3. RELATION CONTRÔLEUR – PROCESSEUR
4. TRANSFERTS INTERNATIONAUX DE DONNÉES
Annexe I
|
DÉTAILS DE LA RELATION CONTRÔLEUR INDÉPENDANT - CONTRÔLEUR
(Cette section concerne les détails des données personnelles partagées entre les parties en tant que Contrôleurs)
|
|
|
Les partis
|
Exportateur de données : entité du client qui exécute le contrat-cadre
Importateur de données : Globalization Partners LLC.
|
|
Coordonnées des parties
|
Coordonnées telles que définies dans l'accord-cadre.
|
|
Activités liées aux données transférées
|
Activités liées aux services de portage salarial (EOR).
|
|
Rôles
|
Exportateur de données : Contrôleur.
Importateur de données : Contrôleur.
|
|
Activités de traitement
|
Les données personnelles traitées/transférées peuvent faire l'objet des activités de traitement suivantes : toute opération relative aux données personnelles, quels que soient les moyens et les procédés appliqués, notamment la collecte, l'organisation, le stockage, la conservation, l'utilisation, la récupération, la consultation, l'archivage, la transmission, le blocage, l'effacement ou la destruction des données, l'exploitation et la maintenance des systèmes, les fonctions de conformité, juridiques et d'audit.
|
|
Durée du traitement
|
La durée de l'accord-cadre et de manière continue.
|
|
Nature et finalité du traitement
|
Le client peut transférer les données du client vers G-P, dont l’étendue est déterminée et contrôlée par le client à sa seule discrétion. L’objectif du traitement est de fournir les services de portage salarial (EOR) conformément à l’accord maître.
|
|
Catégories de sujets de données
|
Des professionnels.
|
|
Types de données personnelles
|
Coordonnées (qui peuvent inclure nom, adresse, adresse e-mail, téléphone, fax, coordonnées d’urgence et informations sur le fuseau horaire local associé).
Détails d’emploi (qui peuvent inclure la formation, le curriculum vitae, le titre de poste, le grade, la démographie, les données de localisation, la nationalité et le statut de conformité à l’exportation, salaire, prime).
Contenu des courriels des personnes concernées.
Détails des services fournis à ou au bénéfice des personnes concernées.
|
|
Catégories particulières de données (le cas échéant)
|
N/A
|
|
Rétention
|
Les données à caractère personnel seront conservées au moins aussi longtemps que toute période de conservation minimale imposée par la loi, en conformité avec les lois de prescription applicables et dans le respect des bonnes pratiques commerciales.
|
|
Autorité de surveillance compétente
|
L'autorité de contrôle compétente sera déterminée conformément aux lois applicables sur la protection des données et comprendra : la Commission irlandaise de protection des données (pour le Règlement général de l'UE sur la protection des données) ; le Préposé fédéral à la protection des données et à la transparence / PFPDI (pour Swiss LPDD) ; le UK Information Commissioner's Office / ICO (pour UK Règlement général sur la protection des données) ; et l'Autoridade Nacional de Proteção de Dados / ANPD (pour LGPD brésilien).
|
|
Transferts aux sous-traitants
|
Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont les mêmes que ceux définis ci-dessus.
|
|
Coordonnées de G-P Privacy
|
A l'attention du Bureau mondial de la protection de la vie privée.
|
|
DÉTAILS DE LA RELATION CONTRÔLEUR - PROCESSEUR
(Cette section concerne les détails des données personnelles traitées par G-P pour le compte du client.)
|
|
|
Les partis
|
Exportateur de données : entité du client qui exécute le contrat-cadre
Importateur de données : Globalization Partners LLC.
|
|
Coordonnées des parties
|
Coordonnées telles que définies dans l'accord-cadre.
|
|
Activités liées aux données transférées
|
Activités liées aux services de portage salarial (EOR) et à l'utilisation des GPP fournis au client en tant que service.
