tiers en tant que Sous-traitants ("Nouveaux Sous-traitants"), sous réserve de la Section 11.4 (Possibilité de s'opposer à un changement de Sous-traitant).
11.2 Informations sur les Sous-traitants indirects. À la demande écrite du Partenaire, Jibe fournira des informations sur les Sous-traitants indirects et leurs emplacements. Toute demande de ce type doit être envoyée à Jibe à l'aide des coordonnées indiquées dans la section 12.1 (Contacter Jibe).
11.3 Conditions requises pour l'engagement de Sous-traitants indirects. Lors de l'engagement d'un Sous-traitant indirect, Jibe doit:
(a) s'assurer par un contrat écrit que:
(i) Le Sous-traitant n'accède aux Données à caractère personnel du Partenaire et ne les utilise que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées, et ce, conformément au Contrat (y compris le présent Avenant sur le traitement des données) ;
(ii) Si le traitement des Données à caractère personnel du Partenaire est soumis à la Législation européenne sur la protection des données, les obligations en matière de protection des données de cet Avenant sur le traitement des données (comme indiqué à l'article 28(3) du RGPD, le cas échéant) s'imposent au Sous-traitant indirect ; et
(b) demeure entièrement responsable de toutes les obligations sous-traitées au Sous-traitant indirect, et de l'ensemble des actes et des manquements de ce dernier.
11.4 Possibilité de s'opposer à un changement de Sous-traitant indirect.
(a) Si un nouveau Sous-traitant indirect est engagé au cours de la Période de validité, au moins 30 jours avant que le nouveau Sous-traitant indirect ne traite des Données à caractère personnel du Partenaire, Jibe informe le Partenaire de cet engagement (y compris le nom et l'emplacement du sous-traitant indirect concerné, ainsi que les activités qu'il effectuera) en lui envoyant un e-mail à l'adresse e-mail de notification.
(b) Le Partenaire peut s'opposer à tout nouveau sous-traitant en résiliant le Contrat pour convenance immédiatement après avoir envoyé un avis écrit à Jibe, à condition que le Partenaire envoie cet avis dans les 90 jours suivant sa notification de l'engagement du nouveau sous-traitant, comme décrit dans la section 11.4(a).
12. Contacter Jibe ; Traiter les enregistrements
12.1 Contacter Jibe Lorsqu'il exerce ses droits en vertu de cet Avenant relatif au traitement des données, le Partenaire peut contacter Jibe via le contact de Jibe chargé de la protection des données RCS, accessible via issuetracker.google.com ou par tout autre moyen que Jibe est susceptible de proposer.
12.2 Enregistrement des informations de traitement par Jibe. Jibe conservera la documentation appropriée de ses activités de traitement, comme l'exige le RGPD. Le Partenaire reconnaît que, conformément au RGPD, Jibe est tenu de: (a) collecter et conserver des registres de certaines informations, y compris: (i) le nom et les coordonnées de chaque sous-traitant et/ou responsable du traitement pour le compte duquel Jibe agit et (le cas échéant) du représentant local et du délégué à la protection des données de ce sous-traitant ou de ce responsable du traitement, et (ii) le cas échéant, conformément aux clauses contractuelles types applicables, l'autorité de contrôle du Partenaire ; et (b) mettre ces informations à la disposition de toute autorité de contrôle. En conséquence, sur demande et le cas échéant, le Partenaire fournira ces informations à Jibe via l'interface utilisateur des services du Traitement ou par tout autre moyen que Jibe est susceptible de proposer dans ce but. Il utilisera cette interface utilisateur ou tout autre moyen pour s'assurer que toutes les informations fournies sont exactes et à jour.
12.3 Demandes du contrôleur. Si Jibe reçoit une demande ou une instruction d'un tiers prétendant être le responsable du traitement des Données à caractère personnel du Partenaire, Jibe conseillera au tiers de contacter le Partenaire.
