Addendum sur la protection des données des partenaires
L'addendum sur la protection des données des partenaires suivant fait partie de l'accord du programme de partenariat et établit les conditions concernant le traitement des données personnelles.
1. GÉNÉRAL
Cet addendum sur la protection des données des partenaires (»DPA») fait partie de l'entente de programme de partenariat (»Accord») et énonce les conditions supplémentaires concernant le traitement des données personnelles. Les termes en majuscules ont la signification définie dans la section suivante de ce document ou ailleurs dans l'Accord. S'il y a un conflit entre les termes de cette DPA et toute autre condition de l'Accord, cette DPA prévaudra. Aux fins de la présente DPA, « Fournisseur » signifie Partenaire.
2. DÉFINITIONS
- (a) « Loi applicable en matière de protection des données » désigne toutes les lois applicables relatives au traitement des données personnelles dans le cadre de l'Accord, y compris, mais sans s'y limiter, (i) pour les données personnelles provenant d'une Entité autorisée située au sein de l'EEE, le Règlement général sur la protection des données (UE) 2016/679 (»RGPD»), et (ii) pour les données personnelles provenant d'une entité autorisée située au Royaume-Uni, du RGPD du Royaume-Uni et de la loi britannique sur la protection des données de 2018.
- (b) « Entité autorisée » désigne toute entité (y compris Siemens et les sociétés de son groupe) agissant en tant que Controller et ayant le droit, en vertu de l'Accord, d'accéder ou d'utiliser directement ou indirectement les Services.
- (c) « Controller » désigne la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.
- (d) « Pays ayant une décision d'adéquation » désigne tout pays pour lequel la Commission européenne a décidé qu'un tel pays assure un niveau adéquat de protection des données et pour les données personnelles provenant du Royaume-Uni, tout pays pour lequel des réglementations britanniques d'adéquation ont été établies en vertu des articles 17A ou 74A de la loi sur la protection des données de 2018.
- (e) « Violation de données» désigne toute atteinte à la sécurité (i) menant à la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données personnelles transmises, stockées ou autrement traitées, ou (ii) exigerait une notification d'un tel événement à tout tiers conformément à la loi applicable.
- (f) « EEE » signifie l'Espace économique européen.
- (g) « Clauses contractuelles types de l'UE » signifie les Clauses contractuelles types (UE) 2021/914.
- (h) « Zone d'origine » désigne l'EEE, le Royaume-Uni, la Suisse et chaque pays ayant des exigences d'adéquation similaires à celles contenues dans les articles 45 et suivants. RGPD.
- (i) « Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
- (j) « Traitement » (et ses autres formes telles que Processus, Processus, Traités) désigne toute opération ou ensemble d'opérations qui est effectuée sur des Données Personnelles ou sur des ensembles de Données Personnelles, que ce soit ou non par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
- (k) « Processeur » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte d'un Responsable du traitement.
- (l) « Rules d'entreprise contraignantes pour les processeurs » signifie des règles d'entreprise contraignantes pour les sous-traitants qui sont approuvées par l'autorité de surveillance compétente.
- (m) « Données personnelles restreintes » désigne toute donnée personnelle provenant d'une Entité Autorisée située dans une Zone d'Origination.
- (n) « Transfert (s) restreint (s) » désigne tout Traitement (y compris les transferts, l'accès international et les transferts ultérieur) de Données Personnelles Restreintes par le Fournisseur ou l'un de ses Sous-traitants en dehors de la Zone d'Origination concernée.
- (o) « Services » désigne les Services en vertu du Contrat fournis par le Fournisseur agissant dans son rôle de Processeur au sens de la présente DPA.
- (p) « Clauses contractuelles types » désigne les clauses contractuelles types de l'UE et les clauses contractuelles types du Royaume-Uni.
- (q) « Sous-processeur (s) » désigne tout autre Processeur engagé dans l'exécution des Services.
- (r) « Sauvegarde (s) de transfert » désigne les garanties appropriées pour les transferts restreints, comme l'exige la loi applicable sur la protection des données, y compris, sans s'y limiter, toutes les garanties appropriées requises par l'article 46 du RGPD.
- (s) « RGPD du Royaume-Uni » désigne le RGPD tel qu'il est incorporé dans le droit du Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni.
- (t) « Clauses contractuelles types du Royaume-Uni » désigne les clauses standard de protection des données qui sont adoptées de temps à autre par le Bureau des commissaires à l'information du Royaume-Uni (ICO) conformément à l'article 46 (2) du RGPD britannique, y compris, mais sans s'y limiter, l'accord international de transfert de données (IDTA du Royaume-Uni) et les clauses contractuelles types de l'UE telles que modifiées par l'addendum de transfert international de données de l'ICO aux Clauses contractuelles types de la Commission européenne (»Addendum pour le Royaume-Uni»). [1]
3. CONFORMITÉ AVEC LA LOI APPLICABLE EN MATIÈRE DE PROTECTION DES DONNÉES
Les parties doivent respecter la loi applicable sur la protection des données telle qu'elle s'applique à elles et comme requis dans les présentes. En fournissant des Services, le Fournisseur doit notamment se conformer aux dispositions de la Loi applicable sur la protection des données concernant le traitement des données personnelles en tant que Processeur de traitement.
4. PORTÉE DU TRAITEMENT
Le fournisseur traitera les données personnelles uniquement (a) conformément aux termes de la présente DPA et de l'Accord ; ou (b) sur d'autres instructions documentées de Siemens. Le fournisseur ne traitera pas les données personnelles à ses propres fins ni ne les transférera à des tiers, sauf si le présent DPA l'autorise. Le fournisseur informera immédiatement Siemens si, à son avis, une instruction de Siemens enfreint la loi applicable sur la protection des données.
