Accord sur le traitement des données

Le présent Accord de Traitement des Données (« ATD ») fait partie intégrante du Contrat d'Abonnement Principal Kaiterra, des Conditions d'Utilisation Kaiterra, des Conditions d'Achat Kaiterra ou de tout autre accord écrit faisant référence au présent ATD (le « Contrat ») entre Origins Technology Limited (« Kaiterra ») et le client partie au Contrat (le « Client »). La durée du présent ATD est identique à celle du Contrat. Les termes non définis dans le présent ATD ont le sens qui leur est attribué dans le Contrat.

Les clients souhaitant obtenir un exemplaire contresigné du présent ATD peuvent en faire la demande à l'adresse privacy@kaiterra.com.

1. Définitions

Aux fins du présent ATD :

• « Législation Applicable en Matière de Protection des Données » désigne l'ensemble des lois relatives à la protection des données et à la vie privée applicables au Traitement de Données Personnelles par une Partie au titre du Contrat, y compris, le cas échéant, le Règlement Général sur la Protection des Données de l'UE (Règlement (UE) 2016/679, le « RGPD »), le Règlement Général sur la Protection des Données du Royaume-Uni tel qu'il fait partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'article 3 de la loi de 2018 sur le retrait de l'Union européenne (le « RGPD UK »), la Loi fédérale suisse sur la protection des données (la « LPD »), la California Consumer Privacy Act de 2018 telle que modifiée par la California Privacy Rights Act de 2020 (le « CCPA ») et les autres lois étatiques américaines exhaustives en matière de vie privée telles qu'adoptées et en vigueur, ainsi que toute autre loi nationale, fédérale, étatique ou infranationale applicable concernant le Traitement des Données Personnelles.
• « Responsable du traitement », « Sous-traitant », « Personne concernée », « Données Personnelles », « Violation de Données Personnelles », « Traitement » (et ses dérivés) et « Catégories particulières de Données Personnelles » ont chacun le sens qui leur est donné dans le RGPD. Les termes équivalents au titre d'autres Législations Applicables en Matière de Protection des Données (y compris « Business », « Service Provider », « Sale », « Share », « Consumer » et « Sensitive Personal Information » au sens du CCPA) sont interprétés en conséquence.
• « Données Personnelles du Client » désigne les Données Personnelles que Kaiterra Traite pour le compte du Client dans le cadre de l'utilisation par le Client des Produits Kaiterra.
• « Données Dérivées » désigne les données agrégées, dé-identifiées ou anonymisées de manière à empêcher la ré-identification de toute Personne concernée, du Client ou de tout utilisateur final, y compris les données statistiques, techniques, de performance et de benchmarking dérivées de l'utilisation des Produits Kaiterra par le Client.
• « CCT UE » désigne les clauses contractuelles types approuvées par la Commission européenne dans la Décision d'exécution (UE) 2021/914 du 4 juin 2021, disponibles à l'adresse http://data.europa.eu/eli/dec_impl/2021/914/oj, telles que modifiées.
• « Produits Kaiterra » désigne le matériel, les logiciels, les services cloud et autres produits et services associés mis à la disposition du Client par Kaiterra au titre du Contrat.
• « Sous-traitant ultérieur » désigne tout Sous-traitant engagé par Kaiterra pour Traiter les Données Personnelles du Client.
• « Page des Sous-traitants ultérieurs » désigne la liste des Sous-traitants ultérieurs tenue par Kaiterra à l'adresse https://www.kaiterra.com/legal/subprocessors, telle que mise à jour.
• « Addendum UK » désigne l'Addendum international relatif au transfert de données aux Clauses Contractuelles Types de la Commission européenne publié par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A de la Data Protection Act 2018 et déposé devant le Parlement le 2 février 2022, version B1.0, disponible à l'adresse https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/, tel que révisé conformément à l'Article 18 des clauses obligatoires (les « Clauses Obligatoires de l'Addendum UK »).

2. Rôles des Parties

2.1 Données Personnelles du Client. Le Client est le Responsable du traitement et Kaiterra est le Sous-traitant des Données Personnelles du Client. Lorsque le Client Traite les Données Personnelles du Client en qualité de Sous-traitant pour le compte d'un Responsable du traitement tiers, Kaiterra Traite ces Données Personnelles du Client en qualité de Sous-traitant ultérieur.