|
|
Rôles
|
Exportateur de données : Contrôleur
Importateur de données : Processeur
|
|
Activités de traitement
|
Les données à caractère personnel traitées/transférées peuvent faire l'objet des activités de traitement suivantes : toute opération concernant les données à caractère personnel, quels que soient les moyens utilisés et les procédures, en particulier la collecte, l'organisation, le stockage, la conservation, l'utilisation, l'extraction, la consultation, l'archivage, la transmission, le blocage, l'effacement ou la destruction des données, l'exploitation et la maintenance des systèmes, les fonctions de conformité, juridiques et d'audit.
|
|
Durée du traitement
|
La durée de l'accord-cadre et de manière continue.
|
|
Nature et finalité du traitement
|
Le client peut transférer les données du client vers G-P, dont l’étendue est déterminée et contrôlée par le client à sa seule discrétion. L’objectif du traitement est de fournir le GPP en tant que service au client conformément à l’accord maître.
|
|
Catégories de sujets de données
|
Utilisateurs autorisés du GPP pouvant inclure les employés et/ou contractuels du client.
|
|
Types de données personnelles
|
Coordonnées (telles que le numéro de téléphone et l'adresse électronique).
Données relatives aux employés et aux contractants (telles que l'intitulé du poste et le nom de l'entreprise).
Données d'utilisation (telles que les données relatives à l'appareil de l'utilisateur autorisé et à la manière dont cet appareil interagit avec les marchés publics mondiaux).
Données de localisation (telles que la localisation dérivée de l'adresse IP).
Données de contenu (telles que le contenu des fichiers du Client concernant les Professionnels et les communications y afférentes).
les informations d'identification (telles que les mots de passe, les indices de mots de passe et les informations de sécurité similaires utilisées pour l'authentification et l'accès au compte des marchés publics mondiaux).
Toutes les données personnelles fournies par des utilisateurs autorisés.
|
|
Catégories particulières de données (le cas échéant)
|
N/A
|
|
Rétention
|
Les données à caractère personnel seront conservées au moins aussi longtemps que toute période de conservation minimale imposée par la loi, en conformité avec les lois de prescription applicables et dans le respect des bonnes pratiques commerciales.
|
|
Autorité de surveillance compétente
|
L'autorité de contrôle compétente sera déterminée conformément aux lois applicables sur la protection des données et comprendra : la Commission irlandaise de protection des données (pour le Règlement général de l'UE sur la protection des données) ; le Préposé fédéral à la protection des données et à la transparence / PFPDI (pour Swiss LPDD) ; le UK Information Commissioner's Office / ICO (pour UK Règlement général sur la protection des données) ; et l'Autoridade Nacional de Proteção de Dados / ANPD (pour LGPD brésilien).
|
|
Transferts aux sous-traitants
|
Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont les mêmes que ceux définis ci-dessus.
|
|
Coordonnées de G-P Privacy
|
A l'attention du Bureau mondial de la protection de la vie privée.
|
Annexe II
Mesures techniques et organisationnelles
G-P a été certifié et attesté pour confirmer sa conformité aux normes SOC 2 et ISO 27001 par des auditeurs indépendants. Ces certifications témoignent de notre engagement à sécuriser les données de nos clients. Le programme de sécurité de G-P est conçu pour :
Protéger la confidentialité, l’intégrité et la disponibilité des données client en possession de G-Pou auxquelles G-P a accès ;
Protéger la confidentialité, l'intégrité et la disponibilité des données des clients contre toute menace ou tout risque anticipé ;
Protéger contre l'accès, l'utilisation, la divulgation, l'altération ou la destruction non autorisés ou illégaux des données relatives aux clients ;
Protéger contre la perte ou la destruction accidentelle des données du client ou contre les dommages qui leur sont causés ; et
Sauvegarder les informations conformément à toute réglementation dont G-P pourrait faire l'objet.
