Accord de Traitement des Données à Caractère Personnel

Le présent Accord de traitement des données à caractère personnel (ci-après l'« Accord ») fait partie intégrante du contrat d'abonnement à la solution EVIDENCE conclu entre EVIDENCE et son client (ci-après le « Contrat d'Abonnement »).

Dans le cadre de l'utilisation de la Solution EVIDENCE, le Client agit en qualité de Responsable du traitement et EVIDENCE agit en qualité de Sous-traitant au sens du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Le Client est désigné ci-après comme le « Responsable de traitement » et EVIDENCE est désignée ci-après comme le « Sous-traitant ».

Le Client et EVIDENCE sont ci-après désignés individuellement comme une « Partie » et collectivement comme les « Parties ».

PRÉAMBULE

ETANT PRÉALABLEMENT EXPOSÉ CE QUI SUIT

Le Responsable de traitement souhaite utiliser la Solution EVIDENCE fournie par le Sous-traitant, laquelle a pour but de centraliser, partager, analyser, trier, stocker et structurer, dans un environnement sécurisé et collaboratif, les contenus des utilisateurs afin de les assister dans la constitution et le traitement de dossiers juridiques.

Aux fins de l’utilisation de la Solution EVIDENCE par le Responsable de Traitement, le Sous-traitant est susceptible de mettre en œuvre un traitement de données à caractère personnel pour le compte du Responsable de traitement.

Le présent accord (ci-après dénommé « l’Accord ») formalise l’accord intervenu entre les Parties sur ledit traitement.

ARTICLE 1 – OBJET

L’Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après et de garantir la conformité avec l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, « le RGPD »).

ARTICLE 2 – DÉFINITIONS

Données : désigne toutes les données fournies directement ou indirectement par le Responsable de traitement au Sous-Traitant dont les Données à caractère personnel et les données collectées, générées, manipulées ou modifiées par le Sous-Traitant dans le cadre de l’exécution de ses prestations.

Données à caractère personnel : désigne toute information se rapportant à une personne physique identifiée ou identifiable au sens du RGPD.

Responsable de traitement : désigne la personne physique ou morale qui détermine la finalité et les moyens du traitement.

Sous-traitant : désigne la personne physique ou morale qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité du Responsable de traitement.

Sous-traitant(s) ultérieur(s) : désigne la personne physique ou morale chargée de réaliser une partie des prestations de traitement, d’accès ou d’hébergement des Données à caractère personnel dévolues au Sous-Traitant.

ARTICLE 3 – DESCRIPTION DU TRAITEMENT

Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’Annexe 1.

ARTICLE 4 – OBLIGATION DES PARTIES

4.1 OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

• garantir l’accès du Sous-traitant aux Données à caractère personnel visées à l’Annexe n°1 ;
• documenter par écrit toute instruction relative au traitement des Données à caractère personnel confié au Sous-traitant ;
• Veiller, au préalable et pendant toute la durée de l’Accord, au respect des obligations prévues par le RGPD. En particulier, le Responsable de Traitement s’engage à :
• Collecter et traiter les Données à caractère personnel conformément au RGPD ;
• Informer et à recueillir le consentement, lorsque le traitement a pour base légale le consentement, de chaque personne concernée par le traitement des Données à caractère personnel ;
• Coopérer et assister le Sous-traitant pour lui permettre de se conformer à ses obligations en matière de protection des données à caractère personnel ;
• Prendre en charge les demandes des personnes concernées.

4.2. OBLIGATIONS DU SOUS-TRAITANT

4.2.1. Instructions

4.2.1.1. Le Sous-traitant ne traite les données à caractère personnel que sur instruction documentée du Responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Responsable de traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

4.2.1.2. Le Sous-traitant informe immédiatement le Responsable de traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4.2.2 Limitation de la finalité

Le Sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’Annexe 1, sauf instruction complémentaire du Responsable de traitement.

4.2.3. Durée du traitement des données à caractère personnel

Le traitement par le Sous-traitant n’a lieu que pendant la durée précisée à l’article 8 de l’Accord.