2.2 Données de compte et d'administration. Kaiterra Traite un ensemble limité de Données Personnelles concernant les utilisateurs autorisés du Client (y compris les noms, adresses e-mail, intitulés de poste et journaux d'authentification et d'accès) en qualité de Responsable du traitement indépendant aux fins d'administration de compte, de sécurité, de prévention de la fraude, de facturation, d'assistance et de communications relatives au service. Les conditions de la Politique de Confidentialité de Kaiterra s'appliquent à ce Traitement.

2.3 Données Dérivées. Les Parties reconnaissent que les Données Dérivées n'identifient pas et ne sont pas raisonnablement susceptibles d'être utilisées pour identifier le Client, l'un quelconque des utilisateurs finaux du Client ou toute Personne concernée, et ne constituent par conséquent pas des Données Personnelles au sens de la Législation Applicable en Matière de Protection des Données. Kaiterra détient l'ensemble des droits, titres et intérêts sur les Données Dérivées et peut les Traiter à toute fin, y compris la recherche et le développement, l'entraînement de modèles d'apprentissage automatique, le benchmarking et l'analyse statistique, y compris après la résiliation du Contrat.

2.4 Périmètre des Données Personnelles du Client. Les Produits Kaiterra sont conçus pour Traiter des mesures de qualité de l'air intérieur et des mesures environnementales. Ces mesures, en elles-mêmes, n'identifient aucune personne physique et ne constituent pas des Données Personnelles. Les Données Personnelles ne sont traitées au titre du présent ATD que lorsqu'elles sont accessoires au fonctionnement des Produits Kaiterra (telles que les informations de compte des utilisateurs autorisés) ou lorsque le Client choisit d'associer des Données Personnelles à des mesures environnementales (telles que des métadonnées relatives aux pièces, aux occupants ou aux visiteurs).

3. Obligations de Traitement de Kaiterra

3.1 Instructions

Kaiterra ne Traitera les Données Personnelles du Client que sur la base des instructions documentées du Client, telles qu'elles figurent dans le Contrat, le Bon de commande ou le Cahier des charges applicable, et le présent ATD. Kaiterra informera le Client si, de l'avis de Kaiterra, une instruction enfreint la Législation Applicable en Matière de Protection des Données et pourra suspendre le Traitement (à l'exception des mesures de stockage et de sécurité) jusqu'à ce que le Client émette une instruction conforme. Lorsqu'une obligation légale impose à Kaiterra de Traiter les Données Personnelles du Client autrement que conformément aux instructions du Client, Kaiterra en informera le Client, dans la mesure où cela est permis, avant ce Traitement.

3.2 Confidentialité

Kaiterra veillera à ce que le personnel autorisé à Traiter les Données Personnelles du Client soit soumis à des obligations écrites de confidentialité ou soit tenu par une obligation légale de confidentialité appropriée, et à ce que l'accès aux Données Personnelles du Client soit accordé sur la base du besoin d'en connaître.

3.3 Sécurité

Kaiterra mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles du Client contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, accidentels ou illicites, aux Données Personnelles du Client. Les mesures mises en œuvre par Kaiterra sont décrites à l'Annexe 2 et sur la page de sécurité de Kaiterra à l'adresse https://www.kaiterra.com/security. Kaiterra peut mettre à jour ses mesures de sécurité, à condition que toute mise à jour ne réduise pas substantiellement le niveau global de protection accordé aux Données Personnelles du Client.

3.4 Violations de Données Personnelles

Kaiterra notifiera le Client de toute Violation de Données Personnelles affectant les Données Personnelles du Client dans les meilleurs délais, et en tout état de cause dans les 72 heures suivant la prise de connaissance confirmée par Kaiterra de la Violation de Données Personnelles. La notification décrira la nature de la Violation de Données Personnelles (dans la mesure connue à ce moment), les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de Données Personnelles concernés, les conséquences probables, les mesures prises ou proposées pour remédier à la Violation de Données Personnelles, ainsi qu'un point de contact chez Kaiterra. Lorsqu'il n'est pas possible de fournir l'ensemble de ces informations en même temps, les informations peuvent être fournies de manière échelonnée sans autre retard injustifié. Kaiterra assistera le Client, en tenant compte de la nature du Traitement et des informations dont dispose Kaiterra, dans le respect des obligations de notification du Client au titre de la Législation Applicable en Matière de Protection des Données.

