Le présent Avenant relatif à la protection des données (« Avenant ») complète les conditions générales du Contrat-cadre et y est incorporé. En cas de conflit entre le présent Avenant et tout autre accord entre les parties sur les questions énoncées dans les présentes, le présent Avenant prévaudra.
ADDENDUM À LA PROTECTION DES DONNÉES
1. DÉFINITIONS
1.1. Les termes non définis dans les présentes ont la signification qui leur est attribuée dans le Contrat-cadre de services. Les mots suivants dans le présent Addendum ont les significations suivantes :
1.2. « Utilisateur autorisé » désigne une personne autorisée par le Client qui peut inclure un employé et/ou un sous-traitant du Client, pour accéder à la Plateforme et l’utiliser pour le compte du Client, conformément à la signature du Contrat-cadre.
1.3. « CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs.
1.4. « Données du Client »désigne toute Donnée à caractère personnel ou Information à caractère personnel liée à un Utilisateur autorisé ou à une personne physique identifiable qui est transférée, traitée ou stockée par Globalization Partners pour le compte du Client pour l’utilisation de la Plateforme par le Client.
1.5. « Lois sur la protection des données » désigne toutes les lois sur la protection des données et de la vie privée auxquelles une partie au présent Contrat est soumise et qui sont applicables aux Services fournis, y compris, le cas échéant, le RGPD, le RGPD du Royaume-Uni, les lois américaines sur la protection de la vie privée (y compris les lois étatiques et fédérales) et la Loi sur la protection des données personnelles de Singapour.
1.6. « RGPD » désigne le Règlement général sur la protection des données (UE) 2016/679 et/ou le RGPD du Royaume-Uni.
1.7. « EEE » désigne l’Espace économique européen.
1.8. « CCT de l’UE » désigne les Clauses contractuelles types pour le transfert de Données à caractère personnel vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la Décision d’exécution (UE) de la Commission européenne 2021/914 du 4 Juin 2021.
1.9. « Services EOR » désigne l’employeur des services d’enregistrement devant être fournis par Globalization Partners au Client conformément au Contrat-cadre.
1.10. « Contrat-cadre » désigne le contrat signé entre le Client et Globalization Partners pour la fourniture des Services EOR.
1.11. « Plateforme » désigne le logiciel propriétaire de Globalization Partners, y compris, mais sans s’y limiter, le logiciel, la version mobile, tout logiciel qu’il contient, et toutes les données mises à disposition par l’utilisation du logiciel propriétaire de Globalization Partners ou des services tiers, y compris leurs mises à jour, mises à niveau, plateforme en tant que service, documentation, dont une description est énoncée à l’adresse https://www.globalization-partners.com/goglobal/.
1.12. « Addendum britannique » désigne l’addendum au transfert international de données du Royaume-Uni aux Clauses contractuelles types de l’UE émises par le Commissaire à l’information du Royaume-Uni et jointes aux présentes en Annexe IV.
1.13. « Responsable du traitement » « Personne concernée », « Données à caractère personnel », « Informations à caractère personnel » « Violation de données », « Sous-traitant », « Traitement/Traitement », « Transfert restreint », « Prestataire de services » et/ou tout autre terme et concept similaire auront la signification définie dans les Lois sur la protection des données
2. RELATION ENTRE LES PARTIES ET LES RÔLES
2.1. Rôles des Parties et détails du Traitement. Globalization Partners traitera les Données à caractère personnel en tant que Responsable du traitement indépendant lorsque Globalization Partners fournira les Services EOR. En aucun cas les Parties ne traiteront les Données à caractère personnel en vertu du présent Addendum en tant que Responsables conjoints du traitement. Lorsque Globalization Partners opère en tant que Responsable du traitement indépendant, Globalization Partners doit se conformer à ses obligations en vertu des Lois sur la protection des données lors du Traitement des Données à caractère personnel et doit traiter les Données à caractère personnel comme décrit dans la Politique de confidentialité de Globalization Partners disponible à l’adresse https://www.globalization-partners.com/privacy-policy/. Le Client se conformera à ses obligations en vertu des Lois sur la protection des données lors du Traitement des Données à caractère personnel en tant que Responsable du traitement. Dans la mesure où Globalization Partners agit en tant que Sous-traitant lors du Traitement des Données client, ledit Traitement sera effectué conformément à la Section 3 (« Traitement des Données à caractère personnel ») ci-dessous.
