Accord de traitement des données Cadence
Sommaire
- 1. DÉFINITIONS ET INTERPRÉTATION
- 2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
- 3. RÔLES ET RESPONSABILITÉS
- 4. SOUS-TRAITANCE ULTÉRIEURE
- 5. SÉCURITÉ
- 6. GESTION DES INCIDENTS ET VIOLATION DE DONNÉES
- 7. AUDITS
- 8. TITULARITÉ, TRANSFERT ET SUPPRESSION DES DONNÉES
- 9. DROITS DES PERSONNES CONCERNÉES
- 10. COOPÉRATION ET ASSISTANCE
- 11. RESPONSABILITÉ ET INDEMNISATION
- 12. CONFIDENTIALITÉ
- 13. DURÉE DU CONTRAT
- 14. DROIT APPLICABLE, JURIDICTION ET LITIGES
- 15. DIVERS
- ANNEXE A : Détails du traitement des données
- ANNEXE B : Liste des sous-traitants
- ANNEXE C : Mesures de Sécurité Techniques & Organisationnelles
- 1. HÉBERGEMENT DES DONNÉES
- 2. NIVEAU DE SÉCURITÉ DE L’APPLICATION
- 3. FORMATION & SENSIBILISATION DES SALARIÉS CADENCE
- 4. MESURES DE SECURITÉ APPLICABLES À NOS LOCAUX & COLLABORATEURS
- 5. TECHNOLOGIE DE HACHAGE DES MOTS DE PASSE
- 6. SÉGRÉGATION DES ENVIRONNEMENTS DE TRAVAIL : PRODUCTION & DÉVELOPPEMENT
- 7. SURVEILLANCE ET REMÉDIATIONS DE VULNÉRABILITÉ (POSTE DE TRAVAIL & PRODUCTION)
- 8. MISE À JOUR DES SERVEURS, PARE-FEU, RÉSEAUX DE SAUVEGARDE & ANTI-VIRUS
- 9. PRIVILÈGE ET SEGMENTATION DES USAGES D’ADMINISTRATION
- 10. DIVULGATION RESPONSABLE
CET ACCORD DE TRAITEMENT DE DONNÉES EST CONCLU ENTRE :
BJT Partners aussi connu sous la dénomination commerciale Ringover Group, SAS (Société par Actions Simplifiées) dont le siège social est situé au 50 bis rue Maurice Arnoux, 92120 MONTROUGE, FRANCE, immatriculée au RCS de Paris sous le numéro 480 234 210, ci-après désignée par le terme « Sous-traitant » ou « Cadence », entreprise propriétaire de la marque « Cadence ». Adresse email de contact : [email protected] ;
ET
Le Client : (ci-après dénommé le « Responsable de traitement » ou « Client ») ;
Individuellement une « Partie » et collectivement les « Parties » ;
QUI ONT CONVENU COMME SUIT :
Dans le cadre de la fourniture des Services au Client au titre du Contrat, Cadence peut traiter des Données à Caractère Personnel pour le compte du Client et les Parties acceptent de respecter les stipulations suivantes concernant toutes Données à Caractère Personnel, chacune agissant raisonnablement et de bonne foi.
Le présent Contrat relatif au traitement de Données à Caractère Personnel fait partie intégrante du Contrat de Service Cadence entre Cadence et le Client auquel il est joint, et reflète l’accord des Parties au regard du Traitement des Données à Caractère Personnel.
1. DÉFINITIONS ET INTERPRÉTATION
Dans le présent Contrat et sauf définition contraire dans le Contrat de Services Cadence, tous les termes en majuscule utilisés dans le présent Contrat auront la signification qui leur est donnée ci-dessous :
- CLAUSES CONTRACTUELLES TYPES : désigne les Clauses Contractuelles Types de la Commission Européenne pour le transfert de Données à Caractère Personnel à des Sous-Traitants établis en dehors de l’Espace Économique Européen dans des pays qui n’assurent pas un niveau adéquat de protection des Données à Caractère Personnel, en application de la décision de la Commission européenne (2021/914) du 4 juin 2021.
- CONTRAT : désigne le présent accord de traitement de données entre Cadence, et le Client.
- CONTRAT DE SERVICES CADENCE : désigne les conditions générales Cadence relatives à la fourniture, à l’utilisation et à l’accès aux services conclus entre les Parties auxquelles est annexé le présent Contrat accessible ici.
- DONNÉES PERSONNELLES : désigne toute information relative à un sujet identifié, qui peut être identifiée, directement ou indirectement, notamment par une référence à un numéro d’identification ou à un ou plusieurs facteurs spécifiques à leur nature physique, physiologique, mentale, économique, économique ou physique, identité culturelle ou sociale.
- PERSONNE CONCERNÉE : désigne la personne concernée dont les Données Personnelles sont traitées par Cadence et / ou le Client dans le cadre du présent Contrat.
- RÈGLEMENTATION APPLICABLE À LA PROTECTION DES DONNÉES : désigne toutes les lois et réglementations, y compris les lois et réglementations de l’Union Européenne, de l’Espace économique européen et de leurs États membres, y compris la Loi Informatique et Libertés n°78-17 telle que modifiée, applicables au traitement des Données Personnelles en vertu du Contrat, y compris le RGPD tel que défini ci-dessous.
- RESPONSABLE DE TRAITEMENT ou CLIENT : désigne la société signataire du présent Contrat, qui détermine les instructions et les moyens et finalités des traitements de Données Personnelles, aussi dénommé le « Client ».