5. DÉTAILS DES OPÉRATIONS DE TRAITEMENT FOURNIES
Les détails des opérations de traitement fournies par le Prestataire - en particulier l'objet du Traitement, la nature et la finalité du Traitement, les types de Données Personnelles traitées et les catégories de personnes concernées - sont précisés dans Annexe I à ce DPA.
6. MESURES TECHNIQUES ET ORGANISATIONNELLES
Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Prestataire mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris, mais sans s'y limiter, le cas échéant : (a) la pseudonymisation et le cryptage des Données Personnelles ; (b) la capacité pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues de Systèmes et services de traitement ; (c) la capacité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique ; (d) un processus pour tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement. Sans préjudice de la généralité de la phrase précédente, le Fournisseur doit à tout moment mettre en œuvre au moins les mesures techniques et organisationnelles décrites dans Annexe IIà ce DPA.
7. ENGAGEMENT ENVERS LA CONFIDENTIALITÉ
Le fournisseur doit limiter l'accès de son personnel aux données personnelles sur la base du besoin de savoir. Le fournisseur doit fournir un avis détaillé à son personnel sur les dispositions légales et contractuelles applicables en matière de protection des données. Le Fournisseur mettra son personnel dans l'obligation de se conformer à ces dispositions et, en particulier, de garder les Données Personnelles secrètes et de ne pas Traiter les Données Personnelles autrement que selon les instructions de Siemens. L'obligation de confidentialité continuera de s'appliquer après l'expiration du présent Contrat et la relation contractuelle du personnel avec le Fournisseur. Le fournisseur fournira une preuve de cette obligation sur demande.
8. SOUS-PROCESSEURS
- (a) Le fournisseur dispose de l'autorisation générale de Siemens pour l'engagement des sous-traitants. Une liste actuelle des sous-traitants commandés par le fournisseur est contenue dans Annexe III à ce DPA.
- (b) Le Fournisseur doit spécifiquement informer Siemens par écrit de tout changement prévu à cette liste par l'ajout ou le remplacement de sous-traitants au moins 30 jours à l'avance. Le fournisseur doit fournir à Siemens les informations nécessaires pour permettre à Siemens d'exercer son droit d'opposition. Si Siemens ne soulève aucune objection dans ce délai de 30 jours, alors cela sera considéré comme une approbation du nouveau sous-processeur. Si Siemens soulève des objections, le Fournisseur fera - avant d'autoriser le Sous-traitant à accéder aux Données personnelles - déploiera des efforts raisonnables pour répondre aux préoccupations et réserves exprimées par Siemens et (i) s'abstenir d'utiliser le Sous-traitant ; ou (ii) proposera à Siemens un changement raisonnable dans les Services ou la configuration ou l'utilisation des Services par Siemens pour éviter le Traitement des Données Personnelles par le nouveau Sous-traitant visé. Si le Fournisseur n'est pas en mesure d'éliminer les motifs de l'opposition de Siemens, Siemens a le droit de résilier les Services concernés sans aucun dommage ni pénalité. En cas de résiliation par Siemens, le Fournisseur remboursera tous les montants prépayés pour le Service applicable au prorata.
- (c) Lorsque le Fournisseur engage un Sous-traitant pour effectuer des activités de traitement spécifiques (au nom de Siemens et/ou d'Entités autorisées), il doit le faire au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations de protection des données que celles liant le Fournisseur en vertu de la présente DPA.
- (d) Le fournisseur doit fournir, à la demande de Siemens, une copie de ce contrat de sous-processeur et de toute modification subséquente à Siemens. Dans la mesure nécessaire pour protéger les secrets d'affaires ou autres informations confidentielles, y compris les données personnelles, le Fournisseur peut expurger le texte du contrat avant d'en partager une copie.
- (e) Le fournisseur doit auditer adéquatement et régulièrement le sous-traitant en ce qui concerne la conformité à ces exigences et documenter les résultats de ces audits.
- (f) Le Fournisseur restera entièrement responsable envers Siemens de l'exécution des obligations du Sous-traitant en vertu de son contrat avec le Fournisseur. Le Fournisseur doit informer Siemens de tout manquement du Sous-traitant à ses obligations en vertu de ce contrat.
9. TRAITEMENT INTERNATIONAL DES DONNÉES
Dans le cas de transferts restreints vers le fournisseur, le fournisseur doit s'assurer que ce transfert restreint est couvert par des garanties de transfert adéquates telles qu'énoncées dans la présente Article 9 et Annexe III à ce DPA.
- (a) Clauses contractuelles types. Ce qui suit s'applique si une sauvegarde de transfert est basée sur les clauses contractuelles types :
- EEA-Fournisseurs. Si le Fournisseur est situé dans l'EEE, le Fournisseur doit conclure les Clauses contractuelles types (Module 3) avec son sous-traitant. Paragraphes 9a) (vii) (« Loi applicable »), 9 (a) (viii) (« Choix du forum et de la juridiction »), 9a) (ix) (b) (« Partie 1 de l'addendum britannique »), et le deuxième phrase de l'article 9 (a) (x) (« Entités autorisées dans d'autres pays ») de cette DPA ne s'applique pas si le Fournisseur est situé dans l'EEE.
- Fournisseurs non membres de l'EEE. Si le Fournisseur est situé en dehors de l'EEE, le Transfert Restreint sera régi par les Modules 2 et 3 des Clauses contractuelles types. Les dispositions pertinentes contenues dans les Clauses contractuelles types sont incorporées par renvoi et font partie intégrante de la présente DPA. Les informations requises aux fins des Annexes aux Clauses contractuelles types sont énoncées dans Annexes I à IIIà ce DPA.
- Clause d'amarrage. L'option prévue à la Clause 7 des Clauses contractuelles types ne s'applique pas.