2.2. Responsabilités et reconnaissances. Chaque Partie peut traiter des Données à caractère personnel en vertu du présent Addendum en ce qui concerne les Données à caractère personnel en tant que Responsables du traitement indépendants. Les Parties conviennent de se conformer à leurs obligations respectives et de traiter toutes les Données à caractère personnel de manière équitable et légale conformément au présent Addendum et à toutes les Lois sur la protection des données applicables aux opérations de Traitement des Données à caractère personnel de ladite Partie. Chaque Partie veillera à ce que son Traitement des Données à caractère personnel soit limité à la finalité des Services EOR fournis par Globalization Partners et repose sur un fondement juridique pour un traitement légal. Les Parties s’aideront mutuellement à se conformer à leurs obligations respectives en vertu des Lois sur la protection des données, y compris, mais sans s’y limiter, à s’entraider en cas de Violation de données, à répondre aux demandes des Personnes concernées et/ou des régulateurs.
3. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
3.1. Portée. L’utilisation de la Plateforme par le Client et la relation de gestion avec le Client peut entraîner le Traitement des Données client par Globalization Partners en tant que Sous-traitant ou Prestataire de services pour le compte du Client.
3.2. Instructions. Globalization Partners traitera les Données client conformément aux instructions documentées du Client. Le Client convient que le présent Addendum, le Contrat-cadre et l’Annexe I jointe aux présentes, comprennent les instructions complètes du Client à Globalization Partners concernant le Traitement des Données client. Toute instruction supplémentaire ou alternative doit être convenue entre les parties par écrit, y compris les coûts (le cas échéant) associés au respect de ces instructions. Globalization Partners n’est pas responsable de déterminer si les instructions du Client sont conformes à la loi applicable. Toutefois, si Globalization Partners estime qu’une instruction du Client enfreint les Lois applicables en matière de protection des données, Globalization Partners en informera le Client dès que raisonnablement possible et ne sera pas tenue de se conformer à ladite instruction en infraction.
3.3. Détails du traitement. Les détails de l’objet du Traitement, sa durée, sa nature et sa finalité, ainsi que le type de Données du Client et les personnes concernées sont tels que spécifiés dans l’Annexe I jointe aux présentes.
3.4. Conformité Le Client et Globalization Partners conviennent de se conformer à leurs obligations respectives en vertu des Lois sur la protection des données applicables aux Données du Client qui sont Traitées comme spécifié à l’Annexe I. Le Client est seul responsable du respect des Lois sur la protection des données concernant la légalité du Traitement des Données du Client avant de divulguer, transférer ou autrement mettre à disposition des Données du Client à Globalization Partners. Afin d’éviter toute ambiguïté, dans tous les cas, le Client obtiendra, le cas échéant, tout consentement des Personnes concernées pour que Globalization Partners traite les Données client conformément aux instructions du Client.
3.5. Sous-traitants ultérieurs. Le Client autorise Globalization Partners à nommer et à utiliser des Sous-traitants (« Sous-traitants ultérieurs ») pour traiter les Données client en lien avec les Services. Les Sous-traitants ultérieurs peuvent inclure des tiers ou tout membre du groupe de sociétés Globalization Partners. Globalization Partners peut continuer à utiliser les Sous-traitants ultérieurs déjà engagés par Globalization Partners à la date du présent Addendum, et une liste de ces Sous-traitants ultérieurs est disponible en Annexe III jointe aux présentes. Si un Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données telles que spécifiées ci-dessus, Globalization Partners sera responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur. Globalization Partners informera le Client de toute modification de sa liste de Sous-traitants ultérieurs. Si, dans les 10 (dix) jours suivant la réception de cet avis, le Client s’oppose légitimement à l’ajout ou au retrait d’un Sous-traitant ultérieur pour des raisons de protection des données et que Globalization Partners ne peut raisonnablement répondre à l’objection du Client, les parties discuteront des préoccupations du Client de bonne foi en vue de résoudre le problème.
3.6. Mesures de sécurité techniques et organisationnelles. En tenant compte des normes du secteur, les coûts de mise en œuvre, la nature, portée, le contexte et les finalités du Traitement, et toute autre circonstance pertinente relative au Traitement des Données Client au sein de la Plateforme, Globalization Partners mettra en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour assurer la sécurité, confidentialité, intégrité, la disponibilité et la résilience des systèmes et services de traitement impliqués dans le Traitement des Données du Client sont proportionnelles au risque concernant lesdites Données du Client. Globalization Partners (i) testera et surveillera périodiquement l’efficacité de ses garanties, contrôles, systèmes et procédures et (ii) identifiera les risques internes et externes raisonnablement prévisibles pour la sécurité, la confidentialité et l’intégrité des Données client, et s’assurera que ces risques sont traités.
3.7. Confidentialité. Globalization Partners s’assurera que les personnes autorisées à accéder aux Données client (i) se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité et (ii) n’accèdent aux Données client que sur instructions documentées de Globalization Partners, sauf si la loi applicable l’exige.
3.8. Violation de données à caractère personnel. Globalization Partners informera le Client sans délai injustifié après avoir pris connaissance d’une Violation de données en relation avec le Traitement des Données du Client et déploiera des efforts raisonnables pour aider le Client à atténuer, lorsque cela est possible, les effets indésirables de toute Violation de données.
