Logo G-P​​ 
Demander un devis​​ 

Langage de confidentialité de la MSA​​ 

Dernière mise à jour : juin 26, 2026​​ 

ADDENDUM SUR LA PROTECTION DES DONNÉES​​ 

Le Client et G-P sont parties à un contrat-cadre ou à un contrat de nature et d’objet similaires (ci-après « Contrat-cadre »). Le présent DPA complète les termes et conditions de l'Accord-cadre et y est incorporé. En cas de conflit entre le présent accord de protection des données et tout autre accord entre les parties concernant les questions énoncées aux présentes, le présent accord de protection des données prévaudra. Si le Client a déjà conclu un avenant de protection des données avec G-P, cet accord prévaudra sur le présent DPA, et ce dernier n'aura aucune force ni aucun effet, sauf accord contraire écrit entre le Client et G-P.​​ 
 

1. DÉFINITIONS​​  

Les termes non définis dans le présent document ont la signification qui leur est donnée dans l'accord-cadre. Dans le présent DPA, les termes suivants ont la signification suivante :​​ 
1.1 »​​ Utilisateur autorisé​​ « » désigne une personne autorisée par le Client, qui peut inclure un employé et/ou un prestataire du Client, à accéder et à utiliser le GPP au nom du Client, conformément à l’exécution du contrat-cadre.​​ 
1.2 »​​ Données client​​ « Données personnelles » désigne toute donnée personnelle relative à un utilisateur autorisé ou à une personne physique identifiable qui est transférée, traitée ou stockée par G-P pour le compte du Client dans le cadre des Services destinés à l’utilisation du GPP par le Client.​​ 
1.3 »​​ Protection des données​​  Lois​​ « désigne toutes les lois sur la protection des données et la vie privée auxquelles une partie à cet Accord est soumise et applicable aux services fournis, y compris, le cas échéant, mais sans s’y limiter, le Règlement général sur la protection des données, le Règlement général sur la protection des données britannique, les lois suisses sur la protection des données, les lois américaines sur la vie privée (y compris les lois étatiques et fédérales), et la LGPD du Brésil.​​ 
1.4 »​​ portage salarial (EOR)​​ « signifie salaire de portage (EOR).​​ 
1.5 »​​ Règlement général sur la protection des données​​ « désigne le Règlement général sur la protection des données (UE) 2016/679.​​ 
1.6 »​​ GPP​​ « » désigne le logiciel propriétaire de G-P, y compris, sans limitation, le logiciel, la version mobile, tout logiciel contenu dans celui-ci et toutes les données mises à disposition par le biais de l’utilisation du logiciel propriétaire de G-P ou des services tiers, y compris leurs mises à jour, leurs mises à niveau, leur plateforme en tant que service et leur documentation.​​ 
1.7 »​​ EEA​​ « » désigne l’Espace économique européen.​​ 
1.8 »​​ LGPD​​ "La loi brésilienne n° 13.709, la loi générale sur la protection des données à caractère personnel, telle qu'elle peut être modifiée, annulée ou remplacée.​​ 
1.9 »​​ Politique de confidentialité​​ « » désigne la politique de confidentialité de G-P , telle que mise à jour périodiquement, disponible à l’adresse suivante :​​   
1.10 »​​ Données des professionnels​​ « » désigne les données personnelles des professionnels traitées par G-P dans le cadre de la fourniture de services de portage salarial (EOR) au Client.​​ 
1.11 "​​ Transfert restreint »​​  signifie tout transfert de données personnelles vers un pays hors de l’EEE, du Royaume-Uni, de la Suisse ou du Brésil qui n’est pas soumis à une décision d’adéquation en vertu des lois applicables sur la protection des données, et nécessite donc des garanties appropriées en vertu des lois applicables sur la protection des données.​​ 
1.12 »​​ Services"​​  signifier​​  les services​​  à fournir par G-P au Client en vertu de l'Accord-cadre, qui peut inclure la fourniture de services de portage salarial (EOR) et l'accès et l'utilisation de GPP.​​ 
1.13 "​​ Clauses contractuelles standard »​​  ou​​  « SCC »​​  (i) lorsque le Règlement général sur la protection des données s'applique, les clauses contractuelles types annexées à la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, disponibles à l'adresse suivante :​​   (« ECC » ; (ii) lorsque le Règlement général sur la protection des données britannique s’applique, les clauses standard applicables sur la protection des données adoptées conformément à l’article 46(2)(c), ou (d) lorsque le Règlement général sur la protection des données du Royaume-Uni désigne l’Addendum international de transfert de données (« Addendum UK ») aux clauses contractuelles standard de l’UE émises par le Bureau du Commissaire à l’Information en vertu de l’article119A(1) de la loi sur la protection des données 2018, en tant que tel, l’Addendum du Royaume-Uni peut être révisé en vertu de la Section 18 de celui-ci (« SCC du Royaume-Uni ») ; (iii) lorsque les lois suisses sur la protection des données s’appliquent, les clauses standard applicables émises ou reconnues par l’Autorité fédérale suisse de protection des données et le Commissariat à l’information (les « CSC suisses ») ; lorsque la LGPD brésilienne s’applique, les clauses contractuelles standard applicables, jointes à la résolution CD/ANPD n° 19/2024 promulgués par l’Autorité nationale brésilienne de protection des données (« ANPD »), selon leurs modifications, selon les « CSC brésiliennes »).​​ 
1.14 »​​ Lois suisses sur la protection des données​​ " ou​​  « FADP »​​  signifie (i) Loi fédérale suisse sur la protection des données ("​​ FDPA​​ ”); (ii) L’Ordonnance sur la loi fédérale sur la protection des données ("​​ FODP​​ “); et (iii) toute législation nationale sur la protection des données adoptée en vertu de, en vertu de, remplacement ou successeur, ainsi que toute législation remplaçant ou mettant à jour l’une de ces lois.​​ 
1.15 »​​ Addendum pour le Royaume-Uni​​ « » désigne l’avenant relatif au transfert international de données du Royaume-Uni aux clauses contractuelles types de l’UE, publié par le commissaire à l’information du Royaume-Uni.​​ 
1.16 »​​ Lois britanniques sur la protection des données »​​  signifie le Règlement général sur la protection des données tel qu 2019'enregistré dans la législation britannique en vertu de l’article 3 du Règlement général sur la protection des données du Royaume-Uni (Règlement général sur la protection des données ») et du Data Protection Act 2018 (ensemble, « lois britanniques sur la protection des données »).​​ 
1.17 »​​ Lois américaines sur la vie privée​​ « » désigne les lois, ordonnances, règlements et directives réglementaires applicables des États-Unis (É.-U.) relatifs au traitement des données personnelles, y compris, sans limitation : (a) la CCPA ; (b) la loi de Virginie sur la protection des données des consommateurs ; (c) la loi du Colorado sur la protection de la vie privée ; (d) la loi du Connecticut concernant la protection des données et la surveillance en ligne ; (e) la loi de l’Utah sur la protection de la vie privée des consommateurs ; et (f) toutes les lois étatiques similaires.​​ 
1.18 "​​ Responsable de l’autorité de traitement » « Personne concernée », « Données personnelles », « Informations personnelles », « Violation de données », « Traiteur », « Traitement », « Transfert restreint », « Fournisseur de services »​​  et/ou tout autre terme ou concept similaire ont la signification définie dans les lois sur la protection des données.​​ 
 