Ce qui suit décrit les fonctions, processus, contrôles, systèmes, procédures et mesures que G-P a pris pour garantir la sécurité du traitement des données des clients :
1) MESURES TECHNIQUES POUR GARANTIR LA CONFIDENTIALITÉ ET LA PROTECTION DES DONNÉES
Confidentialité dès la conception et par défaut :
G-P prend en compte les exigences de l'article 25 du Règlement général sur la protection des données dans la phase de conception et de développement du produit. Les processus et les fonctionnalités sont mis en place de manière à ce que les principes de protection des données tels que la légalité, la transparence, la limitation des finalités, la minimisation des données, etc., ainsi que la sécurité du traitement, soient pris en compte dès le début.
b) Cryptage des données personnelles:
Veiller à ce que les données personnelles ne soient stockées dans le système que de manière à ne pas permettre à des tiers d'identifier la personne concernée.
Cryptage des bases de données et du stockage :
Sur toutes les bases de données utilisées par G-P, un chiffrement « au repos » selon l’état de l’art est utilisé, de sorte que les données de la base ne peuvent être lues qu’après une authentification appropriée sur le système de base de données correspondant.
Cryptage des supports de données mobiles :
L'utilisation des supports de données mobiles pour le stockage des données clients n'est pas autorisée.
Chiffrement des fournisseurs de données sur ordinateurs portables :
Un système de cryptage de disque dur de pointe est installé sur tous les ordinateurs portables des employés.
Échange chiffré d’informations et de fichiers :
En principe, l’échange d’informations et de fichiers est directement chiffré via une candidature spéciale. Si des données personnelles ou des informations confidentielles doivent être transférées vers des serveurs qui ne peuvent pas être envoyés via des téléchargements HTTPS chiffrés TLS, ces données seront transférées via le protocole de transfert de fichiers sécurisé (SFTP), un service d’enveloppe chiffrée ou un autre mécanisme chiffré selon l’état de l’art.
Cryptage des courriels :
En principe, tous les courriels envoyés par les employés de G-P sont cryptés avec TLS. Des exceptions peuvent survenir si le serveur de messagerie destinataire ne prend pas en charge TLS. Le Client doit s'assurer que les serveurs de messagerie utilisés dans le cadre de la commande prennent en charge le chiffrement TLS.
c) Contrôle des admissions
Les contrôles d'accès sont conçus et mis en place afin d'empêcher l'utilisation et le traitement par des personnes non autorisées des données protégées par les lois sur la protection des données.
Utilisation des méthodes d’authentification
L’accès aux données personnelles se fait toujours via des protocoles chiffrés : SSH, SSL/TLS, HTTPS ou protocoles similaires. Procédure d’authentification pour un système informatique : connexion multifacteur au système informatique.
Blocage automatique en cas d'inactivité
Les ordinateurs portables utilisés par les employés G-P sont verrouillés par un mot de passe ou un code PIN lorsqu'ils ne sont pas utilisés par l'utilisateur. De plus, un verrouillage automatique de l'écran avec protection par mot de passe est configuré après 15 minutes d'inactivité.
Utilisation de logiciels antivirus
Les ordinateurs portables utilisés par les employés G-P sont équipés d'un logiciel antivirus de pointe, constamment mis à jour sur tous les systèmes informatiques opérationnels ou commerciaux. Par principe, aucun ordinateur ne peut fonctionner sans protection antivirus intégrée, sauf si d'autres mesures de sécurité équivalentes et à la pointe de la technologie ont été prises ou s'il n'existe aucun risque. Les paramètres de sécurité par défaut ne doivent pas être désactivés ni contournés.
« Politique de bureau propre »
Les employés de G-P sont invités à ne pas imprimer ni stocker localement les données personnelles des personnes concernées, à ne pas laisser les documents de travail dans un endroit où ils pourraient être consultés par des tiers, et à stocker correctement tous les documents de travail. Les documents que G-P est légalement tenu de conserver en version papier sont stockés dans des armoires verrouillées.
d) Contrôles d'accès au sein de la plateforme
Les contrôles d'accès garantissent que les personnes autorisées à utiliser un système de traitement n'ont accès qu'aux données personnelles couvertes par leur autorisation d'accès.