3.9. Transferts internationaux . Globalization Partners est autorisée, dans le cadre normal de ses activités, à effectuer des transferts internationaux de Données client à ses sociétés affiliées et/ou Sous-traitants ultérieurs. Lors de ces transferts, Globalization Partners s’assurera qu’une protection appropriée est en place pour protéger les Données client transférées en vertu du Contrat-cadre ou en relation avec celui-ci, comme suit :
- 3.9.1. Lorsque Globalization transfère des Données client vers des pays en dehors de l’EEE (qui ne sont pas soumis à une décision d’adéquation en vertu des Lois sur la protection de la vie privée), Globalization Partners exécutera et se conformera à ses obligations en vertu des CCT de l’UE, qui sont intégrées au présent Addendum par le présent renvoi et complétées comme suit :
-
- Le Module 2 (du Responsable du traitement au Sous-traitant) s’appliquera lorsque le Client est un Responsable du traitement des Données à caractère personnel et que Globalization Partners est un Sous-traitant des Données à caractère personnel ;
- à la Clause 7, la clause d’amarrage facultatif s’appliquera ;
- à la Clause 9, l’option s2’appliquera avec 10 jours ;
- à l’article 11, la formulation facultative ne s’appliquera pas ;
- à la Clause 12, toute réclamation introduite en vertu des CCT de l’UE sera soumise aux conditions générales énoncées dans le Contrat ;
- à la Clause 17, l’Option 1 s’appliquera, les CCT de l’UE seront régies par le Droit irlandais ;
- à la Clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;
- L’Annexe I des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe I du présent Addendum ;
- L’Annexe II des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe II du présent Addendum ; et
- L’Annexe III des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe III du présent Addendum.
- 3.9.2. En ce qui concerne les Données client protégées par le RGPD du Royaume-Uni, les Parties sont légalement autorisées à s’appuyer sur les CCT de l’UE pour les Transferts restreints depuis le Royaume-Uni, sous réserve de l’Addendum britannique qui est intégré au présent Addendum par référence et complété comme défini dans l’Annexe IV jointe aux présentes. Si le présent article 3.9.2 ne s’applique pas, Globalization Partners Exporting Company et le Client coopéreront de bonne foi pour mettre en œuvre des mesures de protection appropriées pour les transferts de ces Données à caractère personnel, comme requis ou autorisé par le RGPD du Royaume-Uni, sans retard injustifié.
- 3.9.3. Rien dans les interprétations de la présente Section n3.9’est destiné à entrer en conflit avec les droits ou responsabilités de l’une ou l’autre des Parties en vertu des CCT de l’UE et/ou de l’Addendum britannique et, en cas d’un tel conflit, les CCT de l’UE et/ou l’Addendum britannique, selon le cas, prévaudront.
3.10. Suppression des Données à caractère personnel. À la résiliation des Services (pour quelque raison que ce soit) et sur demande écrite du Client, Globalization Partners devra, dès que raisonnablement possible, retourner ou supprimer les Données client stockées sur la Plateforme, sauf si la loi applicable exige le stockage des Données client pendant une période plus longue. Pour cette conservation, les dispositions du présent Addendum continueront de s’appliquer à ces Données Client.
3.11. Demandes des personnes concernées. Globalization Partners informera rapidement le Client de toute demande des Personnes concernées concernant les Données client. Il incombe au Client de répondre à ces demandes. Globalization Partners aidera raisonnablement le Client à répondre auxdites demandes des Personnes concernées dans la mesure où le Client n’est pas en mesure d’accéder aux Données client pertinentes dans son utilisation de la Plateforme.
3.12. Demandes de tiers. Si Globalization Partners reçoit des demandes de tiers ou une ordonnance d’un tribunal, d’un organisme de réglementation ou d’un organisme gouvernemental compétent auquel Globalization Partners est soumise concernant le Traitement des Données client en vertu du Contrat, Globalization Partners redirigera rapidement la demande au Client. Globalization Partners ne répondra pas à ces demandes sans l’autorisation préalable du Client, sauf si la loi l’y oblige. Globalization Partners, sauf interdiction légale, informera le Client à l’avance de toute divulgation des Données du Client et coopérera raisonnablement avec le Client pour limiter la portée de cette divulgation à ce qui est légalement requis.
3.13. Évaluation de l’impact sur la protection des données et consultation préalable. Dans la mesure requise par les Lois sur la protection des données, Globalization Partners fournira une assistance raisonnable au Client pour effectuer une évaluation de l’impact sur la protection des données en relation avec le Traitement des Données client entrepris par Globalization Partners et/ou toute consultation préalable requise(s) avec les autorités de contrôle. Globalization Partners se réserve le droit de facturer au Client des frais raisonnables pour la fourniture d’une telle assistance.