3.5 Demandes des Personnes concernées

Kaiterra fournira une assistance raisonnable, en tenant compte de la nature du Traitement, pour permettre au Client de répondre aux demandes des Personnes concernées au titre de la Législation Applicable en Matière de Protection des Données. Si Kaiterra reçoit directement une demande d'une Personne concernée, Kaiterra informera la Personne concernée qu'elle doit adresser sa demande au Client et notifiera le Client de la demande dans les meilleurs délais. Le Client est seul responsable de répondre aux demandes des Personnes concernées relatives aux Données Personnelles du Client.

3.6 Analyses d'impact relatives à la protection des données et consultation

En tenant compte de la nature du Traitement et des informations dont dispose Kaiterra, Kaiterra fournira une assistance raisonnable au Client pour les analyses d'impact relatives à la protection des données et les consultations préalables auprès des autorités de contrôle requises par la Législation Applicable en Matière de Protection des Données concernant les Données Personnelles du Client. Kaiterra peut facturer des frais raisonnables pour une assistance qui dépasse substantiellement la documentation standard de Kaiterra.

3.7 Restitution ou suppression

À la résiliation ou à l'expiration du Contrat, et au choix écrit du Client, Kaiterra restituera ou supprimera les Données Personnelles du Client Traitées au titre du présent ATD dans un délai de 30 jours, sous réserve (i) de la rotation des systèmes de sauvegarde, après laquelle les copies résiduelles seront écrasées de manière sécurisée dans le cours normal des opérations ; et (ii) de toute conservation requise par la loi ou pour établir, exercer ou défendre des droits en justice. Kaiterra continuera d'appliquer les obligations de sécurité et de confidentialité du présent ATD à toute donnée ainsi conservée aussi longtemps qu'elle sera conservée.

4. Audits

4.1 Kaiterra mettra à la disposition du Client, sur demande écrite raisonnable, les informations nécessaires pour démontrer le respect par Kaiterra de ses obligations au titre de la Législation Applicable en Matière de Protection des Données et du présent ATD. La documentation de sécurité en vigueur de Kaiterra, les rapports d'audit tiers (le cas échéant) et les questionnaires de sécurité complétés satisferont cette obligation en premier lieu.

4.2 Lorsque les informations mises à disposition en vertu de l'Article 4.1 sont insuffisantes, le Client peut, au maximum une fois par période de 12 mois et sous réserve d'un préavis écrit d'au moins 30 jours, réaliser un audit du Traitement des Données Personnelles du Client par Kaiterra. Ces audits seront menés pendant les heures ouvrables normales, ne perturberont pas de manière déraisonnable les activités de Kaiterra, seront réalisés à distance dans la mesure du raisonnablement possible et seront soumis à des obligations de confidentialité au moins aussi protectrices que celles du Contrat. Les audits nécessitant un accès physique seront réalisés par un auditeur indépendant mutuellement acceptable aux frais du Client. Un régulateur compétent pour le Traitement peut exercer le droit d'audit à tout moment raisonnable.

5. Sous-traitants ultérieurs

5.1 Autorisation générale. Le Client autorise Kaiterra à engager des Sous-traitants ultérieurs pour Traiter les Données Personnelles du Client, sous réserve des exigences du présent Article 5.

5.2 Liste actuelle. La liste actuelle des Sous-traitants ultérieurs est tenue sur la Page des Sous-traitants ultérieurs à l'adresse https://www.kaiterra.com/legal/subprocessors. Le Client peut s'abonner aux notifications de mise à jour sur cette page.

5.3 Notification des changements. Kaiterra informera le Client au moins 30 jours à l'avance de tout ajout ou remplacement prévu d'un Sous-traitant ultérieur en mettant à jour la Page des Sous-traitants ultérieurs et en envoyant un avis au contact vie privée désigné du Client (ou, à défaut de désignation, au contact principal du compte du Client). Lorsque le délai minimal de préavis de 14 jours prévu à la Clause 9(a) des CCT UE s'applique, Kaiterra exerce son droit au titre de cette Clause de fournir le délai de préavis plus long prévu au présent Article.