 

2. RELATION CONTRÔLEUR INDÉPENDANT - CONTRÔLEUR​​  

2.1​​  Rôles des parties.​​  Lorsque G-P fournit au Client des services de portage salarial (EOR), G-P assume le rôle d’employeur légal pour toute personne sélectionnée par le Client (« Professionnel(s) ») à embaucher. En ce qui concerne les données personnelles de ces professionnels, G-P est un contrôleur indépendant au cours de la relation de travail. Concernant les données personnelles du professionnel collectées et utilisées par le client à ses propres fins, le client est également un responsable indépendant ayant des obligations de confidentialité indépendantes. Lors de la prestation des services de portage salaire (EOR), l’échange des données personnelles des professionnels entre G-P et le client se fait dans le cadre d’une relation indépendante de contrôleur à contrôleur et les dispositions de cette section 2 (« Relation contrôleur-responsable indépendant ») s’appliquent. En aucun cas les parties ne traiteront les données personnelles en vertu de cette DPA en tant que co-responsables de la gestion.​​ 
2.2​​  Responsabilités et remerciements​​ Les Parties, en leur qualité de responsables du traitement, doivent :​​ 
2.2.1 Respectez les lois applicables sur la protection des données relatives au traitement des données personnelles des professionnels.​​ 
2.2.2 Traiter et partager les données personnelles des professionnels de manière équitable et légale dans le but de (selon le cas) d’effectuer ou de recevoir les services de portage salaire (EOR) pour leurs propres intérêts légitimes.​​ 
2.2.3 Assurez-vous qu’un motif de traitement légal s’applique à tout partage des données personnelles du professionnel entre les parties.​​ 
2.2.4 S’entraider pour respecter leurs obligations respectives en vertu des lois sur la protection des données, notamment en s’entraidant en cas de violation de données et en répondant aux demandes des personnes concernées et/ou des autorités de réglementation.​​  
 