- Transferts ultants. Tout autre transfert ultérieur doit être conforme aux Clauses 8 et 9 du Module applicable des Clauses contractuelles types. Dans le cas où Siemens est situé en dehors de l'EEE et agit lui-même en tant qu'importateur de données en vertu des clauses contractuelles types avec des entités autorisées, la clause tiers bénéficiaire stipulée par la Clause 9 (e) des Clauses contractuelles types sera en faveur de cette Entité autorisée.
- Utilisation de sous-traitantsL'option 2 en vertu de la clause 9 des clauses contractuelles types s'applique. Aux fins de la Clause 9 (a) des Clauses contractuelles types, le fournisseur a l'autorisation générale de Siemens d'engager des Sous-traitants conformément à Article 8 de cette DPA.
- Réparation. Dans le cas où le Fournisseur offre aux personnes concernées la possibilité de déposer une plainte auprès d'un organisme indépendant de règlement des litiges (voir Option dans la Clause 11 des Clauses contractuelles types), le Fournisseur informera Siemens de l'organisme d'arbitrage responsable par écrit et se conformera aux exigences applicables contenues dans la Clause 11 des Clauses contractuelles types et les règles d'arbitrage applicables.
- Droit applicable. La loi applicable aux fins de la Clause 17 des Clauses contractuelles types sera la loi désignée dans la section de droit applicable de l'Accord. Si l'Accord n'est pas régi par le droit d'un État membre de l'UE, les Clauses contractuelles types de l'UE seront régies par les lois de l'Allemagne.
- Choix du forum et de la juridiction. Les tribunaux en vertu de la clause 18 des Clauses contractuelles types seront ceux désignés dans la section « lieu » de l'Accord. Si le Contrat ne désigne pas un tribunal d'État membre de l'UE comme ayant compétence exclusive pour résoudre tout litige ou poursuite découlant de ou en relation avec l'Accord, les parties conviennent que les tribunaux d'Allemagne auront compétence exclusive pour résoudre tout litige découlant des Clauses contractuelles types de l'UE.
- Entités autorisées au Royaume-Uni. Dans le cas où les transferts restreints proviennent d'Entités Autorisées situées au Royaume-Uni, les conditions suivantes s'appliquent :
- Addendum pour le Royaume-Uni. L'addendum pour le Royaume-Uni sera utilisé, sauf accord écrit contraire de Siemens.
- Partie 1 de l'addendum britannique. La partie 1 de l'addendum pour le Royaume-Uni sera appliquée comme suit :
- Tableau 1: Les détails des parties et les coordonnées clés sont contenus dans Annexe I à cette DPA.
- Tableau 2: La version des CSC de l'UE approuvés (tels que définis par l'addendum du Royaume-Uni) auxquels l'addenda britannique est annexé, sont les clauses contractuelles types de l'UE avec les modules et clauses sélectionnés ci-dessus dans Article 9 (a) de ce DPA. Aucune donnée personnelle reçue de l'importateur n'est combinée avec les données personnelles collectées par l'Exportateur.
- Tableau 3: Les informations de l'annexe requises par le tableau 3 de l'addenda pour le Royaume-Uni sont contenues dans Annexes I à III à ce DPA.
- Tableau 4: Aucune des parties ne peut mettre fin à l'addenda britannique lorsque l'addenda approuvé (tel que défini dans l'addenda britannique) change.
- Entités autorisées dans d'autres pays. Dans le cas où les Clauses contractuelles types protègent les transferts restreints provenant d'entités autorisées situées en dehors de l'EEE et du Royaume-Uni (par exemple, la Suisse), (1) les références générales et spécifiques au RGPD ou au droit de l'UE ou de l'État membre auront la même signification que la référence équivalente dans les lois applicables sur la protection des données du pays où se trouve l'Entité autorisée, selon le cas ; et (2) les références à « l'autorité de surveillance compétente » seront interprétées comme références à une protection des données compétente autorité dans ce pays. La loi applicable, le choix du forum et la juridiction sont régis par Paragraphes 9a) (vii) et (viii) de cette DPA, sauf exigence contraire par les lois applicables à l'Entité Autorisée respective, auquel cas les Clauses contractuelles types seront régies par les lois du pays dans lequel l'Entité autorisée est située et toute référence aux « tribunaux » compétents sera interprétée comme des références aux tribunaux compétents de ce pays.
- Rules d'entreprise contraignantes pour les processeurs. Ce qui suit s'applique si une sauvegarde de transfert est basée sur des Rules d'entreprise contraignantes pour le processeur : Le fournisseur engage contractuellement ce sous-traitant pour qu'il se conforme aux Rules d'entreprise contraignantes pour le processeur en ce qui concerne les données personnelles traitées en vertu de la présente DPA.
- Mesures de protection supplémentaires relatives aux transferts. Dans le cas où une Garantie de transfert n'est pas basée sur des clauses contractuelles types, les Clauses 14 et 15 des Clauses contractuelles types s'appliqueront mutatis-mutandis aux transferts restreints au titre de cette autre sauvegarde de transfert, à moins que la sauvegarde de transfert respective ne contienne en substance les mêmes droits et obligations concernant (i) les lois et pratiques locales affectant le respect des garanties de transfert, et (ii) les obligations en cas d'accès par les autorités publiques telles que contenues dans les Clauses 14 et 15 du Contrat type Clauses.
- Autre. Le fournisseur accepte et comprend que la loi locale applicable sur la protection des données peut contenir des restrictions de transfert similaires ou supplémentaires telles que contenues dans ce Article 9. Dans ce cas, le fournisseur accepte de déployer des efforts raisonnables et de coopérer avec Siemens de bonne foi pour répondre à ces exigences.
10. ASSISTANCE DU FOURNISSEUR
Le fournisseur doit raisonnablement aider Siemens à assurer le respect de la Loi applicable en matière de protection des données, notamment en aidant Siemens comme suit :
- (a) Correction, suppression ou restriction du traitement. Le Fournisseur doit soit (i) fournir la possibilité de rectifier, effacer ou restreindre le traitement des données personnelles via les fonctionnalités des Services, soit (ii) rectifier, effacer ou restreindre le traitement des données personnelles selon les instructions de Siemens.