5.4 Opposition. Le Client peut s'opposer à un nouveau Sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données en adressant un avis écrit à Kaiterra dans le délai de préavis. Les Parties collaboreront de bonne foi pour résoudre l'opposition. Si les Parties ne parviennent pas à résoudre l'opposition, le Client peut, comme seul et unique recours, résilier la partie concernée des Produits Kaiterra par avis écrit avec un remboursement au prorata des frais prépayés pour la durée non utilisée.

5.5 Obligations des Sous-traitants ultérieurs. Kaiterra conclura un accord écrit avec chaque Sous-traitant ultérieur imposant des obligations de protection des données au moins aussi protectrices que celles prévues dans le présent ATD. Kaiterra demeure pleinement responsable envers le Client de l'exécution des obligations de chaque Sous-traitant ultérieur.

6. Transferts internationaux de données

6.1 Lieu d'hébergement

Les Données Personnelles du Client Traitées au titre du présent ATD sont hébergées sur l'infrastructure Amazon Web Services située à Francfort, Allemagne (eu-central-1), ou dans tout autre lieu que Kaiterra pourra notifier au Client à l'avance, à condition que tout changement ne réduise pas substantiellement le niveau global de protection accordé aux Données Personnelles du Client.

6.2 Accès par du personnel réparti mondialement

Le Client reconnaît que le personnel et les Sous-traitants ultérieurs de Kaiterra sont situés dans plusieurs juridictions et que l'accès par ce personnel et ces Sous-traitants ultérieurs aux Données Personnelles du Client aux fins de fourniture, d'assistance et d'exploitation des Produits Kaiterra peut constituer un transfert de Données Personnelles au titre de la Législation Applicable en Matière de Protection des Données. Ces transferts sont soumis aux garanties prévues au présent Article 6.

6.3 CCT UE

Dans la mesure où le transfert par le Client des Données Personnelles du Client à Kaiterra nécessite un mécanisme de transfert au titre du RGPD, les CCT UE sont incorporées au présent ATD par référence et s'appliquent comme suit :

• Lorsque le Client est Responsable du traitement et Kaiterra est Sous-traitant des Données Personnelles du Client, le Module Deux (Responsable du traitement vers Sous-traitant) s'applique.
• Lorsque le Client est Sous-traitant et Kaiterra est Sous-traitant ultérieur des Données Personnelles du Client, le Module Trois (Sous-traitant vers Sous-traitant) s'applique.
• Aux fins de la Clause 7 (clause d'adhésion) : la clause d'adhésion optionnelle s'applique.
• Aux fins de la Clause 9(a) (autorisation écrite générale) : l'Option 2 s'applique, avec le délai de préavis fixé à l'Article 5.3 du présent ATD.
• Aux fins de la Clause 11 (voies de recours) : l'organisme indépendant de résolution des litiges optionnel ne s'applique pas.
• Aux fins de la Clause 17 (droit applicable) : les CCT UE sont régies par le droit de l'Irlande.
• Aux fins de la Clause 18 (choix du for et compétence) : les litiges découlant des CCT UE sont résolus devant les juridictions d'Irlande.
• Les Annexes I, II et III des CCT UE sont complétées conformément à l'Annexe 1 (détails du transfert), l'Annexe 2 (mesures techniques et organisationnelles) et l'Article 5 (sous-traitants ultérieurs) du présent ATD.
• En cas de conflit entre les CCT UE et le corps du présent ATD, les CCT UE prévalent.

6.4 Addendum UK

Dans la mesure où le transfert par le Client des Données Personnelles du Client à Kaiterra nécessite un mécanisme de transfert au titre du RGPD UK, l'Addendum UK est incorporé au présent ATD par référence. Les Parties conviennent de ce qui suit aux fins de l'Addendum UK :