- RGPD : désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
- SERVICE CADENCE : désigne les services proposés par Cadence (tels que définis dans le Contrat de service Cadence) que le Client a achetés ou déployés ou auxquels le Client a souscrit en vertu du Contrat de Services Cadence.
- SOUS-TRAITANT ou CADENCE : désigne la société BJT Partners et sa marque Cadence, qui réalise des traitements de données personnelles pour le compte et sur les instructions du Client, aussi dénommé « Cadence ».
- SOUS-TRAITANT ULTÉRIEUR : désigne tout Sous-Traitant engagé par Cadence pour traiter tout ou partie des données à caractère personnel pour le compte et sur instruction de Cadence.
- TRAITEMENT : désigne toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, que ce soit de manière automatique ou non, telle que la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, blocage, effacement ou destruction, comme décrit dans l’annexe A.
Tous les termes relatifs à la protection des données personnelles qui ne sont pas spécifiquement définis dans le contrat tels que « autorité de contrôle », « fichier », « destinataire », « violations de données », « consentement » ont le sens qui leur est donné à l’article 4 du RGPD.
2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
2.1 Rôles des Parties
Les Parties reconnaissent et acceptent que, concernant le Traitement de Données à Caractère Personnel, le Client est le Responsable de Traitement, Cadence est le Sous-Traitant et que Cadence pourra engager des Sous-Traitants Ultérieurs conformément aux stipulations de l’article 4 « Sous-Traitance Ultérieure » ci-dessous.
2.2 Traitement de Données à Caractère Personnel par le Client
Le Client agissant en tant que Responsable de traitement détermine les finalités et les moyens du traitement des Données à Caractère Personnel. Le Client s’engage, lors de son utilisation des Services Cadence, à traiter les Données à Caractère Personnel en conformité avec les exigences de la Réglementation Applicable à la Protection des Données. Afin d’éviter toute ambiguïté, les instructions du Client pour le traitement des données personnelles doivent être conformes à la Réglementation Applicable à la Protection des Données. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels Le Client a acquis des Données à Caractère Personnel. Le Client doit également informer les Personnes Concernées du Traitement de leurs Données à Caractère Personnel par Cadence.
2.3 Traitement des Données à Caractère Personnel par Cadence
Cadence, agissant en tant que Sous-Traitant, s’engage à traiter les Données à Caractère Personnel comme des informations confidentielles et s’engage à ne procéder au Traitement de Données à Caractère Personnel que pour le compte du Client et conformément aux instructions documentées du Client. Le Client donne instruction à Cadence de traiter les Données à Caractère Personnel pour les finalités suivantes : (i) traitement réalisé pour l’exécution du présent Contrat, du contrat de Services Cadence et de tout(s) bon(s) de commande applicable(s) ; (ii) traitement initié par le Client lors de son utilisation des Services Cadence et plus généralement pour la fourniture des Services Cadence, (iii) traitement pour se conformer à toute autre instruction raisonnable et documentée du Client (ex. par e-mail) dès lors que ces instructions sont conformes aux termes du Contrat.
2.4 Détails des traitements de Données à Caractère Personnel
L’objet du Traitement des Données à Caractère Personnel opéré par Cadence est la fourniture des Services Cadence conformément au Contrat de Services Cadence tel que décrit dans le présent Contrat. La durée des Traitements, la nature et la finalité des Traitements ainsi que les types de Données à Caractère Personnel et les catégories de Personnes Concernées faisant l’objet des Traitements en vertu du présent Contrat sont précisés à l’Annexe A (Détails du Traitement).
3. RÔLES ET RESPONSABILITÉS
3.1 Obligations du Client
Le Client s’engage à :
- donner des instructions documentées relatives aux finalités et moyens du Traitement des Données à Caractère Personnel fournies par le Client par Cadence conformément au Contrat ;
- respecter ses obligations, notamment au titre de la Réglementation Applicable à la Protection des Données en matière de protection des Données à Caractère Personnel, de sécurité relatives à la collecte et au Traitement des Données à Caractère Personnel communiquées par le Client à Cadence ; et à
- désigner, à la demande de Cadence, un point de contact unique chargé de recevoir et répondre aux demandes de Cadence relatives à l’administration des Données à Caractère Personnel du Client liées au contrat de service Cadence.
3.2 Obligations de Cadence
Cadence en tant que Sous-Traitant s’engage à :
- s’assurer que toute personne autorisée par Cadence à participer au Traitement des Données à Caractère Personnel pour le compte du Client (y compris son personnel, ses agents et ses Sous-Traitants) se sont engagés à en respecter la confidentialité ou sont soumis à une obligation légale de confidentialité appropriée et à respecter les principes de la protection des Données à Caractère Personnel. Cadence s’engage à prendre des mesures commercialement raisonnables pour assurer la fiabilité de tout membre de son personnel impliqué dans le Traitement des Données à Caractère Personnel. Le Sous-Traitant s’engage à restreindre l’accès aux Données à Caractère Personnel aux seuls membres de son personnel ayant strictement besoin d’accéder à ces données pour s’acquitter de leurs missions et obligations en vertu du Contrat de Services Cadence, du ou des bons de commande applicables et du présent Contrat ;
- informer le Client sans délai si, à son avis, une instruction enfreint les dispositions de la Réglementation Applicable à la Protection des Données ;
- prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer la sécurité du Traitement. En particulier, Cadence s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées et décrites à l’Annexe C en tenant compte de l’état de la technique, du coût de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques liés à la probabilité et à la gravité des droits et libertés des Personnes Concernées résultant du Traitement des Données à Caractère Personnel. Ces mesures pourront être revues et mises à jour en cas d’évolution de la Réglementation Applicable à la Protection des Données ou lorsque Cadence le juge nécessaire ;
- assister raisonnablement le Client à démontrer le respect de ses obligations relatives à la protection des Données à Caractère Personnel et notamment ses obligations de notification et de communication en cas de violation des données, en effectuant une évaluation de la confidentialité des données et en consultant l’autorité de contrôle le cas échéant, en tenant compte de la nature du traitement et des informations à la disposition de Cadence ;
- coopérer avec les autorités de contrôle compétentes si nécessaire ; et à
- mettre à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations relatives à la Protection des Données à Caractère Personnel du Client.