Rôles et autorisations
Plateforme de gestion des rôles et des autorisations – Accès client : Les utilisateurs clients peuvent consulter et modifier les informations des comptes clients.
Plateforme de gestion des rôles et des autorisations – Accès professionnel : Les utilisateurs professionnels peuvent consulter et modifier leurs propres informations professionnelles.
Les professionnels peuvent également obtenir un rôle d'accès client sur demande et après approbation.
Postes et plateforme d’autorisation – Accès interne
Les utilisateurs ayant un accès interne ont des rôles variés. Ils disposent de droits d'accès variés pour créer, consulter, modifier et approuver les éléments suivants :
Informations sur les clients
Informations sur la facturation
Informations sur les partenaires
Informations sur les dossiers du personnel professionnel
L'accès au système d'administration est généralement limité aux employés formés dans les domaines de l'assistance à la clientèle et du développement de produits.
e) Pare-feu en tant que service
G-P utilise un pare-feu externe comme service qui lui permet d’accorder ou de bloquer l’accès à des sites web pour s’assurer que les systèmes ne peuvent pas accéder à des contenus malveillants et pour restreindre l’accès à des contenus inappropriés.
f) Enregistrement de la connexion à la plateforme
G-P conserve un enregistrement de toute activité de connexion.
g) Séparabilité
S’assurer que les données personnelles collectées à des fins différentes peuvent être traitées séparément et séparées des autres données et systèmes de manière à exclure toute utilisation imprévue de ces données à d’autres fins.
Séparation des environnements de développement, de test et d'exploitation
Les données de l’environnement d’exploitation ne peuvent être transférées vers des environnements de test ou de développement que si elles ont été rendues totalement anonymes avant le transfert. Le transfert des données anonymisées doit être chiffré ou via un réseau fiable.
Le logiciel destiné à être transféré vers l'environnement d'exploitation doit d'abord être testé dans un environnement de test identique (« préproduction »). Les programmes d'analyse d'erreurs ou de création/compilation de logiciels ne peuvent être utilisés dans l'environnement d'exploitation que si cela est absolument nécessaire. C’est notamment le cas si les situations d’erreur dépendent de données qui seraient falsifiées en raison des exigences d’anonymisation lors du transfert vers des environnements de test.
Séparation dans les réseaux
G-P sépare ses réseaux selon les tâches. Les réseaux suivants sont utilisés de façon permanente : environnement d’exploitation (« Production »), environnement de test (« Staging », « Sandbox »), environnement de développement (« Dev ») personnel informatique de bureau. En plus de ces réseaux, d’autres réseaux séparés sont créés selon les besoins, par exemple pour les tests de restauration et les tests d’intrusion. Selon les possibilités techniques, les réseaux sont séparés soit physiquement, soit par des réseaux virtuels.
h) Contrôle de disponibilité
G-P prend les mesures suivantes pour garantir la protection des données personnelles contre toute destruction ou perte accidentelle.
Procédures de protection des données / sauvegardes
Pour garantir une disponibilité adéquate, G-P met en œuvre des instantanés quotidiens de sa base de données avec réplication vers une région différente. Des mesures sont également prises pour garantir que les employés ayant besoin, dans le cadre de leurs fonctions, de consulter des données n'aient accès qu'à des répliques des jeux de données.
Géo-redondance en ce qui concerne l'infrastructure des serveurs pour les données de production et les sauvegardes
gestion des incidents informatiques (« Gestion de la réponse aux incidents »)
Il existe un concept et des procédures documentées pour la gestion des incidents et des événements liés à la sécurité. Cela comprend la planification et la préparation de la réponse aux incidents, les procédures de surveillance, de détection et d'analyse des événements pertinents en matière de sécurité, ainsi que la définition des responsabilités et des canaux de signalement correspondants en cas de violation de la protection des données personnelles dans le cadre des exigences légales.
