Les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans l’Accord.
- 1. DÉFINITIONS
- 1.1 « Responsable du traitement » : l’entité qui, seule, conjointement avec d’autres ou en tant que coresponsable du traitement, détermine les finalités et les moyens du traitement des données à caractère personnel.
- 1.2 « Processeur de données » désigne l’entité qui traite les informations personnelles pour le compte du contrôleur de données.
- 1.3 « Lois sur la protection des données » : toutes les lois applicables au traitement des informations personnelles.
- 1.4 « Personne concernée » : toute personne au sujet de laquelle des informations personnelles peuvent être traitées en vertu du présent DPA.
- 1.5 « Informations personnelles » ou « données personnelles »: les données personnelles relatives à une personne physique identifiée ou identifiable qui sont fournies à une partie en vertu de l’accord.
- 1.6 » Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des informations personnelles ou sur des ensembles d’informations personnelles, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction d’informations personnelles.
- 1.7 « Incident de sécurité » : une violation de la sécurité des services entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des informations personnelles transmises, stockées ou traitées d’une autre manière dans le cadre du présent DPA.
- 2. Relation entre les parties. Les parties reconnaissent que le revendeur et Aryaka sont chacun un contrôleur aux fins du contrat.
Afin d’exécuter le Contrat, les Parties doivent se fournir mutuellement des Données à caractère personnel limitées, telles que les coordonnées professionnelles.
Les parties traiteront ces informations personnelles conformément à l’accord et au présent DPA ou selon les exigences des lois applicables en matière de protection des données.
De temps à autre, comme le prévoit le Contrat, le Revendeur peut fournir à Aryaka des informations sur ses clients afin de faciliter la fourniture de services par le Revendeur à ces clients.
Dans ce cas, Aryaka ne traitera les Données à caractère personnel des clients du Revendeur que sur instructions documentées du Revendeur.
Chaque partie sera seule responsable du respect de ses obligations en vertu des lois sur la protection des données applicables en ce qui concerne le traitement des informations personnelles, y compris la fourniture de tous les avis nécessaires et l’obtention de tous les consentements nécessaires de la part des personnes concernées ou d’autres individus en ce qui concerne le traitement des informations personnelles.
Pour plus de clarté, Aryaka ne conservera, n’utilisera ni ne divulguera les Informations personnelles à d’autres fins que la fourniture de Services au Revendeur conformément à l’Accord, y compris, sans s’y limiter, à des fins commerciales autres que la fourniture de ces Services au Revendeur, ou comme l’exigent les Lois sur la protection des données en vigueur.
Sans limiter ce qui précède, Aryaka ne vendra ni ne partagera en aucun cas ces informations personnelles avec des tiers.
Aryaka certifie qu’elle comprend les restrictions susmentionnées et qu’elle s’y conformera.
Si Aryaka détermine qu’elle ne peut plus respecter ses obligations en vertu des Lois sur la protection des données applicables, elle en informera rapidement le Revendeur. - 3. Co-contrôleurs. Lorsque les parties agissent en tant que coresponsables du traitement, chacune d’entre elles est un responsable indépendant du traitement et est individuellement et séparément responsable du respect des obligations qui lui incombent en tant que responsable du traitement en vertu des lois sur la protection des données.
Lorsqu’elle agit en tant que coresponsable du traitement, chaque partie détermine individuellement les finalités et les moyens de son traitement des données à caractère personnel. - 4. Confidentialité. Les parties exigent de leur personnel qu’il protège la confidentialité des informations personnelles.
- 5. Sécurité. Les deux parties maintiendront des mesures de protection administratives, physiques et techniques raisonnables conçues pour protéger la sécurité, la confidentialité et l’intégrité des données à caractère personnel dans ou sur le réseau Aryaka contre la perte, la destruction, l’altération, l’accès ou la divulgation non autorisés, y compris les mesures énumérées à l’annexe 2.
- 6. Incident de sécurité. Si l’une des parties est confrontée à un incident de sécurité qui compromet des informations à caractère personnel, elle en informera l’autre partie sans délai excessif et, en tout état de cause, dans les quarante-huit (48) heures, sauf interdiction légale ou instruction contraire d’une autorité chargée de l’application de la loi ou d’une autorité de contrôle.
Compte tenu de la nature du traitement et des informations disponibles sur l’incident de sécurité, la partie victime de l’incident de sécurité fournira, à la demande raisonnable de l’autre partie, une assistance et une coopération raisonnables à l’autre partie en ce qui concerne toute notification que cette partie est légalement tenue de fournir aux personnes concernées ou aux autorités de réglementation en ce qui concerne un tel incident de sécurité.