- Dans la mesure du possible, les Parties s’engagent à coopérer entre elles en cas de contrôle de la CNIL ou toute autre autorité compétente concernant les Traitements mis en œuvre.
4. SOUS-TRAITANCE ULTÉRIEURE
4.1 Autorisation des Sous-Traitants Ultérieurs
Le Client reconnaît et accepte que Cadence puisse engager des Sous-Traitants Ultérieurs en lien avec la fourniture des Services Cadence. En telle hypothèse, Cadence aura conclu un accord écrit avec chaque Sous-Traitant Ultérieur contenant des obligations de protection des Données à Caractère Personnel en ce qui concerne la protection des Données à Caractère Personnel du Client dans la mesure de ce qui est applicable eu égard à la nature des Services Cadence fournis par ledit Sous-Traitant Ultérieur.
4.2 Responsabilité des Sous-Traitants Ultérieurs
Cadence reste responsable des actes et omissions de ses Sous-Traitants Ultérieurs dans les mêmes conditions que si Cadence était directement en charge de fournir les Services Cadence confiés aux Sous-Traitants Ultérieurs au titre du présent Contrat, sauf si le Contrat de Services Cadence en stipule autrement.
4.3 Liste des Sous-Traitants Ultérieurs actuels et notification de nouveaux Sous-Traitants Ultérieurs
Cadence met à la disposition du Client une liste des Sous-Traitants Ultérieurs actuels pouvant intervenir pour la fourniture des Services Cadence et pour les Traitements décrits à l’Annexe A. La liste des Sous-Traitants Ultérieurs actuels est disponible à l’Annexe B et sera disponible sur l’espace personnel Cadence accessible par les utilisateurs disposant des privilèges « super administrateur ».
Cadence s’engage à informer le Client en cas d’ajout ou de suppression de Sous-Traitants Ultérieurs au moins dix (10) jours ouvrés avant de telles modifications.
4.4 Droit d’opposition du Client aux nouveaux Sous-Traitants Ultérieurs
Le Client peut s’opposer à la désignation par Cadence d’un nouveau Sous-Traitant Ultérieur, s’il considère objectivement que ce Sous-Traitant Ultérieur empêche le Client de respecter ses obligations légales, notamment au titre de la réglementation applicable à la protection des Données Personnelles à laquelle il est soumis, en avertissant Cadence promptement par écrit dans les dix (10) jours ouvrés à compter de la réception de la notification de Cadence conformément au mécanisme décrit à l’article 4.3. Si le Client s’oppose à la désignation d’un nouveau Sous-Traitant Ultérieur, Cadence fera des efforts raisonnables pour proposer au Client une solution alternative dans le cadre de la fourniture des Services Cadence ou pour recommander un changement commercialement raisonnable de la configuration ou de l’utilisation par le Client des Services Cadence afin d’éviter le Traitement des Données à Caractère Personnel par le nouveau Sous-Traitant Ultérieur faisant l’objet de l’opposition, sans que cela constitue un effort déraisonnable pour le Client.
5. SÉCURITÉ
5.1 Mesures de sécurité
Cadence s’engage à mettre en œuvre et à maintenir des mesures de sécurité techniques et organisationnelles appropriées pour assurer la sécurité (en ce compris la protection contre le Traitement non autorisé ou illicite, et contre la perte, la destruction, l’altération, les dégâts, d’origine accidentelle ou illicite, la divulgation ou l’accès non autorisé(e) ou illicite aux Données à Caractère Personnel du Client), la confidentialité et l’intégrité des Données à Caractère Personnel fournies par le Client conformément aux normes de sécurité de Cadence décrites en Annexe C (« Annexe C : Mesures de sécurité »). Cadence vérifie régulièrement la conformité avec ces mesures. Cadence s’engage à ne pas diminuer de manière substantielle la sécurité globale liée à la fourniture des Services Cadence pendant la durée de leur souscription par le Client.
5.2 Mises à jour des mesures de sécurité
Il incombe au Client de vérifier les informations mises à disposition par Cadence concernant la sécurité des Données à Caractère Personnel et de déterminer de manière indépendante si les Services Cadence répondent aux exigences et aux obligations légales du Client en vertu de la Réglementation Applicable à la Protection des Données. Le Client reconnaît que les mesures de sécurité font l’objet de progrès et de développements techniques et que Cadence peut mettre à jour ou modifier les mesures de sécurité de temps à autre, sans notification préalable du Client, à condition que ces mises à jour et modifications n’entraînent pas de dégradation significative de la sécurité globale du service fourni au Client. Le Client peut à tout moment obtenir communication des évolutions des mesures de sécurité de Cadence en s’adressant à [email protected].