3.14. Démontrer la conformité. Globalization Partners effectue régulièrement des audits externes sur les contrôles de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité et de confidentialité de l’organisation et fournira au Client une copie du rapport d’audit récapitulatif ou de la certification la plus récente sur demande écrite. Si le Client préfère effectuer son propre audit en plus des certifications ou rapports fournis par des tiers, cet audit doit être effectué : i) pas plus d’une fois par période 12 de (douze) mois ; ii) pendant les heures normales d’ouverture et sans perturber les activités quotidiennes de Globalization Partners ; iii) moyennant un préavis écrit de trente (30) jours ; iv) aux seuls frais du Client (y compris le temps passé par Globalization Partner à aider le Client pendant l’audit sur la base du taux quotidien d’un gestionnaire de sécurité) ; v) sur la base de paramètres et d’une portée mutuellement convenus, limité à la portée spécifique des services, les systèmes utilisés et/ou les activités de traitement envisagés et spécifiques à l’exigence réelle ; vi) sur la base d’une date convenue mutuellement à l’avance, sous réserve d’un report raisonnable par le Client sur demande raisonnable de Globalization Partners ; et vii) conformément à toutes les obligations et restrictions de confidentialité. Nonobstant ce qui précède, aucun droit d’audit n’est accordé après la résiliation du Contrat-cadre, à l’exception des obligations légales qui devront être démontrées par le Client. Tout représentant tiers sélectionné pour effectuer un audit au nom du Client ne doit pas avoir de participation ou d’affiliation avec une agence de services EOR, une organisation associée ou un consultant.
3.15. Pas de vente d’informations. Globalization Partners n’obtiendra ni n’exercera aucun droit ou avantage concernant les Données à caractère personnel, sauf tel que prévu dans le présent Addendum. Afin d’éviter toute ambiguïté, Globalization Partners ne conservera, n’utilisera, ne partagera ou ne divulguera pas les Données du Client à d’autres fins que celles spécifiques de fournir la Plateforme au Client conformément au Contrat-cadre. Globalization Partners ne vendra aucune Donnée à caractère personnel, tel que le terme « vente » est défini dans le CCPA. Globalization Partners déclare et garantit qu’elle comprend les règles, les exigences et les définitions de la CCPA et accepte de s’abstenir de prendre toute mesure qui ferait que tout transfert de Données à caractère personnel vers ou depuis Globalization Partners soit qualifié de « vente d’informations à caractère personnel » en vertu de la CCPA.
Annexe I - Description du traitement des données
| Parties | Responsable du traitement/Exportateur de données : entité client exécutant le Processeur d’ incréments principal/Importateur de données : entité Globalization Partners exécutant le Contrat-cadre. |
| Coordonnées des parties | Coordonnées du Client telles que définies dans le Contrat-Cadre. Coordonnées de Globalization Partners telles qu’énoncées dans le Contrat-cadre. |
| Activités pertinentes pour les données transférées | Activités liées à la Plateforme fournies en tant que service. |
| Activités de traitement | Globalization Partners traitera les Données Client dans le cadre de la fourniture de la Plateforme en tant que service au Client. |
| Durée du Traitement | Globalization Partners traitera les Données client pendant la durée du Contrat-cadre et de manière continue. |
| Nature et finalité du traitement | Le Client peut transférer les Données client à Globalization Partners, dont l’étendue est déterminée et contrôlée par le Client à sa seule discrétion. Globalization Partners traitera les Données client si nécessaire aux fins de fournir la Plateforme en tant que service au Client conformément au Contrat-cadre. |
| Catégories de personnes concernées | Les Données Client concernent les Utilisateurs Autorisés de la Plateforme qui peuvent inclure les employés et/ou sous-traitants du Client, en plus des personnes dont les Données Personnelles sont fournies par les Utilisateurs Autorisés de la Plateforme. |
| Types de données à caractère personnel | Les Données Client transférées peuvent inclure les catégories de données suivantes :
|
| Catégories particulières de données (le cas échéant) | S.O. |
| Rétention | Les Données du Client seront conservées au moins aussi longtemps que toute période de conservation minimale légale applicable, conforme aux délais de prescription applicables et conforme aux bonnes pratiques commerciales. |
| Autorité de contrôle compétente | La Commission irlandaise pour la protection des données |
| Transferts à des sous-traitants ultérieurs | Pour les transferts aux sous-traitants, l’objet, la nature et la durée du traitement sont les mêmes que ceux définis ci-dessus. |
| Coordonnées de Globalization Partners en matière de confidentialité | privacy@globalization-partners.com à l’attention du Bureau mondial de la confidentialité. |
Annexe II - Mesures techniques et organisationnelles
Globalization Partners a été certifiée et attestée pour confirmer la conformité aux 2 normes SOC, par des auditeurs indépendants. Les rapports sur les contrôles des organisations de services (SOC) démontrent notre engagement à sécuriser les données client. Le programme de sécurité de Globalization Partners est conçu pour :
- protéger la confidentialité, l’intégrité et la disponibilité des Données client en possession de Globalization Partners ou auxquelles Globalization Partners a accès ;
- Protéger contre toute menace ou danger anticipé pour la confidentialité, l’intégrité et la disponibilité des Données Client ;
- Protéger contre l’accès, l’utilisation, la divulgation, l’altération ou la destruction non autorisés ou illégaux des Données du Client ;
- protéger contre la perte accidentelle, la destruction ou l’endommagement des Données du Client ; et
- Protéger les informations telles qu’énoncées dans toute réglementation par laquelle Globalization Partners peut être réglementée.