13. Responsabilité
Si le Contrat est régi par les lois:
(a) un État des États-Unis d'Amérique, alors, quelle que soit toute autre disposition du Contrat, la responsabilité totale de l'une des parties envers l'autre partie en vertu du présent Avenant de traitement des données ou en relation avec celui-ci sera limitée au montant monétaire ou de paiement maximal limitant la responsabilité de cette partie en vertu du Contrat (et, par conséquent, toute exclusion de demandes de confidentialité ou d'indemnisation de la limitation de responsabilité du Contrat ne s'appliquera pas aux demandes en vertu du Contrat liées à la législation européenne sur la protection des données ou à la législation non européenne sur la protection des données) ; ou
(b) d'une juridiction qui n'est pas un État des États-Unis, alors la responsabilité totale combinée des parties et de leurs affiliés en vertu de cet Avenant relatif au traitement des données ou en relation avec celui-ci sera soumise à l'Accord.
14. Effet de cet avenant sur le traitement des données
14.1 Ordre de priorité. En cas de conflit ou d'incohérence entre les CCT, les Conditions supplémentaires liées à la législation non européenne en matière de protection des données, le présent Avenant relatif au traitement des données et le reste de l'Accord, l'ordre de priorité suivant s'appliquera:
(a) les CCT ;
(b) les Conditions supplémentaires liées à la législation non européenne sur la protection des données ;
(c) le reste de cet Avenant relatif au traitement des données ; et
(d) le reste du Contrat.
Sous réserve des modifications apportées par le présent Avenant sur le traitement des données, le Contrat reste en vigueur.
14.2 Non-modification des CCT. Aucune disposition de l'Accord (y compris l'Avenant relatif au traitement des données) n'a pour but de modifier ou de contredire les CCT, ni de réduire les droits fondamentaux ou les libertés des personnes concernées par la Législation européenne sur la protection des données.
14.3 Aucune incidence sur les Conditions du Responsable du traitement. Le présent Avenant sur le traitement des données n'affectera aucun terme distinct entre Jibe et le Partenaire reflétant une relation de contrôleur à contrôleur pour un service autre que les Services du Traitement
14.4 Anciennes CCT au Royaume-Uni. À compter du 21 septembre 2022 ou de la date d'entrée en vigueur du Contrat, la date la plus tardive étant retenue, les conditions supplémentaires des CGU pour le transfert en vertu du RGPD du Royaume-Uni s'appliqueront et remplaceront et résilieront toutes les clauses contractuelles standards approuvées en vertu du RGPD du Royaume-Uni et du Data Protection Act 2018 et précédemment conclues par le Partenaire et Jibe ("anciennes CGU du Royaume-Uni"). La présente section 14.4 (anciennes clauses contractuelles types du Responsable du traitement au Royaume-Uni) n'affecte en aucun cas les droits de l'une ou l'autre des parties, ni ceux de toute personne concernée, qui auraient pu naître en vertu des anciennes clauses contractuelles types du Responsable du traitement au Royaume-Uni lorsqu'elles étaient en vigueur.
15. Modifications apportées à cet Avenant relatif au traitement des données
15.1 Modifications des URL. Jibe peut modifier de temps en temps toute URL référencée dans cet Avenant relatif au traitement des données et le contenu de ces URL, sauf que Jibe ne peut modifier les CCT que conformément aux sections 15.2(b) à 15.2(d) (Modifications de l'Avenant relatif au traitement des données) ou pour intégrer toute nouvelle version des CCT qui peut être adoptée en vertu de la Législation européenne sur la protection des données, dans chaque cas de manière à ne pas affecter la validité des CCT en vertu de la Législation européenne sur la protection des données.