5.3 Responsabilités du Client
Nonobstant ce qui précède, le Client accepte, sauf disposition contraire du présent Contrat ou du Contrat de Service Cadence, être responsable de son utilisation sécurisée du Service Cadence, y compris de la sécurisation de ses identifiants d’authentification de compte, de la protection de la sécurité des données du Client lors de son transit vers et depuis le Service Cadence, de prendre des mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les données du Client téléchargées sur le Service Cadence. Le Client déclare également être responsable d’une utilisation sécurisée par ses salariés ou ses sous-traitants du Service Cadence.
6. GESTION DES INCIDENTS ET VIOLATION DE DONNÉES
Cadence maintient des règles et procédures de gestion d’incidents de sécurité et s’engage à notifier dans les meilleurs délais au Client, après en avoir pris connaissance, toute perte, destruction ou altération accidentelle ou illicite et toute divulgation ou accès non autorisé(e) de Données du Client, en ce compris les Données à Caractère Personnel transmises, stockées ou traitées par Cadence ou ses Sous-Traitants Ultérieurs et dont Cadence prend connaissance, conformément à la Réglementation Applicable à la Protection des Données. Cadence fera des efforts raisonnables pour identifier la cause de cet incident, qu’il constitue ou non une violation de données au sens de la Réglementation Applicable à la Protection des Données et prendra toute démarche qu’elle estime nécessaire et raisonnable afin de remédier à la cause de cet incident, dans la mesure où le pouvoir de remédier à cet incident est sous son contrôle.
En particulier, dès que Cadence prend connaissance d’une violation de Données à Caractère Personnel Cadence :
- en informera le Client dans tous les cas sans retard injustifié et, lorsque cela est possible, au plus tard 72 heures après avoir pris connaissance de l’incident de sécurité ;
- fournira des informations au Client en temps opportun relatives à la violation de données à mesure qu’elle en prend connaissance ou sur demande raisonnable du Client ; et
- prendra rapidement les mesures raisonnables pour contenir et enquêter sur toute violation de données. En tout état de cause, la notification ou la réponse de Cadence à une violation de données ne doit pas être interprétée comme une reconnaissance par Cadence de toute faute ou responsabilité liée à l’incident de sécurité ; et
- notifiera, le cas échéant, la violation de Données à Caractère Personnel à l’autorité de contrôle compétente. Cette notification comprendra les éléments suivants :
- La description et la nature de la violation de Données à Caractère Personnel y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la violation de Données à Caractère Personnel et les catégories et le nombre approximatif d’enregistrement des Données à Caractère Personnel concernées ;
- Le nom et les coordonnées du Délégué à la Protection des Données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- La description des conséquences probables de la violation de Données à Caractère Personnel ;
- La description des mesures prises ou que Cadence propose de prendre pour remédier à violation de Données à Caractère Personnel, y compris le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Ces obligations ne s’appliquent pas aux incidents causés par le Client.
7. AUDITS
Sur demande et dans le strict respect des obligations de confidentialité prévues dans le Contrat de Services, Cadence s’engage à mettre à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité de Cadence aux termes du présent Contrat, y compris les réponses aux questionnaires sur la sécurité de l’information, à condition que le Client ne soit pas un concurrent de Cadence ou une société affiliée à un concurrent de Cadence. Cadence répondra aux questions posées par le Client sur le Traitement des Données à Caractère Personnel fournies par le Client.
Au cas où les informations transmises par Cadence ne permettent pas au Client de raisonnablement vérifier la conformité de Cadence avec ses obligations aux termes du présent Contrat ou en cas de violation de Données à Caractère Personnel, Cadence devra en accord avec le Client soit :
- fournir au Client une attestation émise par un expert tiers qualifié indépendant certifiant que les procédures et processus d’activité de Cadence qui impliquent le Traitement des Données à Caractère Personnel fournies par le Client respectent le présent Contrat ; ou à défaut,
- permettre à un expert tiers indépendant, engagé par le Client et à ses frais, de procéder à un audit des installations que Cadence utilise pour le Traitement des Données à Caractère Personnel du Client. La désignation de l’expert tiers indépendant devra être raisonnablement acceptable pour Cadence, et cet expert devra être tenu à des obligations de confidentialité satisfaisantes pour Cadence. Le Client fournira à Cadence une copie du rapport d’audit. L’audit sera considéré comme une information confidentielle de Cadence.
Les audits pourront être effectués au maximum une fois par an et par Client, pendant la durée du Contrat de Services Cadence, pendant les heures normales de travail, et seront soumis à (i) une demande écrite présentée à Cadence au moins soixante (60) jours avant la date d’audit proposée et (ii) un plan d’audit écrit détaillé revu et approuvé par l’organisation de sécurité de Cadence. Ces audits ne pourront avoir lieu qu’en présence d’un représentant de l’équipe de sécurité de Cadence ou toute autre personne mandatée à cette fin par Cadence. Les audits ne devront pas perturber les activités de Traitement de Cadence ni compromettre la sécurité et la confidentialité des Données à Caractère Personnel appartenant à d’autres Clients de Cadence.