2) MESURES ORGANISATIONNELLES VISANT À GARANTIR LA CONFIDENTIALITÉ ET LA PROTECTION DES DONNÉES
G-P a mis en place les mesures organisationnelles suivantes afin de s'assurer que l'organisation fonctionne de manière à répondre aux exigences en matière de confidentialité et de protection des données.
a) Instructions organisationnelles
G-P a développé et développe un programme de gouvernance des données comprenant des politiques, procédures et directives à suivre par les employés. La documentation explique comment identifier et gérer les problèmes de confidentialité des données, les meilleures pratiques pour garantir la conformité en matière de confidentialité et les politiques de traitement des incidents de confidentialité.
b) Engagement en matière de confidentialité et de protection des données
G-P a développé et développe un programme de gouvernance des données comprenant des politiques, procédures et directives à suivre par les employés. Tous les employés et contractuels sont tenus par écrit de respecter la confidentialité, la protection des données et les autres lois pertinentes. Tous les employés reçoivent une formation à la vie privée et à la sécurité. Des audits internes sur la protection des données et la sécurité de l’information sont régulièrement menés. Les audits sont réalisés sur la base de critères/schémas de test communs. Les employés et sous-traitants de G-P sont invités à traiter les données personnelles uniquement pour des motifs légaux, conformément aux contrats applicables avec le client et le professionnel, en tenant compte de tout consentement expresse donné ou refusé par la personne concernée, et conformément à toute obligation légale de l’organisation.
c) Formation à la protection des données
Tous les employés reçoivent une formation à la confidentialité et à la sécurité, qui reste disponible à tout moment pour examen sur la plateforme de formation G-P.
d) Contrôles d'accès physique
G-P a mis en place les contrôles physiques suivants pour empêcher les personnes non autorisées d'accéder aux équipements et systèmes informatiques utilisés pour le traitement.
Protection électronique des portes
Les portes d'entrée des cabinets de médecins G-P sont toujours verrouillées et sécurisées électroniquement. Les portes s'ouvrent grâce à un transpondeur électronique personnel.
Répartition contrôlée des clés
Une allocation centrale et documentée des clés aux employés de G-P a lieu. Ces transpondeurs/clés électroniques pourraient être désactivés centralisément par chaque responsable de bureau ou le département des ressources humaines.
Supervision et accompagnement de personnes extérieures
Les prestataires de services externes et autres tiers ne peuvent accéder aux locaux que sur autorisation préalable ou lorsqu'ils sont accompagnés d'un employé de G-P. G-P applique sa politique écrite relative aux visiteurs lorsque des visiteurs sont invités dans ses locaux.
Sécurisation des locaux présentant un besoin accru de protection
Les locaux ou armoires avec des exigences de protection accrues, tels que les bureaux juridiques et certains sites d’opérations, sont équipés d’armoires et tiroirs verrouillables. Les armoires et tiroirs où sont conservés les documents juridiques, les contrats et les documents confidentiels doivent être verrouillés en permanence sauf lorsqu’ils sont utilisés.
Portes et fenêtres fermées
Les employés sont consignés par l’organisation de garder les fenêtres et portes fermées ou verrouillées en dehors des heures de bureau.
e) Récupération
G-P garantit que les systèmes en service peuvent être remis en état en cas de panne physique ou technique.
Tests réguliers de récupération des données (« Tests de restauration »)
Des tests réguliers de restauration complète sont effectués afin d’assurer la récupérabilité en cas d’urgence ou de catastrophe.
Plan d’urgence (« Concept de reprise après sinistre »)
Il existe un concept pour la gestion des urgences/catastrophes et un plan d'urgence correspondant. G-P assure la récupération de tous les systèmes sur la base des sauvegardes de données, généralement dans un délai de 48 heures.
Mesures d'examen et d'évaluation
Présentation des procédures de révision, d'évaluation et d'appréciation régulières de l'efficacité des mesures techniques et organisationnelles.
f) Équipe de confidentialité
L'organisation dispose d'un Bureau international de la confidentialité des données chargé de planifier, mettre en œuvre, évaluer et adapter les mesures dans le domaine de la protection des données.
g) Gestion des risques
Il existe un processus d'analyse, d'évaluation et de répartition des risques, ainsi que de définition de mesures fondées sur ces risques.