Les éléments suivants décrivent les fonctions, processus, contrôles, systèmes, procédures et mesures que Globalization Partners a pris pour assurer la sécurité du Traitement des Données client :
1) MESURES TECHNIQUES POUR ASSURER LA CONFIDENTIALITÉ ET LA PROTECTION DES DONNÉES
a) Confidentialité dès la conception et par défaut :
Globalization Partners prend en compte les exigences de l’article 25 RGPD dans la phase de conception et de développement du développement de produits. Les processus et fonctionnalités sont mis en place de manière à ce que les principes de protection des données tels que la légalité, la transparence, la limitation des finalités, la minimisation des données, etc. ainsi que la sécurité du traitement soient pris en compte à un stade précoce.
b) Cryptage des Données à caractère personnel :
S’assurer que les données à caractère personnel ne sont stockées dans le système que d’une manière qui ne permet pas à des tiers d’identifier la personne concernée.
- Chiffrement de la base de données et du stockage :
sur toutes les bases de données utilisées par Globalization Partners, un chiffrement « au repos » selon l’état de l’art est utilisé afin que les données de la base de données ne puissent être lues qu’après une authentification appropriée sur le système de base de données respectif. - Chiffrement des supports de données mobiles :
l’utilisation de supports de données mobiles pour stocker les données des clients n’est pas autorisée. - Chiffrement des supports de données sur les ordinateurs portables :
Un chiffrement de disque dur de pointe approprié est installé sur les ordinateurs portables de tous les employés. - Échange chiffré d’informations et de fichiers :
En principe, l’échange d’informations et de fichiers est directement chiffré via une application spéciale. Si des données à caractère personnel ou des informations confidentielles doivent être transférées vers des serveurs qui ne peuvent pas être envoyés via des téléchargements HTTPS cryptés TLS, ils seront transférés à l’aide du protocole SFTP (Secure File Transfer Protocol), d’un service d’enveloppe crypté ou d’un autre mécanisme crypté conformément à l’état de l’art. - Chiffrement des e-mails :
en principe, tous les e-mails envoyés par les employés de Globalization Partners sont cryptés avec TLS. Il peut y avoir des exceptions si le serveur de messagerie destinataire ne prend pas en charge TLS. Le Client s’assurera que les serveurs de messagerie correspondants utilisés dans le cadre de la commande prennent en charge le chiffrement TLS
c) Contrôle d’admission
Des contrôles d’admission sont prévus et mis en place afin d’empêcher l’utilisation et le traitement des données qui sont protégées par les lois sur la protection des données par des personnes non autorisées.
- Utilisation de méthodes d’authentification
L’accès aux données personnelles se fait toujours via des protocoles chiffrés : SSH, SSL/TLS, HTTPS ou protocoles comparables. Procédure d’authentification du système informatique : connexion d’authentification multifacteur au système informatique. - Blocage automatique en cas d’inactivité
Ordinateurs portables utilisés par les employés de Globalization Partners verrouillés avec un mot de passe ou un code PIN lorsqu’ils ne sont pas utilisés par l’utilisateur. De plus, un verrouillage automatique de l’écran avec protection par mot de passe est configuré après 15 minutes d’inactivité. - Utilisation d’un logiciel antivirus
Les ordinateurs portables utilisés par les employés de Globalization Partners sont équipés d’un logiciel antivirus de pointe qui est tenu à jour sur tous les systèmes informatiques opérationnels ou commerciaux. En principe, aucun ordinateur ne peut être utilisé sans protection antivirus résidente, sauf si d’autres mesures de sécurité de pointe équivalentes ont été prises ou s’il n’y a aucun risque. Les paramètres de sécurité par défaut ne doivent pas être désactivés ou contournés. - « Politique de bureau propre »
Les employés de Globalization Partners ont pour instruction de ne pas imprimer ou stocker localement les données à caractère personnel des personnes concernées, de ne pas laisser les documents de travail dans un endroit où ils peuvent être consultés par des tiers, et de stocker correctement tous les documents de travail. Les documents que Globalization Partners est tenue de conserver sur papier sont stockés dans des armoires verrouillées.
d) Contrôles d’accès au sein de la Plateforme
Les contrôles d’accès garantissent que les personnes autorisées à utiliser un système de traitement n’ont accès qu’aux données à caractère personnel couvertes par leur autorisation d’accès.
