aryaka aryaka
Le présent addendum sur la protection des données (« DPA« ) fait partie du contrat-cadre d’abonnement conclu entre Aryaka et le client (le cas échéant, le « contrat« ) en vertu duquel Aryaka fournit les services au client.
Les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans le Contrat.

  • 1. DÉFINITIONS
  • 1.1« Responsable du traitement » : l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
  • 1.2 « Lois sur la protection des données  » : toutes les lois applicables au traitement des données à caractère personnel par la partie concernée.
  • 1.3 « Personne concernée » : toute personne au sujet de laquelle des données à caractère personnel peuvent être traitées en vertu du présent DPA.
  • 1.4 « Données à caractère personnel  » : informations relatives à une personne physique identifiée ou identifiable, fournies par le client aux services.
  • 1.5  » Traitement  » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction de données à caractère personnel.
  • 1.6 « Processeur » désigne l’entité qui traite les données personnelles pour le compte du contrôleur des données.
  • 2. Relation entre les parties. Le client et Aryaka ont conclu un contrat de services.
    Les Parties reconnaissent que le Client est un Contrôleur aux fins de l’Accord et qu’Aryaka est un Processeur.
    Les Parties traiteront les Données à caractère personnel conformément à l’Accord et aux Lois sur la protection des données applicables
  • 3. Obligations du client. Le client ne fournira que des données personnelles adéquates, pertinentes et raisonnablement nécessaires pour permettre à Aryaka de fournir les services.
    Le client déclare et garantit que sa collecte de données personnelles et leur divulgation à Aryaka sont conformes à toutes les lois applicables en matière de protection des données.
  • 4. Instructions.
    .     Aryaka traitera les données à caractère personnel uniquement
    (i) conformément aux instructions du client telles que documentées dans l’Accord et décrites plus en détail dans l’Annexe IB ; et
    (ii) dans la mesure où cela est nécessaire pour se conformer au droit applicable, étant entendu qu’Aryaka n’est pas tenue d’agir sur la base d’une instruction du client qui pourrait (de l’avis raisonnable d’Aryaka) amener Aryaka à enfreindre le droit applicable.
    Aryaka informera le client si elle estime que des instructions du client concernant le traitement des données personnelles violeraient la législation applicable en matière de protection des données.
  • 5. Sécurité. Aryaka prendra des mesures raisonnables pour mettre en œuvre des mesures techniques et organisationnelles appropriées conçues pour protéger les données personnelles contre les menaces ou les risques anticipés pour leur sécurité, leur confidentialité ou leur intégrité.
    Aryaka s’assurera que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
  • 6. Violation de données. Aryaka notifiera le Client sans délai excessif chaque fois qu’Aryaka apprend qu’il y a eu une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal aux Données à caractère personnel traitées (chacune, une « Violation de données« ), sauf si la loi applicable l’interdit ou si les autorités chargées de l’application de la loi ou une autorité de contrôle en donnent l’instruction contraire.
    Compte tenu de la nature du Traitement et des informations dont dispose Aryaka, Aryaka prendra des mesures raisonnables pour aider le Client, à sa demande raisonnable, à se conformer aux obligations de notification du Client concernant les violations de données, comme l’exige le droit applicable.
    Aryaka se réserve le droit de facturer des frais raisonnables au Client pour toute assistance demandée.
  • 7. Retour ou élimination. Dans les 30 jours suivant la résiliation du Contrat, le Client peut demander à Aryaka de détruire ou de lui retourner toutes les Données Personnelles, à moins que la loi applicable n’exige le stockage des Données Personnelles par Aryaka.