• L'Addendum UK est incorporé par référence au moyen des Clauses Obligatoires Alternatives de la Partie 2 : « Partie 2 : Clauses Obligatoires de l'Addendum Approuvé, étant le modèle d'Addendum B.1.0 publié par l'ICO et déposé devant le Parlement conformément à l'article 119A de la Data Protection Act 2018 le 2 février 2022, tel que révisé en vertu de l'Article 18 de ces Clauses Obligatoires. »
• Les Tableaux 1, 2, 3 et 4 de l'Addendum UK sont complétés comme suit :
  • Tableau 1 (Parties) : tel que prévu à l'Annexe 1.A du présent ATD.
  • Tableau 2 (CCT sélectionnées, Modules et clauses sélectionnées) : les CCT UE incorporées en vertu de l'Article 6.3 du présent ATD, avec les sélections de modules, clauses optionnelles et choix effectués à cet article.
  • Tableau 3 (Informations en annexe) : Annexe 1A — tel que prévu à l'Annexe 1.A ; Annexe 1B — tel que prévu à l'Annexe 1.B ; Annexe 2 — tel que prévu à l'Annexe 2 ; Annexe 3 — tel que prévu à l'Article 5 du présent ATD.
  • Tableau 4 (Fin de l'Addendum en cas de modification de l'Addendum Approuvé) : l'Importateur (Kaiterra) peut mettre fin à l'Addendum lorsque la version approuvée change, conformément à l'Article 19 des Clauses Obligatoires.

6.5 Suisse

Dans la mesure où les transferts de Données Personnelles du Client sont soumis à la LPD, les CCT UE s'appliquent avec les adaptations suivantes : (i) le terme « État membre » est interprété comme incluant la Suisse ; (ii) les références au RGPD sont lues comme des références à la LPD, le cas échéant ; (iii) l'autorité de contrôle compétente est le Préposé fédéral suisse à la protection des données et à la transparence ; et (iv) lorsque la LPD protège les Données Personnelles des personnes morales jusqu'au retrait de cette protection, les CCT UE s'appliquent également à ces Données Personnelles.

6.6 Transferts ultérieurs

Lorsque Kaiterra transfère des Données Personnelles du Client à un Sous-traitant ultérieur dans un pays tiers, Kaiterra veillera à ce que le transfert soit régi par un mécanisme de transfert approprié au titre de la Législation Applicable en Matière de Protection des Données, y compris (le cas échéant) les CCT UE, l'Addendum UK, le Cadre de protection des données UE-États-Unis, ou d'autres garanties reconnues.

6.7 Suppléments régionaux

Lorsque le déploiement des Produits Kaiterra auprès du Client implique un Traitement dans une juridiction ayant des exigences spécifiques en matière de résidence des données, de transfert ou d'enregistrement, les Parties concluront des conditions supplémentaires raisonnablement nécessaires pour la conformité à la Législation Applicable en Matière de Protection des Données dans cette juridiction. Les clients ayant de telles exigences sont invités à contacter privacy@kaiterra.com.

7. Lois américaines sur la protection de la vie privée des États

7.1 Les dispositions du présent Article 7 s'appliquent dans la mesure où les Données Personnelles du Client comprennent des Données Personnelles de consommateurs, résidents ou ménages soumis au CCPA ou à toute autre loi étatique américaine exhaustive en matière de vie privée.

7.2 Kaiterra agit en qualité de « prestataire de services » (service provider), « sous-traitant » (processor) ou dans un rôle analogue au titre du CCPA et des autres lois étatiques américaines exhaustives en matière de vie privée en ce qui concerne les Données Personnelles du Client. Kaiterra s'engage à :

(a) Traiter les Données Personnelles du Client uniquement aux fins commerciales limitées et spécifiées dans le Contrat et sur la base des instructions documentées du Client ;

(b) ne pas Vendre ni Partager les Données Personnelles du Client, et ne pas conserver, utiliser ou divulguer les Données Personnelles du Client à toute fin autre que les fins commerciales spécifiées dans le Contrat, y compris ne pas conserver, utiliser ou divulguer les Données Personnelles du Client en dehors de la relation commerciale directe entre les Parties ou à toute fin commerciale autre que la fourniture des Produits Kaiterra ;

(c) ne pas combiner les Données Personnelles du Client avec des Données Personnelles que Kaiterra reçoit de ou pour le compte d'une autre personne ou que Kaiterra collecte directement auprès d'un consommateur, sauf dans la mesure permise par la Législation Applicable en Matière de Protection des Données ;

(d) fournir une assistance raisonnable au Client pour répondre aux demandes des consommateurs en matière d'accès, de suppression, de rectification, de désinscription ou d'autres droits au titre de la Législation Applicable en Matière de Protection des Données ;