Le Client prend à sa charge les sommes liées au temps passé par Cadence et ses équipes ou ses Sous-Traitants Ultérieurs pour un tel audit aux tarifs des services professionnels Cadence en vigueur à ce moment, qui seront mis à la disposition du Client sur demande. Avant le début d’un tel audit sur site, le Client et Cadence conviennent mutuellement de l’étendue, du calendrier et de la durée de l’audit, ainsi que des frais relatifs au temps passé par Cadence et ses équipes ou ses Sous-Traitants Ultérieurs dont le Client sera responsable. Ces frais doivent être raisonnables, compte tenu des ressources dépensées par Cadence ou ses Sous-Traitants Ultérieurs. Le Client s’engage à informer rapidement Cadence de toute non-conformité découverte au cours d’un audit.
8. TITULARITÉ, TRANSFERT ET SUPPRESSION DES DONNÉES
8.1 Titularité des données
Les Parties conviennent que les Données à Caractère Personnel collectées, traitées, hébergées, sauvegardées ou stockées par Cadence pour le compte du Client, dans le cadre du présent Contrat et du Contrat de Services Cadence ou à son initiative, sont et restent la propriété exclusive du Client.
8.2 Transfert de données
Pour la fourniture des Services Cadence en vertu du Contrat de Services, Cadence peut avoir à transférer certaines Données à Caractère Personnel fournies par le Client à des Sous-Traitants Ultérieurs, conformément aux dispositions de l’article 4 du Contrat, qui peuvent être situés dans des pays en dehors de l’Espace Économique Européen et n’assurant pas un niveau de protection adéquat des Données à Caractère Personnel.
Cadence s’engage, conformément à la Réglementation Applicable à la Protection des Données à mettre en place un mécanisme permettant de couvrir un tel transfert de manière conforme à la Réglementation Applicable à la Protection des Données et notamment aux Clauses Contractuelles Types adoptées par la Commission Européenne pour encadrer le transfert de Données à Caractère Personnel aux Sous-traitants Ultérieurs situés hors de l’Espace Économique Européen.
8.3 Retour ou suppression des Données à Caractère Personnel
En cas de résiliation ou d’expiration du Contrat de Services Cadence, Cadence cessera toutes les opérations menées sur les Données à Caractère Personnel fournies par le Client et, au choix du Client, restituera ou supprimera irrémédiablement toutes les Données à Caractère Personnel fournies par le Client au titre du Contrat de Services Cadence et demandera à ses Sous-Traitants d’en faire de même. A défaut de choix de la part du Client, Cadence supprimera automatiquement les Données à Caractère Personnel fournies par le Client au titre du Contrat de Services Cadence.
Si, en vertu de la Réglementation Applicable à la Protection des Données, de son droit national ou sur demande d’une autorité de contrôle, Cadence a l’interdiction de détruire ou de restituer tout ou partie desdites Données à Caractère Personnel, Cadence s’engage à préserver la confidentialité de ces Données à Caractère Personnel et ne devra traiter aucune de ces données pour une quelconque autre finalité. En telle hypothèse, Cadence pourra conserver une copie des Données à Caractère Personnel fournies par le Client en tant qu’archives, dans la mesure requise par la Réglementation Applicable à la Protection des Données, tel qu’autorisé par le Client, ou tel que nécessaire à des fins de résolution des litiges.
Une fois les données restituées au Client, Cadence ne sera plus responsable de la sécurité des données et de leur intégrité, en particulier lorsque celles-ci seront stockées, suite au transfert de données de Cadence au Client, sur les serveurs du Client ou sur les serveurs d’un sous-traitant opérant pour le compte du Client.
9. DROITS DES PERSONNES CONCERNÉES
Si Cadence reçoit une demande d’une Personne Concernée pour exercer son droit d’accès, de correction, de limitation du Traitement, de suppression, de portabilité des données, d’opposition au Traitement, de définir des directives sur le sort de ses données après la mort ou de ne pas faire l’objet d’une décision individuelle automatisée, Cadence s’engage à notifier promptement le Client.
Compte tenu de la nature du Traitement, Cadence s’engage à assister de manière raisonnable le Client dans la mesure du possible et par des moyens techniques et organisationnels appropriés afin de permettre au Client de respecter son obligation de répondre à toute demande de Personne Concernée en conformité avec la Réglementation Applicable à la Protection des Données. En outre, à la demande expresse du Client et dans la mesure où le Client n’a pas, dans le cadre de son utilisation des Services Cadence, la possibilité de répondre à une demande de Personne Concernée, Cadence s’engage à faire tout ce qui est commercialement raisonnable en vue d’assister le Client dans sa réponse à une telle demande. Dans le cas où une telle coopération et assistance requerrait des ressources significatives de la part de Cadence, Cadence se réserve le droit de facturer le Client aux tarifs des services professionnels Cadence en vigueur à ce moment, qui seront mis à la disposition du Client sur demande, en lui soumettant au préalable un devis.
Si Cadence reçoit une demande de divulgation des Données à Caractère Personnel fournies par le Client de la part des forces de l’ordre, d’un organisme public chargé de la sécurité ou d’une autorité de contrôle, Cadence informera dans les meilleurs délais le Client de cette demande, sauf lorsque la divulgation de cette information est interdite par la loi.
En tout état de cause, Cadence ne répondra jamais à une demande d’une Personne Concernée dont les Données à Caractère Personnel sont traitées pour le compte du Client, sauf instruction écrite, spécifique et préalable du Client. De même, lorsque la demande émane d’une autorité et que, conformément aux stipulations du paragraphe précédent, Cadence peut en informer le Client, Cadence ne répondra jamais à une telle demande sauf instruction, écrite, spécifique et préalable du Client.