- (b) Accès aux données personnelles. Dans la mesure où les informations relatives à une personne concernée ne sont pas accessibles via le Service, le Fournisseur fournira, si nécessaire pour permettre à Siemens et aux Entités autorisées de remplir ses obligations en vertu des lois applicables sur la protection des données, fournir de l'aide pour mettre ces informations à la disposition de Siemens et/ou Entités autorisées.
- (c) Demandes de la personne concernée et des autorités. Le Fournisseur informera rapidement Siemens concernant : (i) toute demande ou plainte reçue ou tout avis d'enquête émanant d'une autorité ou d'un organisme d'application de la loi, gouvernemental ou réglementaire ; et (ii) toute demande reçue directement de toute personne concernée concernant ses Données personnelles. En ce qui concerne les (i) et (ii) ci-dessus, le Fournisseur ne répondra pas sans instructions de Siemens. Si tel est le cas, le fournisseur doit raisonnablement aider Siemens à répondre à de telles demandes.
- (d) Portabilité des données. À la demande de Siemens et si requis en vertu de la Loi applicable sur la protection des données, le Fournisseur fournira soit (i) la possibilité d'extraire des Données Personnelles par référence à une personne concernée spécifique conformément aux fonctionnalités du Service, soit (ii) mettra l'ensemble de données pertinent à la disposition de Siemens et/ou de l'Entité Autorisée respective, dans chaque cas dans un format structuré, couramment utilisé et lisible par machine.
- (e) Évaluations d'impact sur la protection des données. À la demande de Siemens, le Fournisseur fournira toutes les informations et un soutien raisonnable pour effectuer des évaluations d'impact sur la protection des données en vertu des lois applicables en matière de protection des données.
11. RÉSILIATION DE LA RELATION DE TRAITEMENT DES DONNÉES
À la fin de la relation de traitement des données, sauf instruction contraire de Siemens ou stipulée dans les présentes, le Fournisseur retournera à Siemens toutes les Données Personnelles mises à la disposition du Fournisseur ou obtenues ou générées par le Fournisseur dans le cadre des Services convenus contractuellement et supprimera ou détruira irrévocablement toutes les données restantes. La suppression ou la destruction doit être confirmée par écrit par le Fournisseur sur demande.
12. OBLIGATIONS DE NOTIFICATION
- (a) Le fournisseur avisera Siemens immédiatement, mais en tout état de cause dans les 48 heures au cas où le Fournisseur découvre ou soupçonne raisonnablement une violation de données.
- (b) Dans la notification à Siemens, le Fournisseur fournira à Siemens les informations suivantes : (i) les détails d'un point de contact où (ou auprès de qui) plus d'informations peuvent être obtenues, (ii) une description de la nature de la violation (y compris, si possible, les noms, les catégories et le nombre approximatif de personnes concernées et de dossiers de données personnelles concernés), (iii) les conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures d'atténuation dénoncer ses effets indésirables possibles. Si et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, la notification initiale doit contenir les informations alors disponibles et les informations supplémentaires seront, dès qu'elles deviennent disponibles, fournies par la suite sans retard indu.
- (c) Toutes les notifications sous ce Article 12 doit être fait (i) au point de contact respectif identifié dans l'Accord et (ii) au dataprotection@siemens.com.
- (d) Le Fournisseur doit, aux frais et frais du Fournisseur, (i) coopérer pleinement avec Siemens dans l'enquête sur une violation de données ; (ii) assister et coopérer avec Siemens concernant toute notification ou divulgation légalement requise aux personnes concernées (par communication individuelle, communication publique via les médias ou par des mesures similaires), les forces de l'ordre, les organismes de réglementation et/ou autres tiers ; et (iii) prendre toute autre mesure que Siemens juge nécessaire concernant une telle violation de données, et tout différend, demande ou réclamation qui concerne la violation de données.
- (e) À moins que la loi applicable ou une ordonnance d'un régulateur compétent n'exige le contraire, Siemens prendra la décision finale, à sa seule discrétion, (i) si une violation de données nécessite une notification et (ii) de la manière de la notification. Dans le cas où le Fournisseur fournit de telles notifications concernant une violation de données, ces avis doivent être approuvés, à l'avance, par Siemens.
- (f) Le fournisseur doit, à ses frais, prendre les mesures appropriées pour remédier à la violation de données, y compris des mesures pour atténuer ses effets négatifs (y compris des mesures pour protéger l'environnement d'exploitation). Le fournisseur doit également prendre des mesures rapides conçues pour empêcher la récurrence de toute violation de données, y compris toute action requise par la loi applicable sur la protection des données.
- (g) Le Fournisseur remboursera à Siemens tous les coûts et dépenses engagés pour une telle violation de données causée par le Fournisseur, y compris, mais sans s'y limiter, les coûts de surveillance du crédit aux personnes dont les données personnelles ont été touchées par la violation de données. Les limitations de responsabilité en faveur du Fournisseur en vertu de l'Accord ne s'appliqueront pas à cet égard.
13. DOCUMENTATION ET VÉRIFICATIONS
- (a) Le fournisseur doit (i) surveiller, par des moyens appropriés, son propre respect de ses obligations en matière de protection des données en vertu de la présente DPA et de la Loi applicable sur la protection des données ; (ii) créer des rapports périodiques (au moins annuels) et occasionnels connexes (chacun a)Rapport») ; et (iii) mettre les rapports à la disposition de Siemens et des entités autorisées sur demande. Lorsqu'une norme et un cadre de contrôle mis en œuvre par le fournisseur prévoient des contrôles, ces contrôles seront effectués conformément aux normes et règles de l'organisme de réglementation ou d'accréditation pour chaque norme ou cadre de contrôle applicable.