- Rôles et autorisation
- Plate-forme Rôles et Autorisation – Accès client Les utilisateurs du client peuvent afficher et modifier les informations du compte client.
- Plate-forme Rôles et Autorisation – Les utilisateurs professionnels d’accès professionnel peuvent afficher et modifier leurs propres informations professionnelles.
Les professionnels peuvent également obtenir un rôle d’accès client sur demande + approbation - Plateforme des rôles et des autorisations – Accès interne
Les utilisateurs d’accès interne ont des rôles variés. Ils ont un accès varié pour créer, afficher, modifier et approuver les éléments suivants :- Informations sur le client
- Informations de facturation
- Informations sur le partenaire
- Le personnel professionnel enregistre les informations
L’accès au système d’administration est généralement limité aux employés formés dans les domaines du support client et du développement de produits.
e) Pare-feu en tant que service
Globalization Partners utilise un pare-feu externe en tant que service qui lui permet d’accorder ou de bloquer l’accès aux sites Web pour s’assurer que les systèmes ne peuvent pas accéder au contenu malveillant et pour restreindre l’accès au contenu inapproprié.
f) Enregistrement de la connexion à la plateforme
Globalization Partners conserve un enregistrement de toutes les activités de connexion.
g) Séparabilité
S’assurer que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément et sont séparées des autres données et systèmes de telle sorte que l’utilisation non planifiée de ces données à d’autres fins soit exclue.
- Séparation des environnements de développement, de test et d’exploitation
Les données de l’environnement d’exploitation ne peuvent être transférées vers des environnements de test ou de développement que si elles ont été rendues totalement anonymes avant le transfert. Le transfert des données anonymisées doit être chiffré ou via un réseau fiable. - La séparation dans les réseaux
Globalization Partners sépare ses réseaux en fonction des tâches. Les réseaux suivants sont utilisés de manière permanente : environnement d’exploitation (« Production »), environnement de test (« Mise à disposition », « Sandbox »), environnement de développement (« Dev ») personnel informatique de bureau. En plus de ces réseaux, d’autres réseaux distincts sont créés selon les besoins, par exemple pour les tests de restauration et les tests de pénétration. En fonction des possibilités techniques, les réseaux sont séparés physiquement ou au moyen de réseaux virtuels.
h) Contrôle de disponibilité
Globalization Partners prend les mesures suivantes pour s’assurer que les données à caractère personnel sont protégées contre la destruction ou la perte accidentelle.
- Procédures/sauvegardes de protection des données
Pour garantir une disponibilité adéquate, Globalization Partners met en œuvre des instantanés quotidiens de sa base de données avec réplication vers une région différente. Des mesures sont également prises pour s’assurer que les employés ayant besoin d’examiner les données en fonction de leur poste n’ont accès qu’aux jeux de données en réplique. - Géo-redondance en ce qui concerne l’infrastructure serveur des données productives et des sauvegardes
- Gestion des incidents informatiques (« Gestion de la réponse aux incidents »)
Il existe un concept et des procédures documentées pour gérer les incidents et les événements de sécurité pertinents. Cela comprend la planification et la préparation de la réponse aux incidents, les procédures de surveillance, de détection et d’analyse des événements de sécurité pertinents et la définition des responsabilités correspondantes et des canaux de signalement en cas de violation de la protection des données à caractère personnel dans le cadre des exigences légales.
2) MESURES ORGANISATIONNELLES POUR ASSURER LA CONFIDENTIALITÉ ET LA PROTECTION DES DONNÉES
Globalization Partners a mis en place les mesures organisationnelles suivantes pour s’assurer que l’organisation fonctionne d’une manière qui répond aux exigences de confidentialité et de protection des données.
a) Instructions organisationnelles
Globalization Partners a développé et développe actuellement un programme de gouvernance des données comprenant des politiques, procédures et directives que les employés doivent suivre. La documentation comprend la manière d’identifier et de gérer les problèmes de confidentialité des données, les meilleures pratiques pour garantir la conformité en matière de confidentialité et les politiques pour traiter les incidents de confidentialité.