10. COOPÉRATION ET ASSISTANCE
En plus des obligations mentionnées aux articles 3 et 9, Cadence mettra en œuvre ses meilleurs efforts pour coopérer avec le Client afin de l’assister raisonnablement dans l’exécution des obligations qui lui incombent au titre de la Réglementation Applicable à la Protection des Données et du ressort de Cadence et de ses Sous-Traitants Ultérieurs, y compris mais sans s’y limiter les obligations de notification de toute violation de données ou les obligations de consultation d’une autorité de contrôle.
La coopération de Cadence et l’assistance du Client pourra porter notamment sur les éléments suivants :
- sur demande, Cadence s’engage à coopérer avec le Client pour répondre à toute requête d’une autorité de contrôle ;
- Cadence s’engage à prêter assistance au Client pour démontrer sa conformité avec les règles prescrites par les articles 32 à 36 du RGPD et notamment pour la réalisation d’analyse d’impact sur la protection des données ; et
- en cas de procédure initiée à l’encontre d’une Partie, l’autre Partie devra coopérer de bonne foi et sans délai injustifié, dans la mesure du possible, à cette procédure.
Dans le cas où une telle coopération et assistance requerrait des ressources significatives de la part de Cadence, Cadence se réserve le droit de facturer le Client aux tarifs des services professionnels Cadence en vigueur à ce moment, qui seront mis à la disposition du Client sur demande, en lui soumettant au préalable un devis.
11. RESPONSABILITÉ ET INDEMNISATION
La responsabilité de chaque Partie, dans sa totalité, découlant ou relative au présent Contrat et au Contrat de Services Cadence ainsi qu’à tout bon de commande, qu’elle soit contractuelle, délictuelle ou de toute autre nature, est soumise à l’article « Limitation de responsabilité » dans le Contrat de Services Cadence, et toute référence à la responsabilité d’une Partie dans ledit article désigne la responsabilité totale de cette Partie au titre de l’ensemble formé par ce Contrat, le Contrat de Services Cadence ainsi qu’à tout bon de commande signé entre les Parties.
12. CONFIDENTIALITÉ
Chaque Partie doit traiter le présent Contrat et les informations reçues de l’autre Partie et de ses activités en relation avec ce Contrat, comme des informations confidentielles et doit les conserver de manière appropriée et sécurisée. Chaque Partie ne doit pas utiliser ou divulguer ces informations confidentielles sans le consentement écrit préalable de l’autre Partie, sauf dans la mesure où (i) la divulgation est requise par la loi ou (ii) les informations pertinentes ont déjà été rendues publiques.
13. DURÉE DU CONTRAT
Le Contrat restera en vigueur entre les Parties tout le temps de la durée de la fourniture des Services Cadence, conformément aux stipulations du Contrat de Services Cadence et des éventuels bons de commandes afférents.
14. DROIT APPLICABLE, JURIDICTION ET LITIGES
Le présent Contrat est régi par la loi française. Les Parties feront leurs meilleurs efforts pour résoudre amiablement, de manière juste et équitable, tout différend relatif à la formation, l’interprétation, l’exécution et la résiliation du présent Contrat, les Parties conviennent de se réunir après la réception d’une notification en ce sens envoyée par courrier recommandé avec accusé de réception par l’une des Parties avec l’intention de résoudre ce litige à l’amiable. Si les Parties ne parviennent pas à un règlement à l’amiable en signant un accord de règlement dans les soixante (60) jours suivant la réunion de résolution amiable du litige les Parties soumettront leur différend au tribunal compétent du ressort de la Cour d’Appel de Paris qui aura compétence exclusive pour régler le différend.
15. DIVERS
Le présent Contrat constitue l’intégralité de l’accord entre les Parties en ce qui concerne son objet. Toute modification apportée au présent Contrat doit faire l’objet d’un avenant écrit signé par les deux parties. En cas de conflit entre ce Contrat, le Contrat de Services Cadence ou tout bon de commande, ce Contrat prévaudra sauf lorsque la prévalence du Contrat de Services Cadence est expressément stipulée.
Tous les avis et communications données en vertu du présent accord doivent être écrits et seront envoyés par courrier postal ou par email aux adresses postales et emails indiquées dans l’en-tête de ce Contrat. Si l’une des Parties change d’adresse pendant la durée du Contrat de Services Cadence, elle a la responsabilité d’en informer, dans un délai raisonnable, l’autre Partie par courrier postal ou par email.
Le présent Contrat est dûment accepté par les Parties et prend effet à la date de la signature du bon de commande.