  • 8. Audits ; demandes de renseignements. Sur demande raisonnable du client (à exercer au maximum une fois par an, sauf si une autorité de surveillance l’exige plus fréquemment), Aryaka mettra rapidement à la disposition du client toutes les informations en sa possession nécessaires pour démontrer le respect par Aryaka de ses obligations en vertu du présent DPA et autorisera et contribuera à des audits raisonnables.
    Toutes les informations fournies seront des informations confidentielles d’Aryaka et ne pourront être divulguées sans le consentement écrit préalable d’Aryaka, sauf si la loi applicable l’exige.
  • 9. Sous-traitance. Le client autorise Aryaka à transférer des données à caractère personnel à des sous-traitants dans le but de fournir les services au client.
    Aryaka tiendra à jour une liste des sous-traitants.
    Une liste actualisée des sous-traitants est incluse dans l’Annexe III.
    Aryaka informera le client 14 jours à l’avance de l’ajout d’un sous-traitant à cette liste et lui donnera la possibilité de s’opposer à cet ajout.
    Si Aryaka ne reçoit pas d’objection dans les 14 jours suivant la notification, le sous-traitant ultérieur est réputé accepté par le client.
    Aryaka conclura un accord avec ce sous-traitant ultérieur qui comprendra des conditions de protection des données similaires au présent DPA.
  • 10. Assistance d’Aryaka. À la demande raisonnable du client et en tenant compte de la nature du traitement, Aryaka prendra des mesures raisonnables pour aider le client à respecter son obligation de répondre aux demandes des personnes concernées d’exercer leurs droits en vertu de la législation applicable en prenant les mesures techniques et organisationnelles appropriées.
    Compte tenu de la nature du Traitement et des informations dont dispose Aryaka, Aryaka aidera également le Client, à la demande raisonnable de ce dernier, à respecter ses obligations de conformité en ce qui concerne la réalisation d’analyses d’impact sur la protection des données et les consultations connexes des autorités de contrôle.
    Aryaka se réserve le droit de facturer au client des frais raisonnables pour l’assistance demandée.
  • 11. Dispositions de la loi californienne sur la protection de la vie privée des consommateurs (CCPA).
  • 11.1 Conformité juridique. Aryaka fournira le même niveau de protection de la vie privée pour les données personnelles des résidents californiens que celui exigé du client en vertu de la CCPA.
    Aryaka informera le client par écrit si elle détermine qu’elle n’est plus en mesure de respecter ses obligations en vertu de la CCPA.
    Le Client a le droit, après en avoir informé Aryaka, de prendre des mesures raisonnables et appropriées pour mettre fin et remédier à l’utilisation non autorisée des données personnelles, y compris lorsque Aryaka a informé le Client qu’elle ne peut plus respecter ses obligations au titre de la CCPA.
  • 11.2 Restriction du traitement. En aucun cas Aryaka ne peut
    (a) divulguer des données personnelles de résidents californiens à un tiers pour une contrepartie monétaire ou autre, ou divulguer des données personnelles à un tiers à des fins de publicité comportementale inter-contexte ;
    (b) divulguer les données personnelles des résidents de Californie à un tiers pour le bénéfice commercial d’Aryaka ou d’un tiers ;
    (c) conserver, utiliser ou divulguer des données personnelles de résidents californiens en dehors de la relation commerciale directe d’Aryaka avec le client ou à des fins commerciales autres que celles spécifiées dans l’accord ou autrement autorisées par les lois applicables ; ou
    (d) combiner les données personnelles des résidents de Californie avec des informations personnelles qu’Aryaka reçoit de, ou au nom de, d’autres personnes, ou qu’elle recueille dans le cadre de ses propres interactions avec la personne concernée, sauf si les lois applicables l’autorisent.
    Aryaka certifie qu’elle comprend les restrictions susmentionnées et qu’elle s’y conformera.
  • 12. Transferts de données