- (b) S'il est nécessaire de s'acquitter adéquatement de ses droits et obligations d'audit en vertu de la Loi applicable sur la protection des données, des garanties de transfert applicables ou à la demande d'une autorité de protection des données compétente ou d'une autre autorité ou agence gouvernementale compétente, le Fournisseur mettra à la disposition de Siemens et des Entités autorisées - en plus des Rapports - toutes les informations supplémentaires raisonnablement demandées et permettront et contribueront aux audits, y compris les inspections, effectués par Siemens ou Entités Autorisées ou un autre auditeur mandaté par Siemens ou des Entités Autorisées. À cette fin, Siemens, Entités Autorisées ou tout autre auditeur mandaté par Siemens ou Entités autorisées auront également le droit d'effectuer des inspections sur place pendant les heures normales de bureau, sans perturber les opérations commerciales du Fournisseur et après un préavis raisonnable.
14. UTILISATION DE COOKIES
Si le Service utilise des cookies ou des technologies similaires, ce qui suit s'applique : Le fournisseur doit, sauf accord contraire spécifique de Siemens à ce sujet Article 14, stocker uniquement des informations (par exemple, en écrivant un cookie), ou accéder à des informations déjà stockées dans l'équipement terminal d'un utilisateur du Service (par exemple, via un cookie) dans le seul but d'effectuer la transmission d'une communication sur un réseau de communications électroniques, ou dans la mesure strictement nécessaire pour que le Prestataire fournisse les fonctionnalités de base des Services.
15. DIVERS
Le Fournisseur comprend et accepte que les exigences de la présente DPA font partie intégrante de l'Accord et qu'une violation importante de l'une de ces exigences sera considérée comme une violation importante par le Fournisseur de l'Accord, donnant droit à Siemens à des recours liés aux violations importantes contenus dans l'Accord.
16. EXIGENCES SUPPLÉMENTAIRES CONCERNANT LES DONNÉES DE SIEMENS
Si et dans la mesure où le Fournisseur accède aux Données Personnelles reçues d'une société du groupe Siemens établie aux États-Unis d'Amérique (»Société Siemens US») ou d'une personne concernée qui réside aux États-Unis d'Amérique, alors en plus de ce qui précède, le Fournisseur : (i) se conformera aux lois fédérales, étatiques et locales des États-Unis concernant les Données personnelles applicables au Fournisseur, ces Données personnelles, et aux propriétaires ou contrôleurs de ces Données personnelles ; lorsque ce qui précède est applicable, le terme « Loi applicable sur la protection des données » tel qu'utilisé ici inclura les lois précédentes ; (ii) sauf comme cela est spécifiquement prévu dans les présentes ou dans l'Accord, ne doit pas vendre, partager, louer, libérer, divulguer, diffuser ou rendre disponible Données personnelles à des tiers ; et ne doit pas combiner les Données personnelles avec d'autres informations ; (iii) avisera Siemens si le Fournisseur détermine que le Fournisseur ne peut plus remplir ses obligations en vertu des présentes ; (iv) s'assurera que chaque personne traitant des Données personnelles est soumise à une obligation de confidentialité en ce qui concerne les Données Personnelles ; (v) sera considérée et agira en tant que « fournisseur de services » en vertu de la Loi sur la protection des données applicable (y compris la California Consumer Privacy Act), son règlement d'exécution, et toute modification qui y est apportée) ; et (vii) certifie par la présente qu'il comprend les restrictions contenues dans le présent document et qu'il s'y conformera.
Annexe I de la DPA (et, le cas échéant, des clauses contractuelles types)
A.LISTE DES PARTIES
Destinataire de services/exportateur de données :
Nom : | Entité Siemens spécifiée sur le formulaire d'exécution |
Adresse : | Tel que fourni sur le formulaire d'exécution |
Nom, poste et coordonnées du contact | Bureau du délégué à la protection des données de Siemens Werner-von-Siemens-Straße 1, 80333 Munich, Allemagne E-Mail : datapotection@siemens.com |
Activités pertinentes pour les données transférées/traitées | Le partenaire fournira des services de réussite client et/ou de maintenance et de soutien aux clients comme indiqué dans le formulaire d'autorisation du partenaire conformément à l'accord. En exécutant ces services, le Partenaire peut également avoir accès aux systèmes et réseaux des clients finaux de Siemens et l'accès aux données personnelles ne peut être exclu. |
Rôle (Contrôleur/Processeur) | Siemens agit en tant que Controller pour les activités de traitement fournies par le Fournisseur vis-à-vis de Siemens et en tant que Processeur sous les instructions de ses Entités Autorisées pour les activités de traitement fournies par le Fournisseur vis-à-vis des Entités Autorisées. |
Fournisseur/importateur de données :
Nom : | Entité fournisseur spécifiée sur le formulaire d'exécution |
Adresse : | Tel que fourni sur le formulaire d'exécution |
Nom, poste et coordonnées du contact | Tel que fourni sur le formulaire d'autorisation des partenaires |
Activités relatives aux données transférées/traitées | Voir tableau ci-dessus |
Rôle (Contrôleur/Processeur) | Le fournisseur agit en tant que sous-traitant traitant les données personnelles au nom de Siemens et, le cas échéant, des Entités autorisées. |
B.DESCRIPTION DES OPÉRATIONS DE TRANSFÉREMENT/TRAITEMENT
Catégories de personnes concernées dont les Données Personnelles sont transférées/traitées : | ☒ Employés et personnel (y compris les candidats, réguliers, temporaires, à temps partiel, stagiaires, entrepreneurs et agents) ☒ Personnes de contact chez les partenaires commerciaux, fournisseurs, vendeurs et autres partenaires de coopération ☒ Client (s) et/ou leurs employés et personnel (y compris les candidats, réguliers, temporaires, à temps partiel, stagiaires, entrepreneurs et agents) ☒ Utilisateurs de produits/services logiciels Siemens ☐ Autre, s'il vous plaît listez : Autres personnes concernées dont les données personnelles sont contenues dans une application ou un système informatique qui fait partie du champ d'application des Services fournis. |