4.2.4. Sécurité du traitement

4.2.4.1. Le Sous-traitant met en œuvre les mesures techniques et organisationnelles précisées à l’Annexe 2 pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel).

Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

4.4.2. Le Sous-traitant n’accorde aux membres de son personnel l’accès aux Données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi de l’Accord. Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.2.5. Documentation et conformité

4.2.5.1. Les Parties doivent pouvoir démontrer la conformité avec les stipulations de l’Accord.

4.2.5.2. Le Sous-traitant traite de manière rapide et adéquate les demandes du Responsable de traitement concernant le traitement des données conformément aux stipulations de l’Accord.

4.2.5.3. Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées au sein de l’Accord et découlant directement du RGPD.

À la demande du Responsable de traitement, le Sous-traitant permet également la réalisation d’audits des activités de traitement couvertes par le présent Accord, en présence d’indices de non-conformité.

Cet audit ne pourra être réalisé qu’une (1) fois par année civile et aux frais exclusifs du Responsable de traitement.

4.2.5.4. Le Responsable de traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant tenu à une obligation de confidentialité.

La demande d’audit devra être formulée auprès du Sous-traitant par écrit et devra préciser les dates considérées pour l’audit et les coordonnées de l’auditeur, le cas échéant, dans un délai raisonnable.

L’audit sera réalisé à distance ou en ligne pendant les heures ouvrables normales du Sous-traitant le jour convenu d'un commun accord, et ne devront pas interférer ni interrompre le cours normal des affaires du Sous-traitant.

4.2.5.5. Le Sous-traitant collaborera de bonne foi avec l’auditeur et lui communiquera toutes les informations, documents ou explications nécessaires à la réalisation de l’audit. Au-delà de huit (8) heures ouvrées par an, le temps passé par les ressources du Sous-traitant pour les besoins de l’audit sera facturé au Responsable de traitement en tenant compte du profil de chaque ressource mobilisée par le Sous-traitant au tarif en vigueur au jour de la réalisation de l’audit.

Une copie intégrale du rapport d’audit sera adressée gratuitement au Sous-traitant afin qu’il puisse formuler ses observations et remarques éventuelles. Le rapport d’audit est confidentiel.

4.2.5.6. Les Parties mettent à la disposition de l’autorité de contrôle compétente, dès que celles-ci en fait la demande, les informations énoncées dans le présent article 4.2.5., y compris les résultats de tout audit.

4.2.6. Recours à des sous-traitants ultérieurs

• Pour l’activité d’hébergement et sauvegarde des Données à caractère personnel : Google Cloud France SARL, société à responsabilité limitée immatriculée au registre du commerce et des sociétés de Paris sous le numéro 881 721 583 et dont le siège social est situé 8 rue de Londres, 75009 Paris, France ;
• Pour l’activité d’analyse des données à caractère personnel via un outil d’intelligence artificielle : Gemini via Vertex IA, opéré par Google Cloud France SARL, société à responsabilité limitée immatriculée au registre du commerce et des sociétés de Paris sous le numéro 881 721 583 et dont le siège social est situé 8 rue de Londres, 75009 Paris, France

Le Sous-traitant informe spécifiquement par écrit le Responsable de Traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins trente (30) jours à l’avance, donnant ainsi au Responsable de Traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le Sous-traitant fournit au Responsable de traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

4.2.6.2. Lorsque le Sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du Responsable de traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au Sous-traitant en vertu de l’Accord. Le Sous-traitant veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu de l’Accord et du RGPD.

4.2.6.3. À la demande du Responsable de traitement, le Sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection du secret des affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le Sous-Traitant peut expurger le texte du contrat avant d’en diffuser une copie.