3. RELATION CONTRÔLEUR – PROCESSEUR​​ 

3.1​​  Rôles des parties​​ . G-P propose également divers logiciels en tant que service via GPP, ce qui permet G-P le client de gérer la relation avec ces professionnels. Lorsque G-P donne accès au Client au GPP, G-P est le Traiteur des données personnelles liées au compte téléchargées au GPP par les Utilisateurs Autorisés désignés par le Client et le Client est le Responsable de ces données ; les dispositions de cette section 3 (« Relation Contrôleur-Traiteur ») s’appliquent.​​ 
3.2​​  Instructions.​​  G-P traitera les données clients conformément aux instructions documentées du client.  Le client accepte que ce DPA, l’accord-cadre et l’annexe I jointe ci-dessous comprennent les instructions complètes du client à G-P concernant le traitement des données clients.  Toute instruction supplémentaire ou alternative doit être convenue par écrit entre les parties, y compris les coûts (le cas s’il y en a) liés à la conformité à ces instructions.  Le client veillera à ce que ses instructions soient conformes aux lois applicables sur la protection des données. Le client reconnaît que G-P n’est pas responsable de déterminer quelles lois s’appliquent à l’activité du client. Le client veillera à ce que le traitement des données clients par G-P, lorsqu’il soit effectué conformément aux instructions du client, ne fera en sorte que G-P enfreint aucune loi applicable, y compris les lois applicables sur la protection des données. Cependant, si G-P estime qu’une instruction client enfreint les lois applicables sur la protection des données, G-P doit informer le client dès que raisonnablement possible et ne sera pas tenu de se conformer à cette instruction contrefaisante.​​  
3.3​​  Détails du traitement​​ . Les détails de l'objet du traitement, sa durée, sa nature et sa finalité, ainsi que le type de données du client et les personnes concernées sont précisés à l'annexe I ci-jointe.​​   
3.4​​  Conformité.​​  Le client et G-P acceptent de respecter leurs obligations respectives en vertu des lois sur la protection des données applicables aux données clients traitées conformément aux spécifiés de l’annexe I. Le client est entièrement responsable de se conformer aux lois sur la protection des données concernant la légalité du traitement des données clients avant de divulguer, transférer ou mettre à disposition toute donnée client à G-P.  Pour éviter tout doute, dans tous les cas, le Client devra obtenir, lorsque nécessaire, tout consentement des Personnes concernées pour que le G-P traite les données des clients selon les directives du Client.​​ 
3.5​​  Sous-processeurs​​ . Le client autorise G-P à nommer et utiliser des Processeurs (« sous-processeurs ») pour traiter les données clients en lien avec les services.  Les sous-processeurs peuvent inclure des tiers ou tout membre du groupe G-P. G-P peut continuer à utiliser les sous-processeurs déjà engagés par G-P à la date de cette DPA, et une liste de ces sous-processeurs est disponible en annexe III ci-dessous. Lorsqu’un sous-traiteur ne remplit pas ses obligations de protection des données telles que spécifiées ci-dessus, G-P est responsable devant le client de l’exécution des obligations du sous-traiteur. G-P doit informer le client de toute modification de sa liste de sous-processeurs via GPP. Si, dans les 10 (dix) jours suivant la réception de cet avis, le client s’oppose légitimement à l’ajout ou à la suppression d’un sous-traiteur pour des raisons de protection des données et que G-P ne peut raisonnablement pas répondre à l’objection du client, les parties discuteront de bonne foi des préoccupations du client en vue de résoudre la question.​​ 
3.6​​  Mesures de sécurité techniques et organisationnelles​​ . En tenant compte des normes industrielles, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du traitement, ainsi que de toute autre situation pertinente liée au traitement des données clients, G-P doit mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées afin d’assurer que la sécurité, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement impliqués dans le traitement des données clients soient proportionnelles au risque concernant ces données clients, telles que détaillées à l’annexe II jointe ici.  G-P testera et surveillera périodiquement (i) l’efficacité de ses garanties, contrôles, systèmes et procédures et (ii) identifiera les risques internes et externes raisonnablement prévisibles pour la sécurité, la confidentialité et l’intégrité des données clients, et veillera à ce que ces risques soient pris en compte.​​  