ANNEXE A : Détails du traitement des données
| CATÉGORIES DE DONNÉES | DURÉE DE RETENTION DES DONNÉES |
|---|---|
| Informations générales : nom de l’entreprise, adresse, effectif… | Toute la durée du Contrat de Service. Lors de la résiliation, ces données sont gardées un (1) an afin de convenir à toute réquisition potentielle par les autorités compétentes. |
| Emails transactionnels | Cadence ne stocke pas d’historique d’email transactionnel contenant des informations Clients. |
| Contact du Client, importé manuellement par le Client sur Cadence | Tout contact importé qui est supprimé manuellement par le client est supprimé par Cadence. À la résiliation du client, Cadence supprime tous ses contacts. |
| Contact du Client, synchronisé avec le CRM | Les contacts sont synchronisés avec le CRM et restent disponibles tant qu’ils existent dans le CRM. |
| Numéro utilisateur (OKTA ou AZURE) si intégration SSO | Ces données seront conservées pendant toute la durée du Contrat de Service. |
RESPECT DU DÉLAI DE CONSERVATION LÉGAL DES COMMUNICATIONS ÉLECTRONIQUES
En tant qu’opérateur de services de communications électroniques au sens de l’article L.33-1 du Code des Postes et des Communications Électroniques, notre activité est déclarée auprès de l’ARCEP nous sommes tenus de conserver certaines données personnelles relatives aux services de communications électroniques pour une durée de légale de 12 mois conformément aux dispositions de l’article L.34-1 du Code des Postes et des Communications Électroniques (III. à VI.) et de ses décrets d’application 2006-538 et 2012-436.
ANNEXE B : Liste des sous-traitants
| NOMS DES SOUS-TRAITANTS | ACTIONS RÉALISÉES SUR LES DONNÉES | LOCALISATION DES SERVEURS | MESURES POUR COUVRIR LE TRANSFERT (si applicable) |
|---|---|---|---|
| SCALEWAY | Stockage de nos bases de données, cloud service, load balancer d’API & CDN/S3 | FRANCE | N/A |
| DATAPACKET | Stockage de nos bases de données, serveurs web, serveurs Telecom | FRANCE | N/A |
| CLOUDFLARE | DNS et load balancer d’API | ÉTATS-UNIS | Pas de transfert hors UE, option data localization suite (données stockées en UE) |
| GETACCEPT | Certification de signature | IRLANDE | N/A |
| SALESFORCE | CRM pour la gestion et le suivi des clients | ÉTATS-UNIS | CCT |
| FINANCIAL FORCE | Gestion de la facturation | ÉTATS-UNIS | CCT |
| SENDINBLUE | Mailing | FRANCE | N/A |
| SENDGRID | Mailing (prestataire backup de Sendinblue) | ÉTATS-UNIS | CCT |
| SLACK | Outil de communication interne | ÉTATS-UNIS | CCT |
| ZENDESK | Gestion des tickets | ÉTATS-UNIS | CCT |
| PLANHAT | Gestion de la relation client | BELGIQUE | N/A |
ANNEXE C : Mesures de Sécurité Techniques & Organisationnelles
1. HÉBERGEMENT DES DONNÉES
1.1 Localisation
L’ensemble des centres au sein desquels les données nécessaires à la fourniture des services Cadence sont hébergées, sont localisés en France via les services de Scaleway et en Allemagne via GCP Compute Engine, n’engendrant dès lors aucun transfert de données en dehors de l’Union Européenne ou de l’Espace Économique Européen.
1.2 Certifications
Ces hébergeurs disposent des certifications suivantes :
| Hébergeurs | Localisation | Type de données | Certifications |
|---|---|---|---|
| Scaleway DC | Vitry-sur-Seine | Base de données | Certification HDS Tier 3 ISO 27001 : 2013 ISO 50001 : 2011 |
| GCP Compute Engine | Francfort, Allemagne | Application | ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC 1 FedRAMP |
1.3 Plan de continuité d’activité
Nous avons également mis en place un plan de continuité d’activité et de réponse en cas d’incident.
1.4 Organisation et sécurité
Par ailleurs :
- nos centres de données gèrent la sécurité physique 24 heures sur 24, 7 jours sur 7, à l’aide de scanners biométriques ou de contrôles d’identité élevés ;
- nous avons 2 arrivées électriques différentes pour chaque rack ;
- nous avons mis en place des mesures d’atténuation DDOS dans tous nos centres de données ;
- nous avons différents fournisseurs de classe 3 pour le transit IP ; et
- nos services reposent sur plusieurs opérateurs pour la voix et les SMS afin d’assurer une stabilité du service et une meilleure sécurité.
Visites des sites d’hébergement : L’ensemble des Clients, fournisseurs et visiteurs n’ont pas accès à nos sites d’hébergement. Les demandes d’accès aux sites d’hébergement sont strictement documentées et doivent être justifiées par le personnel compétent de Cadence.
2. NIVEAU DE SÉCURITÉ DE L’APPLICATION
- Toutes les pages de connexion (de notre site Web et de notre site Web mobile) transmettent des données via TLS.
- Après la connexion, l’application Cadence utilise un jeton temporaire pour identifier le Client.
- L’application Cadence utilise oAuth2 pour toutes ses routes.
- L’application Cadence entière est chiffrée avec TLS et SRTP pour les données vocales.
- Le tableau de bord permet de refuser l’accès à votre compte par le support, sauf si l’utilisateur donne explicitement son accord.
- Les données de votre carte de crédit ne sont pas stockées dans notre base de données. Nous utilisons des fournisseurs de services (listés dans l’onglet Annexe B) qui gèrent vos paiements avec des identifiants de portefeuille temporaires.
3. FORMATION & SENSIBILISATION DES SALARIÉS CADENCE
Tous les employés signent un accord de protection de la vie privée précisant leur responsabilité en matière de protection des données des Clients.