4.2.6.4. Le Sous-traitant demeure pleinement responsable, à l’égard du Responsable de traitement, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le Sous-traitant informe le Responsable de traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

4.2.6.5. Le Sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le Sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le Responsable de traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

4.2.7. Transferts internationaux

• de traiter les données à caractère personnel pour le compte du Responsable de Traitement uniquement au sein de l’Espace Economique Européen ou n’offrant pas un niveau de protection adéquat ;
• de ne pas transférer les données à caractère personnel en dehors de l’EEE vers des pays n’offrant pas un niveau de protection adéquat au sens de la réglementation applicable.

Certains Sous-traitants ultérieurs sont néanmoins susceptibles, selon les services utilisés, leurs modalités de support ou leurs opérations techniques, d’accéder à certaines données depuis des pays situés en dehors de l’UE/EEE ou y transférer certaines données.

4.2.7.2. Lorsque les activités de traitement du sous-traitant ultérieur impliquent un transfert de données à caractère personnel au sens du chapitre V du RGPD, le Sous-traitant et le Sous-traitant ultérieur peuvent garantir le respect du chapitre V du RGPD en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies, ou par tout autre mécanisme alternatif reconnu comme assurant un niveau de protection adéquat des données.

ARTICLE 5 – ASSISTANCE AU RESPONSABLE DE TRAITEMENT

5.1. Le Sous-traitant informe sans délai le Responsable de traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le Responsable de traitement des données ne l’y ait autorisé.

5.2. Le Sous-traitant prête assistance au Responsable de traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits (dont le droit d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée) en tenant compte de la nature du traitement. Dans l’exécution de ses obligations conformément aux articles 5.1. et 5.2. de l’Accord, le Sous-traitant se conforme aux instructions du Responsable de traitement.

• l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des Données à caractère personnel (« analyse d’impact relative à la protection des données ») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
• l’obligation de consulter l'autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le Responsable de traitement ne prenait pas de mesures pour atténuer le risque ;
• l’obligation de veiller à ce que les Données à caractère personnel soient exactes et à jour, en informant sans délai le Responsable de traitement si le Sous-traitant apprend que les Données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes ;
• les obligations prévues à l’article 32 du règlement RGPD ;
• Les Parties définissent à l’Annexe 2 les mesures techniques et organisationnelles appropriées par lesquelles le Sous-traitant est tenu de prêter assistance au Responsable de traitement dans l’application du présent article, ainsi que la portée et l’étendue de l’assistance requise.

ARTICLE 6 – NOTIFICATION DE VIOLATIONS DE DONNÉES A CARACTERE PERSONNEL

En cas de violation de données à caractère personnel, le Sous-traitant coopère avec le Responsable de traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.

6.1. Violation de données en rapport avec des Données traitées par le Responsable de traitement

• aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le Responsable de traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) ;
• aux fins de l’obtention des informations suivantes qui, conformément à l’article 33, paragraphe 3, du RGPD, doivent figurer dans la notification du Responsable de traitement, et inclure, au moins :
• la nature des données à caractère personnel, y compris, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• les conséquences probables de la violation de données à caractère personnel ;
• les mesures prises ou les mesures que le Responsable de traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les plus brefs délais ;
• aux fins de la satisfaction, conformément à l’article 34 du RGPD, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

6.2. Violation de données en rapport avec des Données traitées par le Sous-traitant

• une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
• les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;
• ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les plus brefs délais.

Les Parties définissent à l’Annexe 2 tous les autres éléments que le sous-traitant doit communiquer lorsqu’il prête assistance au Responsable de traitement aux fins de la satisfaction des obligations incombant à ce dernier en vertu des articles 33 et 34 du RGPD.

ARTICLE 7 – NON-RESPECT DE L’ACCORD ET RÉSILIATION

7.1. Sans préjudice des dispositions du RGPD, en cas de manquement du Sous-traitant aux obligations qui lui incombent en vertu de l’Accord, le Responsable de traitement peut donner instruction au Sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conforme à l’Accord ou jusqu’à ce que l’Accord soit résilié. Le Sous-traitant informe rapidement le Responsable de traitement s’il n’est pas en mesure de se conformer à l’Accord, pour quelque raison que ce soit.