15.2 Modifications apportées à l'Avenant relatif au traitement des données. Jibe peut modifier cet Avenant relatif au traitement des données si la modification:
(a) est expressément autorisé par le présent Avenant relatif au traitement des données, y compris comme décrit à la Section 15.1 (Modifications apportées aux URL) ;
(b) reflète une modification du nom ou de la forme d'une entité juridique ;
(c) est nécessaire pour se conformer au droit applicable, à la réglementation applicable, à une ordonnance du tribunal ou à une directive émise par un organisme de réglementation ou une administration gouvernementale, ou si elle reflète l'adoption par Jibe d'une solution de transfert alternative ; ou
(d) ne (i) n'entraîne pas une dégradation de la sécurité globale des Services du sous-traitant ; (ii) n'étend pas le champ d'application ni ne lève aucune restriction sur : (x) dans le cas des Conditions supplémentaires pour la législation non européenne sur la protection des données, les droits de Jibe d'utiliser ou de traiter les données couvertes par les Conditions supplémentaires pour la législation non européenne sur la protection des données ou (y) dans le cas du reste du présent Avenant relatif au traitement des données, le traitement par Jibe des Données à caractère personnel du Partenaire, comme décrit à la Section 5.3 (Conformité de Jibe avec les instructions) ; et (iii) n'a pas d'impact négatif significatif sur les droits du Partenaire en vertu du présent Avenant relatif au traitement des données, comme raisonnablement déterminé par Jibe.
15.3 Notification de modifications. Si Jibe a l'intention de modifier le présent Avenant sur le traitement des données en vertu de la section 15.2(c) ou (d), Jibe en informera le Partenaire au moins 30 jours (ou toute période plus courte pouvant être requise pour se conformer à la loi applicable, à la réglementation applicable, à une ordonnance de tribunal ou aux consignes émises par un organisme ou une autorité gouvernementale) avant que le changement ne prenne effet en : (a) envoyant un e-mail à l'Adresse e-mail de notification ; ou (b) alertant le Partenaire via l'interface utilisateur des Services du Traitement. Si le Partenaire s'oppose à une telle modification, il peut résilier le Contrat pour commodité en envoyant un avis écrit à Jibe dans les 90 jours suivant la notification de la modification par Jibe.
Annexe 1 : Objet et détails relatifs au traitement des données
Objet
Fourniture par Jibe des Services de sous-traitance et de toute assistance technique associée au Partenaire.
Durée du traitement
La Période de validité, plus la période allant de la fin de la Période de validité à la suppression de toutes les Données à caractère personnel du Partenaire par Jibe conformément au présent Avenant sur le traitement des données.
Nature et finalité du traitement
Jibe traitera les Données à caractère personnel du Partenaire, y compris (le cas échéant, en fonction de la nature des Services du sous-traitant et des Instructions) la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la modification, la récupération, l'utilisation, la divulgation, la combinaison, l'effacement et la destruction des Données à caractère personnel du Partenaire aux fins de fournir les Services du sous-traitant et toute assistance technique associée au Partenaire conformément à cet Avenant relatif au traitement des données.
Types de données à caractère personnel
Données à caractère personnel concernant des personnes et fournies à Jibe via les Services de traitement, par le Partenaire (ou à sa demande) ou par les Utilisateurs finaux du Partenaire.
Catégories de personnes concernées
Les personnes concernées désignent les personnes à propos desquelles des données sont fournies à Jibe via les Services de traitement par le Partenaire (ou à sa demande).
Annexe 2 : Mesures de sécurité
À compter de la Date d'entrée en vigueur des Conditions, Jibe est tenu de mettre en œuvre et de garantir les Mesures de sécurité définies dans la présente Annexe 2. Jibe peut mettre à jour ou modifier ces Mesures de sécurité ponctuellement à condition que ces mises à jour et ces modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.
1. Sécurité des centres de données et des réseaux
(a) Centres de données.
Infrastructure. Jibe gère des centres de données répartis dans différentes zones géographiques. Jibe stocke toutes les données de production dans des centres de données physiquement sécurisés.
Redondance. Les systèmes d'infrastructure ont été conçus de manière à éliminer les points de défaillance uniques et à minimiser l'impact des risques environnementaux anticipés. Cette redondance repose entre autres sur des circuits doubles, des commutateurs, des réseaux et d'autres appareils. Les Services de sous-traitance visent à permettre à Jibe d'effectuer certains types d'opérations de maintenance préventive et corrective sans interruption. L'ensemble des installations et des équipements environnementaux sont associés à des procédures de maintenance préventive documentées, qui détaillent le processus et la fréquence d'intervention en fonction des spécifications du fabricant ou des spécifications internes. La maintenance préventive et corrective des équipements des centres de données est planifiée selon un processus standard, conformément aux procédures documentées.