(e) notifier le Client si Kaiterra détermine qu'elle n'est plus en mesure de respecter ses obligations au titre de la Législation Applicable en Matière de Protection des Données ;

(f) sur demande écrite raisonnable du Client, certifier la conformité de Kaiterra au présent Article 7 ; et

(g) permettre au Client, sur avis écrit à Kaiterra, de prendre des mesures raisonnables et appropriées pour mettre fin et remédier à toute utilisation non autorisée des Données Personnelles du Client, y compris en exerçant les droits d'audit prévus à l'Article 4.

7.3 Le Client accorde à Kaiterra un droit limité de (i) compiler des informations statistiques agrégées et dé-identifiées en tant que Données Dérivées au titre de l'Article 2.3, et (ii) détecter les incidents de sécurité et prévenir la fraude, dans chaque cas dans la mesure permise par la Législation Applicable en Matière de Protection des Données.

8. Conformité relative aux pays à risque

8.1 Kaiterra se conforme aux lois applicables restreignant les transferts de données personnelles sensibles américaines en masse vers des « pays à risque » ou des « personnes visées », y compris la règle promulguée par le Département de la Justice des États-Unis au 28 CFR Part 202 mettant en œuvre le Décret présidentiel 14117 (la « Règle Finale »).

8.2 Les Données Personnelles du Client Traitées au titre du présent ATD consistent principalement en des mesures environnementales intérieures et des données d'identification et de contact limitées pour les utilisateurs autorisés. Ces données ne constituent pas des « données personnelles sensibles américaines en masse » au sens de la Règle Finale, et le Traitement des Données Personnelles du Client au titre du présent ATD ne constitue pas une « transaction de données visée » au sens de la Règle Finale.

8.3 Si Kaiterra détermine que tout Traitement de Données Personnelles du Client au titre du Contrat pourrait être ou devenir une transaction de données visée, Kaiterra en informera le Client dans les meilleurs délais et les Parties négocieront de bonne foi les garanties supplémentaires qui pourraient être nécessaires.

8.4 L'accès aux Données Personnelles du Client par le personnel de Kaiterra est limité au personnel dont les fonctions nécessitent un accès, est régi par des contrôles d'accès basés sur les rôles et est journalisé.

9. Responsabilité

Le présent ATD est soumis aux limitations et exclusions de responsabilité prévues dans le Contrat, et la responsabilité de chaque Partie au titre du présent ATD est régie par ces limitations et exclusions. Rien dans le présent Article ne limite la responsabilité d'une Partie dans la mesure où cette responsabilité ne peut être limitée par la Législation Applicable en Matière de Protection des Données, y compris le droit d'une Personne concernée à une indemnisation au titre de l'article 82 du RGPD.

10. Modifications du présent ATD

10.1 Kaiterra peut mettre à jour le présent ATD afin de refléter les modifications de la Législation Applicable en Matière de Protection des Données, des orientations réglementaires, des Produits Kaiterra ou des Sous-traitants ultérieurs et mesures de sécurité de Kaiterra. Les mises à jour non substantielles prennent effet dès la publication de l'ATD révisé à l'URL indiquée dans le Contrat.

10.2 Lorsqu'une mise à jour réduit substantiellement les protections accordées aux Données Personnelles du Client ou impose une nouvelle obligation substantielle au Client, Kaiterra accordera au Client un préavis d'au moins 30 jours. Si le Client s'oppose raisonnablement à la mise à jour, les Parties négocieront de bonne foi. Si les Parties ne parviennent pas à un accord dans les 30 jours suivant l'opposition du Client, le Client peut résilier la partie concernée du Contrat par avis écrit avec un remboursement au prorata des frais prépayés pour la durée non utilisée.

11. Dispositions générales

11.1 Ordre de préséance. En cas de conflit entre le présent ATD et le Contrat concernant le Traitement des Données Personnelles du Client, le présent ATD prévaut. En cas de conflit entre le présent ATD et les CCT UE ou l'Addendum UK (lorsqu'ils sont incorporés), les CCT UE ou l'Addendum UK prévalent.