• le traitement de Données à caractère personnel par le Sous-traitant a été suspendu par le Responsable de traitement conformément à l’article 7.1. de l’Accord et le respect de l’Accord n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
• le Sous-traitant est en violation grave ou persistante de l’Accord ou des obligations qui lui incombent en vertu du RGPD ;
• le Sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente concernant les obligations qui lui incombent en vertu de l’Accord ou du RGPD.

7.3. Le Sous-traitant est en droit de résilier l’Accord dans la mesure où il concerne le traitement de Données à caractère personnel en vertu de l’Accord lorsque, après avoir informé le Responsable de traitement que ses instructions enfreignent les exigences juridiques applicables conformément à l’article 4.2.1.2. de l’Accord, le Responsable de traitement insiste pour que ses instructions soient suivies.

• supprime toutes les Données à caractère personnel traitées pour le compte du Responsable de traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression,
• ou renvoie toutes les données à caractère personnel au Responsable de traitement et détruit les copies existantes,

selon le choix du Responsable de Traitement.

Le Sous-traitant continue de veiller à la conformité à l’Accord jusqu’à la suppression ou à la restitution des Données.

ARTICLE 8 – DURÉE DU TRAITEMENT

L’Accord entre en vigueur à compter de son acceptation par le Client, au moment de la souscription de son Contrat d’Abonnement, et restera en vigueur pendant toute la durée de l’exécution des prestations du Sous-traitant et/ou pour toute la durée de l’abonnement à la Solution EVIDENCE souscrit par le Responsable de Traitement.

ARTICLE 9 – DROIT APPLICABLE ET REGLEMENT DES DIFFÉRENDS

9.1. L’Accord est régi par le droit français.

9.2. Tout différend survenant entre les Parties concernant l'existence, la validité, l'interprétation et/ou l'exécution de l’Accord fera l'objet d'une tentative de règlement à l'amiable entre les Parties. A défaut d'accord entre les Parties dans les deux (2) mois suivant la notification du litige par l'une des Parties aux autres Parties, le litige sera soumis à la compétence exclusive du Tribunal judiciaire de Paris.

ARTICLE 10 – DIVERS

10.1. L’Accord constitue l’intégralité de l’accord des Parties et annule et remplace tout accord antérieur en vigueur entre les Parties et ayant le même objet.

10.2. Toute modification de l’Accord doit faire l’objet d’un avenant signé par chacune des Parties.

10.3. L’Accord lie et bénéficie aux ayant-causes et ayants-droits, cessionnaires, successeurs légaux, sociétés sœurs, sociétés affiliées et licenciés des Parties, lesquelles s'engagent à porter à la connaissance de ces derniers le contenu de l’Accord. Les Parties s'engagent ainsi à imposer les obligations du Contrat à leurs ayants-causes et ayants-droits, cessionnaires, successeurs légaux, leurs filiales, sociétés sœurs, sociétés affiliées et licenciés.

ANNEXE 1 – Description du traitement

1/Catégories de personnes concernées dont les données à caractère personnel sont traitées

• Clients, prospects, employés/personnel du Responsable de traitement

2/Catégories de Données à caractère personnel traitées

• Données d’identification et données de contact : nom, prénom, adresse e-mail, numéro de téléphone ;
• Données professionnelles : Fonction, titre de poste, et nom de l’employeur/ de l’entité/organisation professionnelle ;
• Données de facturation : adresse de facturation, références de paiement ;
• Données contenues dans les communications, documents, pièces de dossier, courriers électroniques, pièces jointes et autres contenus importés, transmis, créés, partagés ou exploités par le Responsable de traitement dans le cadre de l’utilisation de la Solution EVIDENCE pour la gestion de ses dossiers juridiques ou contentieux.

3/Nature du traitement des Données à caractère personnel

• Collecte ;
• Extraction ;
• Centralisation ;
• Organisation ;
• Conservation ;
• Analyse.