Alimentation. Les systèmes électriques des centres de données sont conçus pour être redondants et de sorte que leur maintenance puisse être assurée sans interrompre leur fonctionnement continu (24h/24, 7j/7). Dans la plupart des cas, les composants d'infrastructure essentiels des centres de données présentent une source d'alimentation principale et une source d'alimentation secondaire (de capacité égale). L'alimentation de secours est assurée par différents mécanismes tels que des batteries d'alimentation sans interruption. Les systèmes de ce type permettent de fournir en continu une protection fiable de l'alimentation en cas de baisse de tension, de panne, de surtension, de sous-tension et de fréquence hors tolérance au niveau du circuit. En cas d'interruption de l'alimentation, le réseau de secours est censé alimenter le centre de données de façon transitoire, à pleine capacité, pendant 10 minutes maximum, jusqu'à ce que les systèmes de générateurs de secours prennent le relais. Les générateurs sont capables de démarrer automatiquement en quelques secondes afin de fournir suffisamment de courant électrique de secours pour faire fonctionner le centre de données à pleine capacité, en général pendant plusieurs jours.
Systèmes d'exploitation des serveurs. Les serveurs Jibe utilisent des systèmes d'exploitation renforcés et personnalisés en fonction des besoins uniques en termes de serveurs de l'entreprise. Les données sont stockées à l'aide d'algorithmes propriétaires afin de renforcer la sécurité des données et la redondance. Jibe applique un processus de revue de code afin d'accroître la sécurité du code utilisé pour assurer les Services de sous-traitance et à améliorer les produits de sécurité dans les environnements de production.
Continuité des activités. Jibe réplique les données sur plusieurs systèmes pour mieux les protéger contre les destructions ou les pertes accidentelles. Jibe a conçu des plans de continuité d'activité et des programmes de reprise après sinistre, et les planifie et les teste régulièrement.
Technologies de chiffrement. Les règles de sécurité de Jibe exigent le chiffrement au repos pour toutes les données utilisateur, y compris les données à caractère personnel. Les données sont souvent chiffrées à plusieurs niveaux de la pile de stockage de production de Jibe dans les centres de données, y compris au niveau matériel, sans nécessiter aucune action des partenaires ou des clients. Ces différentes couches offrent une protection redondante des données et permettent à Jibe de choisir l'approche la mieux adaptée aux exigences de l'application. Toutes les données à caractère personnel sont chiffrées au niveau de l'espace de stockage, généralement à l'aide de l'algorithme AES256. Jibe utilise des bibliothèques cryptographiques standards qui intègrent le module validé FIPS 140-2 de Jibe pour implémenter le chiffrement de façon homogène dans les services de traitement.
(b) Réseaux et transmission.
Transmission de données Les centres de données sont généralement connectés à l'aide de lignes privées à vitesse élevée pour assurer des transferts de données sûrs et rapides entre les centres de données. Le but est d'empêcher la lecture, la copie, la modification ou la suppression non autorisées des données au cours de leur transport électronique. Jibe transfère les données selon les protocoles Internet standards.
Surface d'attaque externe. Jibe utilise plusieurs couches d'appareils réseau et de détection des intrusions afin de protéger sa surface d'attaque externe. Jibe tient compte des vecteurs d'attaque potentiels et intègre des technologies dédiées à ses systèmes externes.
Détection des intrusions La détection des intrusions sert à fournir des informations sur les activités en cours liées à des attaques et sur la manière de réagir face aux incidents. La détection des intrusions de Jibe repose sur les procédures suivantes:
Surveillance étroite de la taille et de la composition de la surface d'attaque de Jibe par le biais de mesures préventives
Mise en place de contrôles de détection intelligents aux points d'entrée des données
Utilisation de technologies permettant de remédier automatiquement à certaines situations dangereuses
Gestion des incidents Jibe surveille divers canaux de communication en lien avec les incidents de sécurité. De plus, le personnel de sécurité de Jibe réagit rapidement aux incidents connus.