  • 12.1 Transferts restreints de données à caractère personnel relevant du GDPR. Les Clauses contractuelles types de l’UE (Module 2 Contrôleur vers sous-traitant) ((EU) 2021/914) disponibles sur [www .aryaka.com/SCC2021-Controller-to-Processor /] ( » CCN de l’UE « ), et incorporées aux présentes par référence, ainsi que les Annexes I et II ci-jointes s’appliqueront à tout transfert de Données à caractère personnel soumis au Règlement général sur la protection des données de l’UE ((EU) 2016/679) ( » GDPR « ).
    Nonobstant ce qui précède, les CSC de l’UE ne s’appliqueront pas dans la mesure où le transfert est couvert par (i) une décision adoptée par une autorité compétente ayant juridiction sur le Client déclarant qu’une juridiction respecte un niveau de protection adéquat des Données à caractère personnel (une  » Décision d’adéquation « ).
  • 12.1.1 Dans la clause 9, les parties conviennent que l’option 2 s’appliquera conformément à la section [9] (Sous-traitance).
  • 12.1.2 La langue optionnelle de la clause 11 est exclue.
  • 12.1.3 Dans la clause 17, les CSC de l’UE sont régis par le droit néerlandais.
  • 12.1.4 Dans la clause 18, tout litige découlant des CSC de l’UE sera résolu par les tribunaux des Pays-Bas.
  • 12.1.5 Dans l’annexe IC, l’autorité de protection des données où le client est situé est l’autorité de contrôle compétente.
  • 12.2. Transferts restreints en provenance de la Suisse. Les CSC de l’UE, telles que modifiées dans la présente section, s’appliqueront à tout transfert de données à caractère personnel soumis à la loi fédérale suisse sur la protection des données (LPD) et ne faisant pas par ailleurs l’objet d’une décision d’adéquation :
  • 12.2.1 Le terme « État membre de l’UE » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18, point c).
  • 12.2.2 Les références au GDPR dans les CCN de l’UE doivent être comprises comme des références au FADP.
  • 12.2.3 Dans la clause 17, les CSC de l’UE seront régies par le droit suisse.
  • 12.2.4 Dans l’annexe IC, le Préposé fédéral à la protection des données et à la transparence est l’autorité de contrôle compétente.
  • 12.3 Transferts restreints à partir du Royaume-Uni. Lorsque le transfert de données à caractère personnel est soumis à la législation du Royaume-Uni (y compris le règlement général sur la protection des données du Royaume-Uni) et ne fait pas l’objet d’une décision d’adéquation, les parties conviennent de ce qui suit :
  • 12.3.1 Les dispositions du UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, Version B1.0, en vigueur à partir du 21 mars 2022, disponible sur https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (« UK Addendum »), y compris la partie 2 « Mandatory Clauses », sont ici incorporées par référence et s’appliquent dans leur intégralité ;
  • 12.3.2 Dans le tableau 1 de l’addendum britannique, les noms des parties, leurs rôles et leurs coordonnées sont indiqués dans l’annexe 1 ci-jointe ;
  • 12.3.3 Dans les tableaux 2 et 3 de l’addendum britannique, le module 2 des CCAP de l’UE incorporé dans le présent DPA par référence, y compris les informations figurant dans les annexes ci-jointes, s’applique ; et
  • 12.3.4 Dans le tableau 4 de l’addendum britannique, chaque partie peut mettre fin à l’addendum britannique.
  • 13. CONFLITS ; FORCE EXÉCUTOIRE. Si une disposition du présent DPA est jugée invalide ou inapplicable par un tribunal compétent, cette décision n’invalidera ni ne rendra inapplicable aucune autre disposition du présent DPA ou de tout autre contrat conclu entre le client et Aryaka.
    Le présent DPA complète l’accord.
    Le présent DPA prévaudra en cas d’incohérence entre l’accord et le présent DPA.
    Toutes les autres dispositions ou obligations de l’accord qui ne sont pas affectées par le présent DPA resteront pleinement en vigueur.
    Si le présent DPA, ou toute action à entreprendre ou envisagée dans le cadre de l’exécution du présent DPA, ne satisfait pas ou ne satisferait pas les obligations de l’une ou l’autre des parties en vertu des lois applicables à chacune d’entre elles, les parties négocieront de bonne foi une modification appropriée du présent DPA.