11.2 Divisibilité. Si une disposition du présent ATD est jugée invalide ou inapplicable, les dispositions restantes conservent leur plein effet.

11.3 Droit applicable. Sauf disposition contraire de la Législation Applicable en Matière de Protection des Données, des CCT UE ou de l'Addendum UK, le présent ATD est régi par le droit spécifié dans le Contrat.

11.4 Notifications. Les notifications adressées à Kaiterra au titre du présent ATD sont envoyées à privacy@kaiterra.com. Les notifications adressées au Client sont envoyées au contact vie privée ou au contact principal du compte enregistré auprès de Kaiterra.

Annexe 1 — Détails du transfert

1.A Liste des Parties

Exportateur de données. Le Client partie au Contrat. Les coordonnées, le rôle (Responsable du traitement ou Sous-traitant) et les activités pertinentes pour le transfert sont tels qu'indiqués dans le Contrat et le Bon de commande ou le Cahier des charges applicable. Lorsque le présent ATD est exécuté dans le cadre de l'acceptation par le Client des conditions générales de Kaiterra, l'Exportateur de données est identifié par le dossier de compte associé au Contrat.

Importateur de données.

1.B Description du transfert

1.C Autorité de contrôle compétente

Pour le Traitement soumis au RGPD, l'autorité de contrôle compétente est la Commission irlandaise de protection des données (Irish Data Protection Commission), sauf si une autre autorité de contrôle est compétente en vertu de l'article 56 du RGPD.

Pour le Traitement soumis au RGPD UK, l'autorité de contrôle compétente est le Bureau du Commissaire à l'information du Royaume-Uni (United Kingdom Information Commissioner's Office).

Pour le Traitement soumis à la LPD, l'autorité de contrôle compétente est le Préposé fédéral suisse à la protection des données et à la transparence.

Annexe 2 — Mesures techniques et organisationnelles

La présente Annexe décrit les mesures techniques et organisationnelles mises en œuvre par Kaiterra pour protéger les Données Personnelles du Client, conformément à l'article 32 du RGPD, à la Clause 8.6 des CCT UE et aux exigences équivalentes de la Législation Applicable en Matière de Protection des Données. Kaiterra peut mettre à jour ces mesures, à condition que toute mise à jour ne réduise pas substantiellement le niveau global de protection accordé aux Données Personnelles du Client.

1. Programme de sécurité de l'information

Kaiterra maintient un programme écrit de sécurité de l'information comprenant des politiques, procédures et normes régissant la sécurité des Données Personnelles du Client. Le programme est révisé au moins annuellement. Kaiterra met en œuvre des pratiques de sécurité alignées sur les cadres de référence reconnus du secteur pour la conception et l'exploitation de son programme de sécurité.

2. Hébergement et sécurité physique

Les Données Personnelles du Client sont hébergées sur l'infrastructure Amazon Web Services située à Francfort, Allemagne (eu-central-1). La sécurité physique et environnementale de l'infrastructure d'hébergement est assurée par AWS conformément au modèle de responsabilité partagée d'AWS et aux certifications et attestations publiées par AWS, notamment ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 et SOC 1 et SOC 2 Type II.

Les locaux de bureaux exploités par Kaiterra sont sécurisés par des contrôles d'accès physique appropriés (y compris accès par badge, portes verrouillées et gestion des visiteurs) proportionnés à la sensibilité des activités qui y sont menées.

3. Contrôle d'accès

(a) L'accès aux systèmes Traitant les Données Personnelles du Client nécessite des identifiants utilisateur uniques et une authentification.

(b) L'authentification multifactorielle est requise pour tout accès administratif et de production.

(c) L'accès est accordé sur la base du moindre privilège, basé sur les rôles et limité dans le temps. L'accès est révisé au moins annuellement et révoqué rapidement en cas de changement de rôle ou de fin de contrat.

(d) Les identifiants de production ne sont pas partagés. Les actions privilégiées sont journalisées.

(e) La gestion des sessions comprend des délais d'inactivité appropriés et une protection contre les attaques par bourrage d'identifiants et par force brute.

4. Chiffrement

(a) Les Données Personnelles du Client sont chiffrées au repos à l'aide d'AES-256 ou d'un algorithme équivalent conforme aux normes du secteur.