3.7​​  Confidentialité​​ . G-P s'assure que les personnes autorisées à accéder aux données du client (i) se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité et (ii) n'accèdent aux données du client que sur instructions documentées de G-P, à moins que la loi applicable ne l'exige.​​ 
3.8​​  Violation de données personnelles.​​  G-P informera le client sans délai injustifié après avoir pris connaissance d’une violation de données liée au traitement des données des clients et mettra en œuvre des efforts raisonnables pour aider le client à atténuer, lorsque possible, les effets négatifs de toute violation de données​​ .​​ 
3.9​​  Suppression des données personnelles.​​   En cas de cessation de la licence des services (quelle qu'en soit la raison), G-P renverra ou supprimera, dès que possible, les données du client stockées dans le GPP, à moins que la législation applicable n'exige que les données du client soient conservées pendant une période plus longue. Dans ce cas, les dispositions du présent DPA continueront à s'appliquer à ces données du client.​​ 
3.10​​  Demandes des personnes concernées​​ G-P informera sans délai le Client de toute demande formulée par une personne concernée par les données du Client. Il incombe au client de répondre à ces demandes. G-P apportera une assistance raisonnable au Client pour répondre à ces demandes des personnes concernées, dans la mesure où le Client est incapable d'accéder aux données client pertinentes dans le cadre de son utilisation du GPP.​​  
3.11​​  Demandes de tiers​​ . Si G-P reçoit des demandes de tiers ou une ordonnance d'une cour, d'un tribunal, d'un régulateur ou d'une agence gouvernementale compétente à laquelle G-P est soumise concernant le traitement des données du client en vertu de l'accord, G-P redirigera rapidement la demande vers le client. G-P ne répondra pas à ces demandes sans l'autorisation préalable du client, à moins d'y être légalement contraint. Sauf interdiction légale, G-P informera le client à l'avance de toute divulgation des données du client et coopérera raisonnablement avec le client pour limiter la portée de cette divulgation à ce qui est légalement requis.​​   
3.12​​  Évaluation de l'impact de la protection des données et consultation préalable​​ . Dans la mesure où les lois sur la protection des données l'exigent, G-P fournira une assistance raisonnable au client pour réaliser une évaluation de l'impact sur la protection des données en relation avec le traitement des données du client effectué par G-P et/ou toute consultation préalable requise avec les autorités de contrôle. G-P se réserve le droit de facturer au client des frais raisonnables pour la fourniture de cette assistance.​​ 
3.13​​  Audit.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Lois américaines sur la protection de la vie privée.​​  En vertu de cette section 3, les Parties conviennent que G-P est un « Fournisseur de services » ou un « Traiteur » tels que définis par les lois américaines applicables sur la vie privée. En conséquence, dans la mesure où les lois américaines sur la vie privée s’appliquent au traitement des données clients par G-P, G-P ne doit pas (a) conserver, utiliser ou divulguer des données clients en dehors de la relation commerciale directe entre G-P et Client, ni pour tout autre usage que celui prévu à l’Annexe I jointe ici, et G-P ne traitera les données clients que tant qu’elle fournit des services au client ; (b) vendre toute donnée client ; (c) partager toute donnée client ; ou (d) combiner les données client que G-P reçoit de, ou au nom de, client avec les « données personnelles » (tel terme ou équivalent défini par les lois applicables sur la protection des données) qu’il reçoit de, ou au nom de, une autre personne, ou collecte à partir de sa propre interaction avec un consommateur, à condition que G-P puisse combiner les données clients si elle est dans le cadre de la fourniture des services au client. Le cas échéant, chaque Partie doit informer l’autre partie si elle décide qu’elle ne peut plus remplir ses obligations en vertu des lois américaines sur la vie privée.​​ 
 