Les parties se réservent le droit de facturer à l’autre partie des frais raisonnables pour l’assistance demandée, dans la mesure où le droit applicable le permet. - 7. Demandes des personnes concernées. Compte tenu de la nature de l’Accord, les parties conviennent que le Revendeur est la partie appropriée pour répondre aux demandes des personnes concernées.
Aryaka notifiera rapidement le Revendeur, sauf si la loi applicable l’interdit, si Aryaka reçoit :
(i) toute demande d’une Personne concernée concernant les Informations personnelles traitées par Aryaka, y compris, mais sans s’y limiter, les demandes d’exclusion, les demandes d’accès et/ou de rectification, de blocage, d’effacement, les demandes de portabilité des données et toutes les demandes similaires, et ne répondra à aucune de ces demandes à moins d’y être expressément autorisée par le Revendeur ; ou
(ii) toute plainte relative au Traitement par Aryaka des Données à caractère personnel, y compris les allégations selon lesquelles ce Traitement porte atteinte aux droits d’une Personne concernée.
Il incombe au Revendeur de répondre aux demandes des Personnes concernées.
À la demande du Revendeur et en tenant compte de la nature du traitement, Aryaka aidera le Revendeur par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’exécution des obligations que le Revendeur peut avoir en vertu des Lois sur la protection des données applicables pour répondre à de telles demandes de la Personne concernée.
Aryaka se réserve le droit de facturer des frais raisonnables au revendeur pour l’assistance demandée, dans la mesure où la loi applicable le permet. - 8. Sous-traitants. Les deux parties conviennent que l’autre partie peut divulguer des informations à caractère personnel à ses sous-traitants aux fins de la fourniture de services dans le cadre de l’accord (« sous-traitants ultérieurs »), à condition que les deux parties imposent à leurs sous-traitants ultérieurs des obligations en matière de sécurité et de confidentialité des informations à caractère personnel substantiellement similaires à celles énoncées dans le présent DPA.
Sur demande, les deux parties (a) mettront à disposition une liste de leurs sous-traitants et fourniront un mécanisme permettant d’être informé de toute modification apportée à cette liste.
Les deux parties seront responsables des actes ou omissions de tout sous-traitant ultérieur dans la même mesure que si les actes ou omissions avaient été accomplis par l’entité qui a engagé le sous-traitant ultérieur. - 9. Localisation des données. Dans le cadre de l’exécution de l’accord, l’une ou l’autre partie peut transférer des données à caractère personnel en divers lieux, y compris à l’intérieur et à l’extérieur du Royaume-Uni (« Royaume-Uni »), de l’Espace économique européen (« EEE ») ou de la Suisse.
Dans la mesure où ce transfert implique un transfert de données à caractère personnel provenant du Royaume-Uni, de l’EEE ou de la Suisse vers un lieu situé dans des pays en dehors du Royaume-Uni, de l’EEE ou de la Suisse qui n’ont pas reçu de décision d’adéquation contraignante, les parties conviennent que lorsque les parties agissent en tant que coresponsables du traitement, les clauses contractuelles types de l’Union européenne (contrôleur à contrôleur), jointes à l’appendice 1, s’appliqueront à ce transfert, qui est décrit à l’annexe 1.
Lorsque la relation entre les parties est celle de contrôleur à sous-traitant, les clauses contractuelles types de l’Union européenne (contrôleur à sous-traitant), jointes à l’appendice 2, s’appliquent à ce transfert, qui est décrit à l’annexe 1. - 10. Audit. Sur demande de l’une des parties, l’autre partie met à disposition, une fois par an au maximum, (a) une copie d’une évaluation par un tiers, telle qu’un rapport sur les contrôles de l’organisme de services 1, de type 2 ou un rapport comparable (« rapport d’un tiers ») , si un tel rapport a été obtenu, ou (b) si la partie n’a pas obtenu de rapport d’un tiers, elle fournit des réponses à toute question écrite raisonnablement soumise dans le but de vérifier la conformité avec le présent accord ( « réponses écrites »).
Ces rapports de tiers et ces réponses écrites constituent des informations confidentielles de la partie qui les soumet et ne peuvent être divulgués sans l’accord écrit préalable de cette partie, sauf si la loi l’exige.
Si une partie répond à la demande de l’autre partie en fournissant des réponses écrites plutôt qu’un rapport de tiers, et que la partie requérante détermine raisonnablement, après réception des réponses écrites, qu’une évaluation plus approfondie est requise par la loi, la partie requérante peut demander, moyennant un préavis de 30 jours, d’effectuer un examen à ses propres frais, avec une portée à convenir mutuellement entre les parties, des politiques, procédures et documents connexes des Services, dans la mesure où un tel examen ne compromet pas les obligations de confidentialité envers les autres revendeurs d’Aryaka.