Nous mettons en œuvre des opérations de sensibilisation de nos équipes et nous avons prévus d’accroître la fréquence et le développement d’opérations de sensibilisation, notamment en matière de cybersécurité. Par ailleurs les bonnes pratiques de sécurité font l’objet de communications de formation (par exemple lors de l’accueil de nouveaux collaborateurs) et les supports écrits sont accessibles (affichage sur les espaces de travail et mise à disposition dans l’intranet). Par ailleurs, nous formons les collaborateurs afin qu’ils acquièrent les bons réflexes en matière de sécurité des données et nous effectuons également des tests en internes (par exemple « fausse campagne de phishing », utilisation des réseaux wifi public, etc).
4. MESURES DE SECURITÉ APPLICABLES À NOS LOCAUX & COLLABORATEURS
Nous mettons en œuvre des mesures de protection et de sécurité physique conformes aux standards de l’industrie. Nos bureaux et les systèmes d’information de nos collaborateurs sont adéquatement sécurisés et les mesures implémentées comprennent notamment :
- une sécurisation par alarme des locaux ;
- des mesures de contrôle d’accès avec du personnel d’accueil présent sur l’ensemble des plages horaires d’ouverture ;
- des badges d’accès nominatifs et sécurisé avec traçabilité des logs ;
- des rideaux métalliques protégeant l’accès aux locaux ;
- des exigences de robustesse des mots de passe et identifiants avec obligation de renouvellement régulier ;
- limitation et contrôle d’accès aux systèmes d’informations en fonction des privilèges d’accès et nécessité d’accès des collaborateurs.
Visite des locaux Cadence : Les visiteurs, Clients et fournisseurs doivent s’enregistrer auprès de l’accueil et sont systématiquement accompagnés par un membre du personnel de Cadence pour pénétrer dans nos locaux et durant tout leur temps de présence sur site. Idem pour en sortir.
5. TECHNOLOGIE DE HACHAGE DES MOTS DE PASSE
Nous mettons en œuvre systématiquement une technologie de hachage avec un sel au moins aussi robuste que le standard SHA-256.
Les mots de passe des comptes Cadence sont hachés. Notre propre personnel ne peut même pas les voir. Si vous perdez votre mot de passe, il ne peut pas être récupéré - il doit être réinitialisé.
6. SÉGRÉGATION DES ENVIRONNEMENTS DE TRAVAIL : PRODUCTION & DÉVELOPPEMENT
Nos environnements sont strictement séparés, tant physiquement que logiquement. L’ensemble des développements sont effectués sur des environnements de développement distincts de ceux de production. Nous mettons également en œuvre une stricte procédure de test sur des environnements multiples avant de prendre la décision de mise en production.
Par ailleurs, toutes les bases de données sont séparées et dédiées à la prévention de la corruption et du chevauchement. Nous avons plusieurs couches de logique qui séparent les comptes d’utilisateurs les uns des autres.
7. SURVEILLANCE ET REMÉDIATIONS DE VULNÉRABILITÉ (POSTE DE TRAVAIL & PRODUCTION)
Nous surveillons activement l’apparition et l’identification de nouvelles failles potentielles (0-day) et nous imposons l’implémentation des nouveaux patchs de sécurité sur l’ensemble des postes de travail et environnement de production.
8. MISE À JOUR DES SERVEURS, PARE-FEU, RÉSEAUX DE SAUVEGARDE & ANTI-VIRUS
8.1 Politique applicable à nos serveurs
Nos serveurs sont mis à jour régulièrement, notamment à chaque mise en production.
Nous avons un pare-feu physique (machine) avec des règles de firewalling qui n’autorisent que les flux nécessaires pour les besoins de Cadence et de la fourniture de ses services aux Clients.
Nous disposons un système de sauvegarde et de backup à chaud et à froid automatique, des machines et des clusters de bases de données.
Nous n’utilisons pas de VPN, mais utilisation de tunnels SSH pour accéder aux serveurs.
8.2 Politique applicable à nos locaux
L’ensemble des postes de travail et des environnements de production sont notamment protégés par des antivirus. Sur chaque poste de travail, une mise en veille automatique est également mise en place et paramétrée au bout de 5 minutes d’inactivité. Nous utilisons également des VPN.
9. PRIVILÈGE ET SEGMENTATION DES USAGES D’ADMINISTRATION
Nous avons mis en place plusieurs classes de privilèges d’accès et de permission pour nos Clients :
- utilisateur simple ;
- administrateur ;
- super administrateur ; et
- superviseur.
Ces quatre classes d’utilisateurs permettent de s’assurer que les accès et pouvoir de chacun des utilisateurs du Client disposent uniquement des droits nécessaires à son utilisation des services, sur une stricte base de « need to know » et « need to do ». Ces quatre niveaux d’usages permettent de segmenter les usages et les droits d’administration de la solution Cadence.
10. DIVULGATION RESPONSABLE
Si vous avez découvert une vulnérabilité dans l’application Cadence, veuillez ne pas la partager publiquement. Au lieu de cela, veuillez nous soumettre un rapport via le processus décrit ci-dessous. Nous examinons tous les problèmes de sécurité portés à notre attention et nous adoptons une approche proactive face aux problèmes de sécurité émergents. Chaque jour, de nouveaux problèmes de sécurité et de nouveaux vecteurs d’attaque sont créés. Cadence s’efforce de rester au fait des dernières évolutions en matière de sécurité, en interne et en collaborant avec des chercheurs et des entreprises de sécurité externes. Nous apprécions les efforts de la communauté pour créer un site Web plus sécurisé.
Si vous pensez que votre compte a été compromis ou si vous constatez une activité suspecte sur votre compte, veuillez envoyer un courrier électronique à [email protected].