Catégories de Données Personnelles transférées/traitées | ☒ Coordonnées (telles que nom, adresse, numéro de téléphone ou de fax, adresse e-mail, etc.) ☒ Organisation organisationnelle (telle que le poste, le département, etc.) ☒ Données de localisation (telles que GPS, etc.) ☐ Identifiants gouvernementaux et personnels (tels que numéro de sécurité sociale, numéro de permis de conduire, numéro d'assurance sociale, etc.) ☐ Données financières (telles que le revenu, les dossiers de prêt, les transactions, les informations de crédit, les habitudes d'achat et de consommation, le statut d'insolvabilité, etc.) ☐ Données sur l'emploi (telles que les données de recrutement et de qualification, les données sur la rémunération et la paie, les données d'identification des employés, le statut des employés, les données sur les présences, les données sur les antécédents professionnels, etc.) ☒ Données du compte utilisateur (telles que nom d'utilisateur/ID et mot de passe, etc.) ☒ Informations relatives à l'utilisation par la personne concernée des ressources informatiques (telles que l'adresse IP, les informations de connexion, les informations d'identification, etc.) ☐ Informations sur les comptes financiers (telles que les données bancaires/de carte de crédit, les numéros de compte, les numéros de carte de crédit, etc.) ☐ Autre ; s'il vous plaît listez : Toute autre donnée personnelle contenue dans une application ou un système informatique qui fait partie du champ d'application des Services fournis. |
Catégories spéciales de données personnelles à consulter ou à traiter | ☐ Informations sur l'origine raciale ou ethnique ☐ Informations sur les opinions politiques ☐ Informations sur les croyances religieuses ou philosophiques ☐ Informations sur l'adhésion syndicale ☐ Informations sur la vie sexuelle ou l'orientation sexuelle ☐ Données biométriques ☐ Données génétiques ☐ Données de santé (telles que les handicaps mentaux ou physiques, les antécédents médicaux familiaux, les antécédents médicaux personnels, les dossiers médicaux, les ordonnances, etc.) ☐ Autre ; s'il vous plaît listez : Les restrictions ou mesures de protection appliquées à ces données personnelles sensibles sont décrites dans Annexe II à ce DPA |
La fréquence du transfert (accès/traitement) | ☐ Le fournisseur héberge des données personnelles au nom de Siemens et, le cas échéant, des entités autorisées ☒ Le fournisseur accède à distance aux données personnelles lors de la fourniture des services ☒ sur une base ponctuelle ☒ sur une base continue ☐ Le fournisseur traite autrement les données personnelles lors de la fourniture des services ☐ sur une base ponctuelle ☐ sur une base continue |
Nature du traitement | ☐ Collecte ☒ Enregistrement ☒ Organisation ☒ Structuration ☐ Stockage ☒ Adaptation ou altération ☐ Récupération ☒ Consultation ☒ Utiliser ☐ Divulgation par transmission ☐ Diffusion ☐ Sinon mise à disposition ☐ Alignement ou combinaison ☐ Restriction ☐ Effacer ou détruire des données ☒ Accès à distance ☐ Autre : |
Objectif/activités pertinentes pour les données transférées/traitées | ☒ Fournisseur fournit services d'entretien et de soutien et peut avoir accès, y compris l'accès à distance aux données personnelles. ☐ Fournisseur fournit services professionnels en effectuant des services en relation avec une application/un système ou un réseau tels que : installation, configuration ou migration de données ou d'autres services informatiques connexes et peut avoir accès, y compris l'accès à distance aux données personnelles. ☐ Fournisseur fournit services gérés, y compris la gestion du centre de données et de l'infrastructure, la gestion de la sauvegarde et de la récupération et peut avoir accès, y compris l'accès à distance aux données personnelles. ☐ Fournisseur fournit XaaS (Software, Plateforme ou Infrastructure-as-a-Service) en fournissant des services d'hébergement, d'exploitation, de gestion et de maintenance et de soutien. ☒ Autre : Le fournisseur fournit des services de réussite client et peut avoir accès, y compris l'accès à distance, aux données personnelles. |
Durée | ☐ Les Données Personnelles seront conservées pendant la durée de l'Accord. ☐ Les Données Personnelles seront conservées pendant une période de : ☒ Autre : Les Données Personnelles seront conservées pour la période de la Commande, sauf indication contraire. |
Pour les transferts vers les sous-traitants, précisez également l'objet, la nature et la durée du traitement | L'objet, la nature et la durée du traitement sont spécifiés par sous-processeur dans Annexe III à ce DPA. |
C.AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Lorsque Siemens est établie dans un État membre de l'UE, l'autorité de surveillance chargée de veiller au respect par Siemens du RGPD en ce qui concerne le transfert de données agira en tant qu'autorité de surveillance compétente. Pour Siemens Aktiengesellschaft, Allemagne, l'autorité de surveillance est :
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Allemagne
Lorsque Siemens n'est pas établie dans un État membre de l'UE, mais relève du champ d'application territorial du RGPD conformément à son article 3, paragraphe 2, l'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du RGPD est établi agit en tant qu'autorité de contrôle compétente ; à savoir :
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Allemagne
Annexe II de la DPA (et, le cas échéant, les Clauses contractuelles types)
Mesures techniques et organisationnelles (y compris les mesures techniques et organisationnelles pour assurer la Security des données)
Les mesures suivantes s'appliquent uniquement au fournisseur, dans la mesure où les systèmes informatiques, réseaux et applications sous-jacents sont sous la responsabilité et/ou sous la garde ou le contrôle du fournisseur. Description des mesures de sécurité techniques et organisationnelles mises en œuvre par le Prestataire et son (ses) sous-traitant (s) :