b) Engagement envers la confidentialité et la protection des données
Globalization Partners a développé et développe actuellement un programme de gouvernance des données comprenant des politiques, procédures et directives que les employés doivent suivre. Tous les employés et sous-traitants sont tenus par écrit à la confidentialité et à la protection des données ainsi qu’à d’autres lois pertinentes. Tous les employés reçoivent une formation sur la confidentialité et la sécurité. Des audits internes sur la protection des données et la sécurité des informations sont effectués régulièrement. Les audits sont effectués sur la base de critères/schémas de test courants. Les employés et sous-traitants de Globalization Partners sont invités à traiter les données à caractère personnel pour des raisons légales uniquement, conformément aux contrats applicables avec le client et le professionnel, en tenant compte de tout consentement exprès donné ou refusé par la personne concernée, et conformément à toute obligation légale de l’organisation.
c) Formation à la protection des données
Tous les employés reçoivent une formation sur la confidentialité et la sécurité qui reste disponible pour examen à tout moment sur la plateforme de formation Globalization Partners.
d) Contrôles d’accès physique
Globalization Partners a mis en place les contrôles physiques suivants pour refuser aux personnes non autorisées l’accès aux équipements des systèmes informatiques utilisés pour le traitement.
- Protection électronique des portes
Les portes d’entrée des locaux des bureaux de Globalization Partners sont toujours verrouillées et sécurisées électroniquement. Les portes sont ouvertes via un transpondeur électronique personnel. - Distribution contrôlée des clés
Une allocation centralisée et documentée des clés aux employés de Globalization Partners a lieu. Ces transpondeurs/clés électroniques peuvent être désactivés de manière centralisée par chaque responsable de bureau ou le service des ressources humaines. - Supervision et accompagnement de personnes externes
Les prestataires de services externes et autres tiers ne peuvent se voir accorder l’accès aux locaux que par autorisation préalable ou lorsqu’ils sont accompagnés par un employé de Globalization Partners. Globalization Partners applique sa Politique écrite relative aux visiteurs lorsque les visiteurs sont invités dans les locaux. - Sécurisation des locaux ayant un besoin accru de protection
Les locaux ou les armoires ayant des exigences accrues en matière de protection, tels que les bureaux juridiques et certains sites d’exploitation, sont équipés d’armoires de verrouillage et de tiroirs. Les armoires et tiroirs où les documents juridiques, les contrats et la documentation confidentielle sont détenus doivent être verrouillés à tout moment, sauf lorsqu’ils sont utilisés. - Portes et fenêtres fermées
Les employés ont pour instruction organisationnelle de garder les fenêtres et portes fermées ou verrouillées en dehors des heures de bureau.
e) Récupération
Globalization Partners s’assure que les systèmes utilisés peuvent être restaurés en cas de défaillance physique ou technique.
- Tests réguliers de récupération des données (« Tests de restauration »)
Des tests réguliers de restauration complète sont effectués pour garantir la récupération en cas d’urgence/de catastrophe. - Plan d’urgence (« Concept de reprise après sinistre »)
Il existe un concept pour le traitement des urgences/catastrophes et un plan d’urgence correspondant. Globalization Partners assure la récupération de tous les systèmes sur la base des sauvegardes de données, généralement en quelques 48 heures. - Mesures d’examen et d’évaluation
Présentation des procédures pour un examen, une évaluation et une évaluation réguliers de l’efficacité des mesures techniques et organisationnelles.
f) Équipe de protection de la vie privée
L’organisation dispose d’un Bureau mondial de la confidentialité des données chargé de planifier, mettre en œuvre, évaluer et adapter les mesures dans le domaine de la protection des données.
g) Gestion des risques
Il existe un processus d’analyse, d’évaluation et d’allocation des risques et de dérivation des mesures sur la base de ces risques.
3) EXAMEN INDÉPENDANT DE LA SÉCURITÉ DE L’INFORMATION
a) Réalisation des audits
Des audits internes sur la protection des données et la sécurité des informations sont effectués régulièrement. Les audits sont effectués sur la base de critères/schémas de test courants.
b) Examen de la conformité aux politiques et normes de sécurité
Le respect des directives, normes et autres exigences de sécurité applicables pour le traitement des données à caractère personnel est vérifié régulièrement. Dans la mesure du possible, ces contrôles sont effectués de manière aléatoire et inattendue.
c) Vérification de la conformité aux spécifications techniques
Des analyses de vulnérabilité manuelles et automatisées régulières sont effectuées par le service informatique ou tout autre personnel qualifié pour vérifier la sécurité des applications et de l’infrastructure, ainsi que le développement régulier du produit. Des tests de pénétration détaillés sont effectués par un prestataire de services externe pour examiner spécifiquement les applications et l’infrastructure à la recherche de vulnérabilités.
d) Traitement sur instruction
Les employés de Globalization Partners sont tenus de traiter les données à caractère personnel pour des raisons légales uniquement, conformément aux contrats applicables avec le client et le professionnel, en tenant compte de tout consentement exprès donné ou refusé par la personne concernée, et conformément à toute obligation légale de l’organisation.
e) Sélection minutieuse des fournisseurs
Globalization Partners adhère à son processus de préqualification des fournisseurs lors de la sélection des fournisseurs qui peuvent être confrontés à des données protégées. Ce processus comprend les commentaires des services financier et juridique/confidentialité et intègre les étapes d’évaluation des risques, de préqualification de la sécurité et de certification de la documentation. Les fournisseurs qui traiteront les données protégées devront démontrer leur adhésion aux lois applicables en matière de confidentialité des données, y compris l’article 28 RGPD pour les données couvertes.