Technologies de chiffrement. Jibe propose le chiffrement HTTPS (également appelé connexion TLS). Les serveurs Jibe sont compatibles avec l'échange de clés cryptographiques Diffie-Hellman basé sur les courbes elliptiques. La signature est effectuée à l'aide des protocoles RSA et ECDSA. Ces méthodes de confidentialité persistante parfaite (PFS) permettent de protéger le trafic et de minimiser l'impact d'une clé compromise ou d'une percée cryptographique.
2. Contrôle sur site et contrôle d'accès
(a) Contrôles sur site.
Gestion de la sécurité des centres de données sur site La sécurité des centres de données de Jibe est assurée sur site. Elle vise à garantir le fonctionnement de toutes les fonctions de sécurité des centres de données physiques 24h/24, 7j/7. Le personnel responsable de la gestion de la sécurité sur site contrôle un réseau de caméras de surveillance en circuit fermé ("CCTV"), ainsi que tous les systèmes d'alarme. Le personnel en charge des opérations de sécurité sur site effectue régulièrement des rondes à l'intérieur et à l'extérieur du centre de données.
Procédures d'accès aux centres de données. Jibe applique des procédures d'accès formelles afin d'autoriser l'accès physique à ses centres de données. Les centres de données sont installés dans des complexes dont l'accès se fait à l'aide d'une clé électronique et qui disposent d'alarmes reliées au centre de sécurité sur site. Toutes les personnes qui accèdent au centre de données sont tenues de s'identifier et de présenter une preuve d'identité au personnel de sécurité. Seuls les employés, les prestataires et les visiteurs autorisés peuvent entrer dans les centres de données. Seuls les employés et les prestataires autorisés peuvent demander une clé électronique en vue d'accéder à ces complexes. Les demandes d'accès par carte électronique doivent être formulées à l'avance et par écrit. Elles doivent être approuvées par le personnel autorisé du centre de données. Toutes les autres personnes qui ont besoin d'un accès temporaire au centre de données doivent: (i) obtenir l'approbation préalable des responsables du centre de données pour le centre de données spécifique et les zones internes qu'ils souhaitent visiter ; (ii) s'enregistrer auprès du personnel de sécurité sur site ; et (iii) faire référence à un enregistrement d'accès au centre de données approuvé identifiant la personne comme approuvée.
Appareils de sécurité sur site des centres de données Les centres de données de Jibe utilisent un système de contrôle des accès biométrique fonctionnant à l'aide de cartes électroniques. Celui-ci est relié à un système d'alarme. Le système de contrôle des accès surveille et enregistre la carte électronique de chaque individu, ainsi que les franchissements des portes du périmètre et des zones d'expédition et de réception, ainsi que d'autres zones critiques. Les activités non autorisées et les tentatives d'accès ayant échoué sont enregistrées par le système de contrôle des accès et font l'objet d'un examen approprié. L'accès autorisé aux activités et aux centres de données dépend des zones et des responsabilités liées aux tâches de l'individu. Les portes coupe-feu du centre de données sont équipées d'alarmes. Des caméras de surveillance sont installées à l'intérieur et à l'extérieur des centres de données. Elles sont positionnées de façon à couvrir les zones stratégiques, dont le périmètre du site, les portes du bâtiment du centre de données et les zones d'expédition et de réception. Le personnel chargé de la gestion de la sécurité sur site est responsable des équipements de contrôle, d'enregistrement et de surveillance par caméras. Dans les centres de données, les équipements de surveillance sont reliés à l'aide de câbles. Les caméras enregistrent les images du site grâce à des enregistreurs vidéo numériques 24h/24, 7j/7. Les enregistrements de surveillance sont conservés pendant au moins sept jours, en fonction de l'activité.
(b) Contrôle des accès.