# | Mesures | SFERA Identifiant de la règle |
Security physique et environnementale | ||
Le fournisseur met en œuvre des mesures appropriées pour empêcher les personnes non autorisées d'accéder à l'équipement de traitement de données (à savoir, serveurs de base de données et d'applications et matériel connexe). Cela sera accompli par : établir des zones de sécurité ; protéger et restreindre les chemins d'accès ; sécuriser l'équipement de traitement de données décentralisé et les ordinateurs personnels ; établir des autorisations d'accès pour les employés et les tiers, y compris la documentation respective ; réglementation sur les cartes d'accès ; restrictions sur les cartes d'accès ; tous les accès au centre de données où sont hébergées les Données personnelles seront enregistrés, surveillés et suivis ; le centre de données où sont hébergées les Données personnelles est sécurisé par des contrôles d'accès restreint et d'autres mesures de sécurité appropriées ; et la maintenance et l'inspection des équipements de soutien dans les zones informatiques et les centres de données doivent être effectuées uniquement par du personnel autorisé. | 11.1.1-02 | |
Contrôle d'accès (systèmes informatiques et/ou application informatique) | ||
Le fournisseur met en œuvre un concept de rôles et de responsabilités. | 06.1.1-01 | |
Le fournisseur implémente un cadre d'autorisation et d'authentification comprenant, mais sans s'y limiter, les éléments suivants : contrôles d'accès basés sur les rôles mis en œuvre ; processus de création, de modification et de suppression de comptes mis en œuvre ; l'accès aux systèmes et applications informatiques est protégé par des mécanismes d'authentification ; des méthodes d'authentification appropriées sont utilisées en fonction des caractéristiques et des options techniques du système informatique ou de l'application ; l'accès aux systèmes et applications informatiques doit nécessiter, au moins, une authentification à deux facteurs pour les comptes privilégiés ; tous les accès aux données personnelles sont enregistrés, surveillés et suivis ; mesures d'autorisation et de journalisation pour les connexions réseau entrantes aux systèmes et applications informatiques (y compris les pare-feu pour autoriser ou refuser les connexions réseau entrantes) mises en œuvre ; les droits d'accès privilégiés aux systèmes informatiques, aux applications et aux services réseau ne sont accordés qu'aux personnes qui en ont besoin pour accomplir leurs tâches (principe du moindre privilège) ; les droits d'accès privilégiés aux systèmes et applications informatiques sont documentés et tenus à jour ; les droits d'accès aux systèmes informatiques et aux applications sont examinés et mis à jour régulièrement ; politique de mot de passe mise en œuvre, y compris les exigences concernant la complexité des mots de passe, la longueur minimale et l'expiration après une période de temps adéquate, aucune réutilisation des mots de passe récemment utilisés ; Les systèmes et applications informatiques appliquent techniquement la politique de mot de passe ; les droits d'accès des employés et du personnel externe aux systèmes et applications informatiques sont supprimés immédiatement après la résiliation de l'emploi ou du contrat ; et utilisation de certificats d'authentification sécurisés à la fine pointe de la technologie assurée. | 09.1.1-02 09.1.1-03 09.2.3-01 09.4.2-02 | |
Les systèmes informatiques et les applications se verrouillent automatiquement ou terminent la session après avoir dépassé une limite de temps d'inactivité définie raisonnable. | 11.2.9-03 11.2.9-04 | |
Le fournisseur limite l'accès privilégié aux actifs cloud à des plages uniques ou spécifiques d'adresses IP. | ST002-0008 | |
L'accès privilégié aux actifs cloud se fait par l'intermédiaire d'un hôte bastion. | ST002-0009 | |
Le fournisseur maintient des procédures de connexion sur les systèmes informatiques avec des garanties contre les activités de connexion suspectes (par exemple, contre les attaques par force brute et par devinage de mot de passe). | 09.4.2-02 | |
Contrôle de disponibilité | ||
Le fournisseur protège les systèmes et les applications contre les logiciels malveillants en mettant en œuvre des solutions anti-malware appropriées et à la pointe de la technologie. | 12.2.1-01 | |
Le fournisseur définit, documente et met en œuvre un concept de sauvegarde pour les systèmes informatiques, y compris les éléments techniques et organisationnels suivants : les supports de stockage de sauvegarde sont protégés contre les accès non autorisés et les menaces environnementales (par exemple, chaleur, humidité, incendie) ; intervalles de sauvegarde définis ; et la restauration des données à partir des sauvegardes est testée régulièrement en fonction de la criticité du système informatique ou de l'application. | 12.3.1-01 | |
Le fournisseur stocke les sauvegardes dans un emplacement physique différent de celui où le système productif est hébergé. | ST002-0013 | |
Les systèmes et applications informatiques dans les environnements hors production sont logiquement ou physiquement séparés des systèmes et applications informatiques dans les environnements de production. | 12.1.4-01 | |
Les centres de données dans lesquels des données personnelles sont stockées ou traitées sont protégés contre les catastrophes naturelles, les attaques physiques ou les accidents. | 11.1.4-02 | |
Les équipements de soutien dans les zones informatiques et les centres de données, tels que les câbles, l'électricité, les installations de télécommunication, l'approvisionnement en eau ou les systèmes de climatisation sont protégés contre les perturbations et les manipulations non autorisées. | 11.1.4-02 | |
Security des opérations | ||
Le fournisseur maintient et met en œuvre un cadre de Security de l'information reflétant les mesures décrites ici, qui est régulièrement examiné et mis à jour. | 05.1.1-01 | |