Le Revendeur a le droit d’arrêter et de prendre des mesures raisonnables pour remédier à toute utilisation non autorisée d’informations personnelles. - 11. Retour ou élimination. Sur demande à la fin de l’Accord, l’une ou l’autre partie supprimera rapidement les données à caractère personnel de ses systèmes, à moins que la loi applicable n’exige le stockage des données à caractère personnel.
Annexe 1 Clauses contractuelles types (2021) Contrôleur à contrôleur incorporées par référence dans le présent DPA et accessibles ici : www.aryaka.com/SCC2021-Controller-to-Controller/
ANNEXEIA. LISTE DESPARTIESExportateur(s) de données : L’exportateur de données est : un revendeur, tel que défini dans l’accord [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de son/ses délégué(s) à la protection des données et/ou représentant(s) dans l’Union européenne].
Nom : Voir le formulaire de commande entre le revendeur et Aryaka.
Adresse : Voir le bon de commande entre le revendeur et Aryaka.
Nom, fonction et coordonnées de la personne de contact : Voir le bon de commande entre le revendeur et Aryaka.
Activités en rapport avec les données transférées en vertu des présentes clauses : Voir l’accord entre le revendeur et Aryaka
Rôle (contrôleur/processeur) : Contrôleur
Importateur(s) de données : L’importateur de données est : Aryaka. Identité et coordonnées du ou des importateurs de données, y compris toute personne de contact responsable de la protection des données
Nom : Aryaka Networks, Inc.
Adresse : 1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA
Nom, fonction et coordonnées de la personne de contact : Edward Frye, CISCO/IT, [email protected]
Activités en rapport avec les données transférées en vertu des présentes clauses : Voir l’accord entre le revendeur et Aryaka
Rôle (contrôleur/processeur) : Contrôleur
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
Contacts commerciaux au niveau du revendeur et d’Aryaka.
Catégories de données personnelles transféréesCoordonnées professionnelles, telles que le nom, le titre, l’adresse électronique, les numéros de téléphone et l’adresse physique.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
Aucun
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
En fonction des besoins pour exécuter les services prévus par l’accord et maintenir la relation commerciale.
Nature du traitementAryaka traitera les informations personnelles dans la mesure où elles sont nécessaires à l’exécution des services conformément à l’accord.
Finalité(s) du transfert et du traitement ultérieur des données
Transfert vers les bureaux d’Aryaka situés en dehors du Royaume-Uni, de l’EEE ou de la Suisse.
Aryaka traitera les informations personnelles dans la mesure où elles sont nécessaires à l’exécution des services conformément à l’accord.
la durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée
| Type de contrat | Nombre d’années de conservation |
|---|---|
| Registres des ventes | 5 ans |
| Factures | 7 ans |
| Directeur de la comptabilité générale | Permanent |
Pour les transferts aux sous-traitants (secondaires), précisez également l’objet, la nature et la durée du traitement. Les sous-traitants secondaires suivants peuvent être déployés pour les services suivants/aux lieux de traitement suivants :
Salesforce :Utilisation :
Gestion de la relation client Lieu de résidence de l’instance : États-Unis Accessed by Aryaka Personnel from : États-Unis, Inde, Allemagne, Royaume-Uni, Canada, Australie, Japon, Pays-Bas, Corée du Sud et Suisse. NetSuite :
Utiliser : Comptabilité Lieu de résidence de l’instance : États-Unis Accessed by Aryaka Personnel from : États-Unis et Inde
Zuora : Utilisation :
Facturation Lieu de résidence de l’instance : États-Unis Accessed by Aryaka Personnel from : États-Unis et Inde
Marketo :Utilisation :
Marketing et messagerie Lieu de résidence de l’instance :
États-Unis Accédé par Aryaka Personnel de :
États-Unis, Royaume-Uni et Inde C. AUTORITÉ DE SURVEILLANCE COMPÉTENTEIdentifiezla ou les autorités de surveillance compétentes conformément à la clause 13 L’Information Commissioner’s Office du Royaume-Uni.
Annexe 2 Clauses contractuelles types (2021) Contrôleur à contrôleur incorporées par référence dans le présent DPA et accessibles ici : www.aryaka.com/SCC2021-Controller-to-Controller/
ANNEXE I
A. LISTE DES PARTIES
Exportateur(s) de données : L’exportateur de données est : le revendeur, tel que défini dans l’accord [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de son/ses délégué(s) à la protection des données et/ou représentant(s) dans l’Union européenne].
Nom : Voir le formulaire de commande entre le revendeur et Aryaka.
Adresse : Voir le bon de commande entre le revendeur et Aryaka.
Nom, fonction et coordonnées de la personne de contact : Voir le bon de commande entre le revendeur et Aryaka.