4/Finalité(s) pour laquelle (lesquelles) les Données à caractère personnel sont traitées pour le compte du Responsable du traitement

• Gestion et suivi de dossiers juridiques ou contentieux du Responsable de traitement, notamment en vue de la constatation, de l’exercice ou de la défense d’un droit en justice ;
• Analyse, organisation, exploitation et structuration d’informations et de pièces nécessaires au traitement de ces dossiers, y compris au moyen de technologies d’intelligence artificielle ;
• Facilitation des échanges, communications et de la collaboration entre le Responsable de traitement et les intervenants autorisés dans le cadre du traitement des dossiers ;
• Mise à disposition d’informations et d’analyses utiles à la préparation de dossiers juridiques par les professionnels habilités.

5/Durée du traitement

La durée définie à l’article 8 de l’Accord. Les données fournies par le Responsable de traitement seront supprimées à la fin des prestations du Sous-traitant et/ou à la fin du Contrat d’Abonnement à la Solution Evidence souscrit par le Responsable de traitement.

6/Pour le traitement par les Sous-traitants ultérieurs, préciser également l’objet, la nature et la durée du traitement.

Objet du traitement : hébergement, sauvegarde et analyse d’intelligence artificielle des Données fournies par le Responsable de Traitement dans le cadre de l’utilisation de la Solution EVIDENCE

• Collecte des données ;
• Extraction des données ;
• Conservation et stockage des données ;
• Analyse des données.

Durée du traitement : durée du Contrat.

7/Sort des données à l’expiration de l’Accord

• Restitution des Données dans un format structuré couramment utilisé et lisible par machine, tel que CSV, XLSX ou tout autre format raisonnablement disponible.
• Suppression des Données

ANNEXE 2 : Mesures techniques et organisationnelles, y compris mesures techniques et organisationnelles visant à garantir la sécurité des données

Cette annexe décrit les mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-traitant visant à garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité des traitements réalisés dans le cadre de l’exécution de l’Accord, ainsi que des risques pour les droits et libertés des personnes concernées.

• Cryptage robuste : utilisation de protocoles de cryptage pour garantir que toutes les informations confidentielles échangées sur la Solution EVIDENCE restent confidentielles. Mécanismes de chiffrement de données (au repos et en transit) de Google Cloud.
• Mises à jour logicielles régulières : surveillance et mise à jour du logiciel de la Solution EVIDENCE pour détecter les vulnérabilités.
• Mécanisme de sécurité des accès : gestion des droits d’accès et authentification sécurisée et accès limité aux seules personnes habilitées
• Journalisation et traçabilité des accès aux données
• Séparation stricte des environnements et cloisonnement des comptes utilisateurs ;
• Sauvegardes régulières des données et dispositifs de continuité d’activité ;
• Hébergement sur une infrastructure sécurisée et certifiée fournie par Google Cloud Platform.
• Surveillance continue et réponse aux incidents : les systèmes font l’objet d’une surveillance continue, soutenue par des procédures de réponse aux incidents robustes, afin d’identifier et d’atténuer rapidement tout incident de sécurité, y compris une violation de données, minimisant ainsi l’impact potentiel.

• Procédures de détection et de gestion des incidents de sécurité : En cas d’incident de sécurité, y compris une violation de données, mise en place d’un plan de réponse aux incidents bien défini, garantissant une approche rapide et coordonnée pour minimiser les perturbations ;
• Sensibilisation du personnel aux exigences de sécurité et de confidentialité
• Évaluation de la sécurité des fournisseurs (sous-traitants ultérieurs) : évaluation et surveillance des pratiques de confidentialité et de sécurité des données de fournisseurs tiers pour s’ assurer qu’elles s’alignent sur les normes strictes de confidentialité et de sécurité des données du Sous-traitant, préservant ainsi l’intégrité de la chaîne d’approvisionnement.
• Conformité et obligations légales : engagement à respecter les exigences légales et réglementaires applicables en matière de protection des données et de sécurité de l’information, en assurant la transparence et l’assurance.