Le fournisseur enregistre les événements liés à la sécurité, tels que les activités de gestion des utilisateurs (par exemple, la création, la suppression), les échecs de connexion, les modifications de la configuration de sécurité du système sur les systèmes informatiques et les applications. | 12.4.1-01 | |
Le fournisseur analyse en permanence les données du journal des systèmes informatiques et des applications respectifs pour détecter les anomalies, les irrégularités, les indicateurs de compromission et d'autres activités suspectes. | 12.4.1-03 | |
Le fournisseur analyse et teste les systèmes informatiques et les applications pour détecter les vulnérabilités de sécurité sur une base régulière. | 12.6.1-01 | |
Le fournisseur implémente et maintient un processus de gestion du changement pour les systèmes et applications informatiques. | 12.1.2-01 | |
Le fournisseur maintient un processus pour mettre à jour et mettre en œuvre les correctifs de sécurité des fournisseurs et les mises à jour sur les systèmes et applications informatiques respectifs. | 12.6.1-03 | |
Le fournisseur efface irrémédiablement les données ou détruit physiquement le support de stockage de données avant de se débarrasser ou de réutiliser un système informatique. | 11.2.7-01 | |
Contrôles de transmission | ||
Le fournisseur documente et met à jour régulièrement les topologies réseau et ses exigences de sécurité. | 13.1.1-02 | |
Le fournisseur surveille en permanence et systématiquement les systèmes informatiques, les applications et les zones réseau pertinentes pour détecter les activités réseau malveillantes et anormales par Pare-feu (par exemple, pare-feu d'état, pare-feu d'application) ; Serveurs proxy ; Systèmes de détection d'intrusion (IDS) et/ou systèmes de prévention des intrusions (IPS) ; Filtrage d'URL ; et Systèmes de gestion des informations et des événements de Security (SIEM). | 13.1.1-06 | |
Le fournisseur administre les systèmes informatiques et les applications en utilisant des connexions cryptées à la pointe de la technologie. | 13.1.3-09 | |
Le fournisseur protège l'intégrité du contenu pendant la transmission par des protocoles réseau de pointe, tels que TLS. | 13.2.3-05 | |
Le fournisseur crypte, ou permet à ses fournisseurs de crypter, les données des fournisseurs qui sont transmises sur les réseaux publics. | ST002-0017 | |
Le fournisseur utilise des systèmes de gestion de clés sécurisés (KMS) pour stocker des clés secrètes dans le cloud. | ST002-0018 | |
Incidents de Security | ||
Le fournisseur maintient et met en œuvre un processus de traitement des incidents, y compris, mais sans s'y limiter : registres d'atteintes à la sécurité ; Processus de notification des fournisseurs ; et un système de réponse aux incidents pour traiter les éléments suivants au moment de l'incident : (i) rôles, responsabilités et stratégies de communication et de contact en cas de compromis (ii) procédures spécifiques de réponse aux incidents et (iii) couverture et réponses de tous les composants critiques du système. | 06.1.3-01 | |
Gestion d'actifs, Acquisition de systèmes, Développement et Maintenance | ||
Le fournisseur identifie et documente les exigences de sécurité de l'information avant le développement et l'acquisition de nouveaux systèmes et applications informatiques ainsi qu'avant d'apporter des améliorations aux systèmes et applications informatiques existants. | 14.1.1-01 | |
Le fournisseur établit un processus formel pour contrôler et effectuer des modifications aux applications développées. | 14.2.2-01 | |
Le fournisseur planifie et intègre des tests de sécurité dans le cycle de vie de développement de systèmes des systèmes et des applications informatiques. | 14.2.8-01 | |
Le fournisseur met en œuvre un processus de correctif de sécurité adéquat qui comprend : surveillance des composants pour détecter les faiblesses potentielles (CVE) ; cote de priorité du correctif ; mise en œuvre opportune du correctif ; et téléchargement de correctifs provenant de sources fiables. | 08.1.1-01 PR001-0001 | |
Security des ressources humaines | ||
Le fournisseur met en œuvre les mesures suivantes dans le domaine de la sécurité des ressources humaines : les employés ayant accès aux Données personnelles sont liés par des obligations de confidentialité ; et les employés ayant accès aux Données personnelles sont formés régulièrement sur les lois et réglementations applicables en matière de protection des données. | 07.1.1-01 | |
Le fournisseur met en œuvre un processus d'offboarding pour les employés du fournisseur et les fournisseurs externes. | 07.3.1-02 08.1.4-01 | |
Cryptographie (pertinente pour DP dans le contexte des services réseau) | ||
Le fournisseur utilise des certificats sécurisés à la fine pointe de la technologie et met en œuvre les éléments suivants : les certificats numériques ne sont acceptés et approuvés que si le certificat numérique a été émis par une autorité de certification de confiance ; les certificats sont utilisés et attribués à des systèmes et applications informatiques dédiés ; et la validité des certificats numériques est vérifiée. | 07.1.1-01 | |
Le fournisseur met en œuvre un processus pour la gestion et la mise en œuvre des clés cryptographiques, y compris les règles et exigences pour générer, stocker, sauvegarder, distribuer et révoquer des clés cryptographiques. | 07.3.1-02 08.1.4-01 |
Annexe III de la DPA (et, le cas échéant, des clauses contractuelles types)
LISTE DES SOUS-PROCESSEURS ET EMPLACEMENTS DE CENTRES DE DONNÉES
Le 'Formulaire d'Autorisation des Partenaires' énonce les
Entités (y compris Partenaires et sous-traitants) engagées dans le stockage/hébergement de données personnelles,
Emplacements de centres de données applicables,
Sous-traitants engagés dans le traitement de données personnelles à des fins autres que le stockage/hébergement,
qui sont incorporés ici par cette référence.
Le fournisseur ne doit pas transférer de Données personnelles depuis l'emplacement du centre de données respectif sans le consentement de Siemens. Le mécanisme de notification et d'opposition contenu dans Article 8 ne s'appliquera pas à cet égard.