Personnel de sécurité des infrastructures. Jibe a mis en place et applique des règles de sécurité pour son personnel, qui doit obligatoirement suivre une formation à la sécurité dans le cadre de sa formation globale. Le personnel de sécurité des infrastructures de Jibe est chargé de la surveillance permanente des infrastructures de sécurité de Jibe, de l'examen des Services de sous-traitance et de la réponse aux incidents de sécurité.
Contrôle des accès et gestion des droits. Les administrateurs et utilisateurs du Partenaire doivent s'authentifier à l'aide d'un système d'authentification central ou d'un système d'authentification unique afin d'utiliser les Services de sous-traitance.
Processus et règles internes d'accès aux données – Règlement d'accès. Les processus et règles internes d'accès aux données de Jibe sont destinés à empêcher les personnes et/ou les systèmes non autorisés d'accéder aux systèmes utilisés pour le traitement des données à caractère personnel. Jibe vise à concevoir ses systèmes de façon à (i) ne permettre qu'aux personnes autorisées d'accéder aux données auxquelles elles sont en droit d'accéder ; et (ii) empêcher la lecture, la copie, la modification ou la suppression des données personnelles sans autorisation lors de leur traitement, en cours d'utilisation ou après leur enregistrement. Les systèmes sont conçus pour détecter les accès inappropriés. Jibe utilise un système de gestion des accès centralisé pour contrôler l'accès du personnel aux serveurs de production et n'autorise l'accès qu'à un nombre limité d'employés. LDAP, Kerberos et un système propriétaire utilisant des certificats numériques sont conçus pour fournir à Jibe des mécanismes d'accès sûrs et flexibles. Ces mécanismes n'octroient que les droits d'accès approuvés aux hôtes des sites, aux journaux, aux données et aux informations de configuration. Jibe requiert l'utilisation d'ID utilisateur uniques, de mots de passe sécurisés, de l'authentification à deux facteurs et de listes d'accès surveillées attentivement pour réduire le risque potentiel d'utilisation non autorisée des comptes. L'octroi ou la modification des droits d'accès sont basés sur les éléments suivants: les responsabilités liées aux tâches du personnel autorisé, les exigences liées aux tâches autorisées et le besoin de connaître. De plus, l'octroi et la modification des droits d'accès doivent être réalisés conformément aux règles et aux formations internes de Jibe en matière d'accès aux données. Les approbations sont gérées par les outils de workflow qui conservent les enregistrements d'audit de toutes les modifications. Tout accès aux systèmes est enregistré dans un journal d'audit. Lorsque des mots de passe sont employés à des fins d'authentification (pour la connexion aux postes de travail, par exemple), les règles relatives aux mots de passe qui sont au moins conformes aux pratiques standards de l'industrie sont appliquées. Ces pratiques standards incluent entre autres les restrictions relatives à la réutilisation des mots de passe et à leur sécurité minimale.
3. Données
(a) Stockage, isolation et authentification des données.
Jibe stocke les données dans un environnement mutualisé, sur des serveurs appartenant à Google LLC. Les données, la base de données des Services de sous-traitance et l'architecture des systèmes de fichiers sont dupliqués et répartis entre plusieurs centres de données situés à des endroits différents. Jibe isole logiquement les données de chaque partenaire ou client. Un système d'authentification central est utilisé pour tous les Services de sous-traitance afin d'augmenter la sécurité uniforme des données.
(b) Consignes liées à la mise hors service et à la destruction des disques.
Certains disques contenant des données peuvent rencontrer des problèmes de performances, des erreurs ou des défaillances matérielles entraînant leur mise hors service ("Disque hors service"). Chaque disque hors service est soumis à une série de processus de destruction des données ("Consignes de destruction des données") avant de quitter les locaux de Jibe en vue de sa réutilisation ou de sa destruction. Les disques hors service sont effacés selon un processus en plusieurs étapes et validés par au moins deux experts indépendants. Les résultats du processus d'effacement sont consignés avec le numéro de série du Disque hors service à des fins de suivi. Enfin, le Disque hors service effacé est replacé dans l'inventaire afin de pouvoir être réutilisé et redéployé. Si, en raison d'une défaillance matérielle, le Disque hors service ne peut pas être effacé, il est stocké de façon sécurisée jusqu'à ce que sa destruction soit possible. Chaque complexe fait régulièrement l'objet d'audits pour contrôler le respect des Consignes de destruction des données.