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données :

Nom : Voir le bon de commande entre le client et Aryaka.

Adresse : Voir le bon de commande entre le client et Aryaka.

Nom, fonction et coordonnées de la personne de contact : Voir le bon de commande entre le client et Aryaka.

Activités en rapport avec les données transférées en vertu des présentes clauses : Voir l’accord entre le client et Aryaka.

Signature et date : ————-

Rôle (contrôleur/processeur) : Contrôleur

Importateur(s) de données :

Nom : Aryaka Networks, Inc.

Adresse : 3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 USA

Nom, fonction et coordonnées de la personne de contact : Edward Frye, responsable de la sécurité de l’information, [email protected].

Activités en rapport avec les données transférées en vertu des présentes clauses : Voir l’accord entre les parties.

Rôle (contrôleur/processeur) : Processeur

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

  • Les personnes comprennent le personnel du client, les travailleurs temporaires, les conseillers et toutes les personnes affiliées au personnel du client ou qui utilisent le système et les services offerts.

Les clients, fournisseurs, partenaires, vendeurs du client et tous les tiers dont le client peut détenir des données à caractère personnel.Catégories de données à caractère personnel transférées :

  • Les informations relatives aux utilisateurs du Client, y compris leurs coordonnées, ou toute information volontairement partagée avec Aryaka par le biais des Services ou d’autres canaux.

Métadonnées essentielles à la fourniture de services adaptés à l’environnement spécifique du client.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Aucune en général.
Toutefois, uniquement en ce qui concerne les services « Secure Web Gateway » et Firewall, toute donnée sensible qui peut être visible ou exposée dans le trafic du client qui passe par les services est accessoire et dépend de l’utilisation de ces services par le client. Fréquence du transfert : ContinuNaturedu traitement : Les services Aryaka Security at the Service Edge (SASE) représentent un périmètre de réseau d’entreprise modernisé, réalisé grâce à une combinaison étroitement intégrée de logiciels de réseau et de sécurité.
Ce système relie les succursales, les utilisateurs mobiles, ainsi que les centres de données physiques et en nuage, garantissant une connexion sécurisée et fiable pour le réseau étendu (WAN) et l’accès à l’internet Objectif(s) du transfert et du traitement ultérieur des données : Fourniture des services au client conformément à l’accord et à la commande conclus entre les parties.
Durée de conservation des données à caractère personnel ou, si cela n’est pas possible, critères utilisés pour déterminer cette durée : Les données à caractère personnel seront conservées pendant la période nécessaire à l’exécution des services en vertu de l’accord, à moins qu’une période plus longue ne soit requise par le droit applicable.
Pour les transferts aux sous-traitants (secondaires), précisez également l’objet, la nature et la durée du traitement : Voir la description ci-dessus.

ANNEXE II – MESURES DE SÉCURITÉ

Aryaka applique diverses politiques, normes et procédures conçues pour sécuriser les données à caractère personnel.
Vous trouverez ci-dessous une description de certaines des principales mesures de sécurité techniques et organisationnelles mises en œuvre par Aryaka. Contrôles d’accès physique Aryaka met en œuvre et maintient des mesures conçues pour empêcher les personnes non autorisées d’accéder physiquement aux sites d’Aryaka. Contrôles d’accès techniques Aryaka met en œuvre et maintient des mesures conçues pour empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données d’Aryaka, y compris :

  • une protection hybride contre les dénis de service distribués (DDoS) intégrant la détection et l’atténuation (sur site ou dans le nuage), la prévention des attaques DDoS volumétriques basées sur le nuage et l’assistance d’une équipe d’intervention d’urgence (ERT) 24 heures sur 24 et 7 jours sur 7 ; et
  • Sécurité de la périphérie du réseau fournissant des solutions avancées de sécurité du périmètre qui sont intégrées dans l’appliance SD-WAN (Software Defined Wide Area Network) du client.

Contrôles de l’accès aux données Aryaka met en œuvre et maintient des mesures conçues pour restreindre l’accès à son système de traitement des données aux personnes qui ont besoin d’un tel accès dans le cadre et dans la mesure couverts par leur permission d’accès respective (autorisation).
Contrôles du travail Aryaka met en œuvre et maintient des mesures conçues pour garantir que les données à caractère personnel traitées dans le cadre de l’exécution des services pour le client le sont uniquement conformément à l’accord.
Contrôles de disponibilité Aryaka met en œuvre et maintient des mesures conçues pour protéger les données à caractère personnel contre la divulgation, la destruction accidentelle ou non autorisée ou la perte.

ANNEXE III – LISTE DES SOUS-TRAITANTS

Salesforce : Utilisation : Gestion des relations avec les clients Lieu de résidence de l’instance : États-Unis Accès par le personnel d’Aryaka depuis : les États-Unis, l’Inde, l’Allemagne, le Royaume-Uni, le Canada, l’Australie, le Japon, les Pays-Bas, la Corée du Sud et la Suisse
NetSuite : Utilisation : Comptabilité Lieu de résidence de l’instance : États-Unis Accédé par le personnel d’Aryaka depuis : les États-Unis et l’Inde
Zuora : Utilisation : Facturation Lieu de résidence de l’instance : États-Unis Accès par le personnel d’Aryaka depuis : les États-Unis et l’Inde
Marketo : Utilisation : Marketing et messagerie Lieu de résidence de l’instance : États-Unis Accès par le personnel d’Aryaka depuis : les États-Unis, le Royaume-Uni et l’Inde