Activités en rapport avec les données transférées en vertu des présentes clauses : Voir l’accord entre le revendeur et Aryaka
Rôle (contrôleur/processeur) : Processeur
Importateur(s) de données : L’importateur de données est : Aryaka. Identité et coordonnées du ou des importateurs de données, y compris toute personne de contact responsable de la protection des données
Nom : Aryaka Networks, Inc.
Adresse : 1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA
Nom, fonction et coordonnées de la personne de contact : Edward Frye, CISCO/IT, [email protected]
Activités pertinentes pour les données transférées en vertu des présentes clauses : … Voir l’accord entre le revendeur et Aryaka.
Rôle (contrôleur/processeur) : Processeur
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
les informations relatives aux clients du revendeur, dans la mesure où elles sont nécessaires à la fourniture des services, y compris l’assistance à la clientèle.
Catégories de données personnelles transféréesCoordonnées professionnelles, telles que le nom, le titre, l’adresse électronique, les numéros de téléphone et l’adresse physique.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
Aucun
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
En fonction des besoins pour exécuter les services prévus par l’accord et maintenir la relation commerciale.
Nature du traitementAryaka traitera les informations personnelles dans la mesure où elles sont nécessaires à l’exécution des services conformément à l’accord.
Finalité(s) du transfert et du traitement ultérieur des données
Transfert vers les bureaux d’Aryaka situés en dehors du Royaume-Uni, de l’EEE ou de la Suisse.
Aryaka traitera les informations personnelles dans la mesure où elles sont nécessaires à l’exécution des services conformément à l’accord.
la durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée
| Type de contrat | Nombre d’années de conservation |
|---|---|
| Registres des ventes | 5 ans |
| Factures | 7 ans |
| Directeur de la comptabilité générale | Permanent |
Pour les transferts aux sous-traitants (secondaires), précisez également l’objet, la nature et la durée du traitement. Les sous-traitants secondaires suivants peuvent être déployés pour les services suivants/aux lieux de traitement suivants :
Salesforce :Utilisation :
Gestion de la relation client Lieu de résidence de l’instance : États-Unis Accessed by Aryaka Personnel from : États-Unis, Inde, Allemagne, Royaume-Uni, Canada, Australie, Japon, Pays-Bas, Corée du Sud et Suisse. NetSuite :
Utiliser : Comptabilité Lieu de résidence de l’instance : États-Unis Accessed by Aryaka Personnel from : États-Unis et Inde
Zuora : Utilisation :
Facturation Lieu de résidence de l’instance : États-Unis Accessed by Aryaka Personnel from : États-Unis et Inde
Marketo :Utilisation :
Marketing et messagerie Lieu de résidence de l’instance :
États-Unis Accédé par Aryaka Personnel de :
États-Unis, Royaume-Uni et Inde C. AUTORITÉ DE SURVEILLANCE COMPÉTENTEIdentifiezla ou les autorités de surveillance compétentes conformément à la clause 13 L’Information Commissioner’s Office du Royaume-Uni.
Normes de sécurité
Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint) : Les parties appliquent diverses politiques, normes et procédures conçues pour sécuriser les informations et autres données à caractère personnel.
Vous trouverez ci-dessous une description de certaines des principales mesures de sécurité techniques et organisationnelles mises en œuvre par les deux parties.
Contrôles d’accès physiques
Des mesures conçues pour empêcher les personnes non autorisées d’accéder physiquement aux lieux physiques qui abritent l’équipement de traitement des données utilisé pour traiter les données à caractère personnel.
Contrôles d’accès techniques
Mesures destinées à empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données de la partie, y compris :
- Protection DDoS hybride intégrant la détection et l’atténuation (sur site ou dans le nuage) avec la prévention des attaques DDoS volumétriques basées sur le nuage et l’assistance de l’équipe d’intervention d’urgence (ERT) 24 heures sur 24 et 7 jours sur 7 ; et
- Sécurité de la périphérie du réseau fournissant des solutions avancées de sécurité du périmètre qui sont intégrées dans l’appliance SD-WAN du revendeur.
Contrôles d’accès aux données
Mesures visant à limiter l’accès à son système de traitement des données aux personnes qui ont besoin d’un tel accès dans le cadre et dans la mesure couverts par leur permission d’accès respective (autorisation) et prend des mesures pour empêcher que les données à caractère personnel ne soient lues, copiées, modifiées ou supprimées sans autorisation.
Contrôles d’entrée
Mesures destinées à empêcher que les données à caractère personnel ne soient lues, copiées, modifiées ou supprimées par des parties non autorisées pendant leur transmission.
Contrôles du travail
Mesures destinées à garantir que les données à caractère personnel traitées le sont uniquement dans le respect de l’accord.
Contrôles de disponibilité
Mesures destinées à protéger les données à caractère personnel contre la divulgation, la destruction accidentelle ou non autorisée ou la perte.