Annexe III - Liste des Sous-traitants ultérieurs
| Sous-traitant ultérieur | Coordonnées | Description du traitement | Emplacement |
|---|---|---|---|
| Filiales de Globalization Partners | https://www.globalization- partners.com/contact-us/ | Fournir la plateforme et la gestion de la relation client | États-Unis |
| Acumatica | 3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, États-Unis | Services financiers | États-Unis |
| Service Web Amazon | P.O. Box 81226 Seattle, WA 98108-1226, États-Unis https://aws.amazon.com/contact-us/ |
Hébergement – Prestataire de services cloud | États-Unis |
| Microsoft | One Microsoft Way Redmond, Washington États98052-Unis Téléphone : (+1) 425-882-8080. |
Communications de soutien aux processus opérationnels (e-mail) ; gestion des services | États-Unis |
| Atlassien | 350 Bush Street Floor 13 San Francisco, CA 94104, États-Unis +1 415 701 1110 |
Soutien aux processus métier pour la gestion des services | États-Unis |
| Conga | https://conga.com/contact-us 62 Margaret St, 3e étage Londres RoyaumeW1W8TF-Uni |
Gestion des contrats | Royaume-Uni |
| DocuSign | DocuSign International (EMEA) Ltd, Attention : Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, République d’Irlande | Gestion des documents | Irlande |
| Gong | 265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, États-Unis | Services de télécommunications | États-Unis |
| iCertis | 2 Kingdom Street Paddington Londres W2 6BD Royaume-Uni | Gestion des contrats | Royaume-Uni |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, États-Unis 1-800-387-3285 |
Soutien aux processus opérationnels pour la gestion de la relation client (CRM) | États-Unis |
| Zendesk | 989 Market St San Francisco, CA 94103, États-Unis zendesk.com 888-670-4887 |
Demandes du service d’assistance pour le support client | États-Unis |
Annexe IV - Addendum britannique aux clauses contractuelles types de l’UE
PARTIE 1 : TABLEAUX
Tableau 1 : Parties
| Date de début du poste | Date d’entrée en vigueur du présent Addendum | |
|---|---|---|
| Les Parties | Exportateur (qui envoie le transfert restreint) | Importateur (qui reçoit le transfert restreint) |
| Détails des parties | Détails de l’entité du Client tels qu’énoncés dans le Contrat-cadre. | Les détails de l’entité Globalization Partners tels qu’énoncés dans le Contrat-cadre. |
| Contacts clés | Coordonnées du Client telles que définies dans le Contrat-Cadre. | Coordonnées de Globalization Partners telles que définies dans le Contrat-cadre et coordonnées de Globalization Partners en matière de confidentialité telles que définies à l’Annexe I ci-dessus. |
Tableau 2 : SCC, modules et clauses sélectionnés
| Addendum aux CCT de l’UE | La version des CCT de l’UE approuvées incorporée à la Section 3.9 de l’Addendum, y compris les informations de l’Annexe jointes au présent Addendum. |
Tableau 3 : Informations sur l’annexe
« Informations de l’Annexe » désigne les informations qui doivent être fournies pour les modules sélectionnés comme indiqué dans l’Annexe des CCT de l’UE approuvées (autres que les Parties), et qui pour le présent Addendum est indiqué dans :
- Annexe 1A : Liste des Parties : Annexe I
- Annexe 1B : Description du Transfert : Annexe I
- Annexe II : Mesures techniques et organisationnelles incluant des mesures techniques et organisationnelles pour assurer la sécurité des données : Annexe II
- Annexe III : Liste des Sous-traitants ultérieurs : Annexe III
Tableau 4 : Fin de cet addenda lorsque l’addenda approuvé change
| Mettre fin au présent Addendum lorsque l’Addendum approuvé change | Quelles Parties peuvent mettre fin au présent Addendum comme indiqué à la Section 19 : ☐ Importateur © Exportateur ☐ aucune Partie |
PARTIE 2 : CLAUSES OBLIGATOIRES
| Clauses obligatoires | Partie 2 : Clauses obligatoires de l’Addendum approuvé, c’est-à-dire le modèle d’Addendum B.1.0 émis par l’ICO et posé devant le Parlement conformément à la Loi sur la protection s119A des données 2018 du 2 Février 2022, tel qu’il est révisé en vertu de la Section 18 de ces Clauses obligatoires. |