(c) Données pseudonymisées.
Les données publicitaires en ligne sont généralement associées à des identifiants en ligne qui, à eux seuls, sont considérés comme "pseudonymes" (c'est-à-dire qu'ils ne peuvent pas être attribués à une personne spécifique sans utiliser d'informations supplémentaires). Jibe dispose d'un ensemble robuste de règles et de contrôles techniques et organisationnels pour assurer la séparation entre les données pseudonymes et les informations permettant d'identifier personnellement l'utilisateur (c'est-à-dire les informations qui peuvent être utilisées seules pour identifier, contacter ou localiser précisément un individu), telles que les données de compte Jibe d'un utilisateur. Les règles Jibe n'autorisent les flux d'informations entre les données pseudonymes et les données permettant d'identifier personnellement l'utilisateur que dans des circonstances strictement limitées.
(d) Avis sur le lancement.
Jibe examine les nouveaux produits et fonctionnalités avant leur lancement. Cela inclut un examen de la confidentialité effectué par des ingénieurs spécialisés dans ce domaine. Lors des examens de confidentialité, les ingénieurs en confidentialité s'assurent que toutes les règles et consignes applicables de Jibe sont respectées, y compris, mais sans s'y limiter, les règles concernant la pseudonymisation, la conservation et la suppression des données.
4. Personnel de Google et sécurité des données
Le personnel de Jibe est tenu de se comporter de manière conforme aux directives de l'entreprise en matière de confidentialité, d'éthique commerciale, d'utilisation adéquate et de normes professionnelles. Jibe effectue des vérifications raisonnables et appropriées des antécédents, dans la limite autorisée par la loi et conformément à la législation du travail et aux règlements statutaires en vigueur localement.
Le personnel doit respecter un accord de confidentialité ainsi que les règles de Jibe en matière de confidentialité et de respect de la vie privée, dont il doit par ailleurs accuser réception. Il reçoit aussi une formation à la sécurité. Les membres du personnel qui gèrent les données à caractère personnel des partenaires doivent respecter des exigences supplémentaires associées à leur rôle. Le personnel de Jibe ne traite en aucun cas les données à caractère personnel des partenaires sans autorisation.
5. Sous-traitants indirects et sécurité des données
Avant d'intégrer des Sous-traitants indirects, Jibe réalise un audit de leurs pratiques en matière de sécurité et de confidentialité, afin de s'assurer qu'ils garantissent un niveau de sécurité et de confidentialité approprié, compte tenu de leur accès aux données et du champ d'application des services pour lesquels ils ont été recrutés. Une fois que Jibe a évalué les risques présentés par le Sous-traitant, celui-ci est tenu d'accepter les conditions contractuelles appropriées en termes de sécurité, de confidentialité et de vie privée, sous réserve des exigences de la section 11.3 (Conditions requises pour l'engagement de Sous-traitants indirects).
Annexe 3: Conditions supplémentaires liées à la législation non européenne sur la protection des données
Les Conditions supplémentaires suivantes liées à la législation non européenne sur la protection des données s'ajoutent au présent Avenant sur le traitement des données:
- Avenant à la loi LGPD destiné aux sous-traitants disponible à l'adresse business.safety.google/processorterms/lgpd (en date du 27 août 2020)
- Avenant aux lois des États américains sur la confidentialité disponible sur business.safety.google/processorterms/us-state-laws (daté du 12 décembre 2022)
Les références à Google LLC ou à Google dans l'Avenant à la loi LGPD destiné aux sous-traitants et dans l'Avenant aux lois des États américains sur la confidentialité s'appliquent à Jibe.
Avenant relatif au traitement des données Jibe, version 4.0