3) EXAMEN INDÉPENDANT DE LA SÉCURITÉ DE L'INFORMATION
Réalisation des audits
Des audits internes sur la protection des données et la sécurité de l'information sont réalisés régulièrement. Les audits sont réalisés sur la base de critères/schémas de test communs.
b) Examen de la conformité aux politiques et normes de sécurité
Le respect des directives, normes et autres exigences de sécurité applicables au traitement des données personnelles est vérifié régulièrement. Dans la mesure du possible, ces contrôles sont effectués de manière aléatoire et inopinée.
c) Vérification de la conformité aux spécifications techniques
Des analyses automatisées et manuelles régulières des vulnérabilités sont effectuées par le département informatique ou d’autres personnels qualifiés afin de vérifier la sécurité des applications et de l’infrastructure, ainsi que le développement régulier du produit. Des tests d’intrusion détaillés sont réalisés par un prestataire de services externe afin d’examiner spécifiquement les applications et l’infrastructure à la recherche de vulnérabilités.
d) Traitement sur instruction
Les employés de G-P sont invités à traiter les données personnelles uniquement pour des raisons légales, conformément aux contrats applicables avec le client et le professionnel, en tenant compte de tout consentement expresse donné ou refusé par la personne concernée, et conformément à toute obligation légale de l’organisation.
e) Sélection rigoureuse des fournisseurs
G-P respecte son processus de préqualification des fournisseurs lors de la sélection des vendeurs et fournisseurs susceptibles d'avoir accès à des données protégées. Ce processus inclut les commentaires des services financiers et juridiques/de protection de la vie privée et intègre des étapes d'évaluation des risques, de préqualification en matière de sécurité et de certification de la documentation. Les fournisseurs qui traiteront des données protégées devront démontrer leur conformité aux lois applicables en matière de protection des données, notamment à l'article 28 du Règlement général sur la protection des données pour les données couvertes.
Annexe III
|
Sous-processeur
|
Localisation et coordonnées
|
Description du traitement
|
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA
|
Services financiers
|
|
|
P.O. Boîte 81226
Seattle, WA 98108-1226, USA
|
Hébergement - Fournisseur de services en nuage
|
|
|
Microsoft Corporation One Microsoft Way
Redmond, Washington 98052 USA Téléphone : (+1) 425-882-8080.
|
Soutien aux processus opérationnels pour la gestion des communications (courrier électronique) et des services
|
|
|
350 Étage de la rue Bush 13
San Francisco, CA 94104, États-Unis
+1 415 701 1110
|
Soutien aux processus opérationnels pour la gestion des services
|
|
|
DocuSign International (EMEA) Ltd, Attention : Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, République d'Irlande
|
Gestion des documents
|
|
|
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA
1-800-387-3285
|
Soutien aux processus d'affaires pour la gestion des relations avec les clients (CRM)
|
|
|
989 Rue du Marché
San Francisco, CA 94103, États-Unis zendesk.com
888-670-4887
|
Demandes de renseignements auprès du service d'assistance à la clientèle
|
|
|
2225 Lawson Lane Santa Clara, CA , 95054
ÉTATS-UNIS
|
Support des processus métier pour la gestion des services et opérations informatiques, l'expérience des employés et des clients à travers ( flux de travail automatisé basé sur le cloud)
|
|
|
160 Rue Spear, 15e étage San Francisco, CA 94105 1-866-330-0121
ÉTATS-UNIS
|
Infrastructure d'entrepôt de données en nuage.
|
|
|
620 8th Ave 45 th Sol
New York, NY 10018
ÉTATS-UNIS
|
Outil de surveillance et de débogage des services
|
|
|
Avenue Louise 54, salle52,
1050 Bruxelles
Belgique
|
Traitement des paiements en ligne
|
|
|
1600 Amphithéâtre Pkwy, Mountain View, CA 94043
|
Support des processus métier pour les communications (email) et le stockage interne de documents
|