(b) Les Données Personnelles du Client sont chiffrées en transit entre les appareils du Client, les appareils Kaiterra et les systèmes Kaiterra à l'aide de TLS 1.2 ou version supérieure, ou d'un protocole équivalent conforme aux normes du secteur.

(c) La gestion des clés cryptographiques suit des procédures établies, incluant un accès restreint aux clés et une rotation des clés.

5. Sécurité réseau et systèmes

(a) La segmentation réseau, les pare-feux et les groupes de sécurité isolent les environnements de production des environnements hors production.

(b) Des analyses de vulnérabilités sont effectuées régulièrement, et les vulnérabilités identifiées sont corrigées selon des délais documentés basés sur la sévérité.

(c) Des tests d'intrusion indépendants sont réalisés au moins annuellement. Les constats significatifs font l'objet de corrections et de nouveaux tests.

(d) Une journalisation et une surveillance centralisées des événements de sécurité pertinents sont en place, avec des procédures d'alerte et de revue.

(e) Des contrôles anti-malware sont déployés sur les terminaux et systèmes le cas échéant.

6. Développement logiciel sécurisé

(a) Les logiciels sont développés selon un cycle de développement sécurisé documenté comprenant la revue de code, la gestion des dépendances et les tests.

(b) Les déploiements en production sont soumis à des procédures de gestion du changement, incluant l'autorisation et la traçabilité.

(c) Le code source est stocké dans des dépôts à accès contrôlé avec protection des branches.

7. Personnel

(a) Le personnel ayant accès aux Données Personnelles du Client est soumis à des obligations écrites de confidentialité.

(b) Des vérifications des antécédents sont effectuées sur les nouveaux employés lorsque la Législation Applicable en Matière de Protection des Données le permet.

(c) Le personnel reçoit une formation en matière de sécurité et de protection des données à l'embauche et au moins annuellement par la suite.

(d) L'accès aux Données Personnelles du Client est révoqué rapidement à la fin du contrat de travail ou de la mission.

8. Réponse aux incidents et notification des violations

(a) Kaiterra maintient un plan documenté de réponse aux incidents qui est révisé et testé au moins annuellement.

(b) La notification des Violations de Données Personnelles au Client est régie par l'Article 3.4 de l'ATD.

9. Continuité d'activité et reprise après sinistre

(a) Les Données Personnelles du Client font l'objet de sauvegardes régulières. Les sauvegardes sont chiffrées et stockées de manière à les protéger contre la perte.

(b) Kaiterra maintient des plans documentés de continuité d'activité et de reprise après sinistre, incluant des objectifs de temps de reprise et de point de reprise.

(c) L'hébergement est configuré pour une redondance multi-zones de disponibilité au sein de la région d'hébergement principale.

10. Gestion des fournisseurs et des Sous-traitants ultérieurs

(a) Kaiterra évalue les Sous-traitants ultérieurs et autres fournisseurs ayant accès aux Données Personnelles du Client préalablement à leur engagement, selon des critères documentés de sécurité et de confidentialité.

(b) Les Sous-traitants ultérieurs sont liés par des accords écrits imposant des obligations de protection des données au moins aussi protectrices que le présent ATD.

(c) Les Sous-traitants ultérieurs sont répertoriés sur la Page des Sous-traitants ultérieurs.

11. Séparation des données

Les Données Personnelles du Client sont logiquement séparées des données des autres clients au sein de l'infrastructure partagée par le biais d'identifiants de locataires, de contrôles d'accès et d'une séparation au niveau de la base de données.

12. Audit et assurance

Kaiterra tient une documentation suffisante pour démontrer la conformité à la présente Annexe et à l'ATD, et met cette documentation à la disposition du Client conformément à l'Article 4 de l'ATD.

Annexe 3 — Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs autorisés au titre du présent ATD est tenue à l'adresse https://www.kaiterra.com/legal/subprocessors. La Page des Sous-traitants ultérieurs identifie, pour chaque Sous-traitant ultérieur, le nom du Sous-traitant ultérieur, sa localisation, les catégories de Traitement effectuées et les catégories de Données Personnelles du Client auxquelles il a accès. La Page des Sous-traitants ultérieurs est incorporée au présent ATD par référence et constitue l'Annexe III des CCT UE et l'annexe correspondante de l'Addendum UK.