4. TRANSFERTS INTERNATIONAUX DE DONNÉES​​ 

4.1​​  Une protection appropriée​​ . G-P est autorisée, dans le cours normal des activités, à effectuer des transferts mondiaux de données clients à ses affiliés et/ou sous-traiteurs.  Lors de tels transferts vers un territoire qui n’a pas été reconnu par les autorités compétentes de protection des données comme offrant un niveau adéquat de protection des données personnelles conformément aux lois sur la protection des données, G-P doit veiller à ce que la protection appropriée soit en place pour protéger les données clients transférées en vertu ou en lien avec l’accord-cadre.​​ 
4.2​​  Cadre de protection des données (Data Privacy Framework).​​  Professionnels​​  et Les données clients sont stockées dans GPP, qui est hébergé aux États-Unis. G-P est certifié selon le Cadre de confidentialité des données UE-U.S. (EU-U.S. DPF) et, le cas applicable, l’extension britannique du DPF UE-U.S., ainsi que la Suisse-États-Unis. Cadre de protection des données (Suisse-États-Unis, DPF). La certification de G-P peut être confirmée publiquement sur le site web du DPF​​   . Le cadre de confidentialité des données UE-États-Unis a été jugé adéquat par la Commission européenne, étant un mécanisme de transfert de données légal conformément à l'article 45 du Règlement général sur la protection des données, du Règlement général britannique sur la protection des données et du FADP, respectivement. Si le ou les cadres DPF sont invalidés, suspendus ou ne sont plus reconnus comme assurant une protection adéquate des transferts international de données, le sous-traitant accepte de conclure et de respecter les clauses contractuelles types (CCT) émises ou approuvées par la Commission européenne, le Bureau du commissaire à l'information du Royaume-Uni (ICO) ou le Préposé fédéral à la protection des données et à la transparence (PFPDT) suisse, selon le cas. Les Parties coopéreront de bonne foi pour mettre en œuvre toute mesure supplémentaire nécessaire afin d’assurer un niveau de protection essentiellement équivalent aux données transférées.​​ 
4.3​​  Clauses contractuelles types.​​  Les Parties conviennent que lorsque le transfert de données personnelles du client (en tant qu'« exportateur de données ») vers G-P (en tant qu'« importateur de données ») constitue un transfert restreint et que les lois applicables sur la protection des données exigent la mise en place de garanties appropriées, ce transfert sera soumis aux clauses contractuelles standard appropriées, qui seront considérées comme intégrées et faisant partie de cette DPA, Comme suit :​​ 
a. En ce qui concerne les transferts de données personnelles protégés par le Règlement général sur la protection des données, les CSS de l’UE s’appliquent, complétées comme suit :​​ 
i. Les modules Un et Deux s’appliquent ;​​ 
ii. dans la clause 7, la clause d’amarrage optionnelle s’appliquera ;​​ 
iii. dans la clause 9 du module deux, l’option 2 s’appliquera, et le délai pour notification préalable des changements de sous-traiteurs sera celui défini à la section 3.5 de cette DPA ;​​ 
iv. dans la clause 11, le langage optionnel ne s'appliquera pas ;​​ 
v. dans la clause 12, toute réclamation introduite en vertu des CPL de l'UE sera soumise aux termes et conditions énoncés dans l'accord-cadre ;​​ 
vi. à l’article 17, l’option 1 s’appliquera, et les CSC de l’UE seront régies par le droit irlandais ;​​ 
vii. aux termes de la clause 18(b), les litiges seront résolus devant les tribunaux d’Irlande ;​​ 
viii. L’annexe I des CSC de l’UE sera considérée comme complète avec les informations énoncées à l’annexe 1 de cette DPA ; et​​ 
ix. L’annexe II des CSC de l’UE doit être considérée comme complète avec les informations présentées à l’annexe 2 de cette DPA ;​​ 
x. L’annexe III du module deux des CSC de l’UE sera considérée comme complète avec les informations énoncées à l’annexe 3 de cette DPA.​​ 
b. En ce qui concerne les transferts de données personnelles protégées par les lois britanniques sur la protection des données ou les lois suisses sur la protection des données, les clauses contractuelles types de l’UE, telles que mises en œuvre aux termes du point a) ci-dessus, s’appliqueront avec les modifications suivantes :​​ 
i. les références au « Règlement (UE) 2016/679» doivent être interprétées comme des références aux lois britanniques sur la protection des données ou aux lois suisses sur la protection des données (selon le cas) ;​​ 
ii. les références à des articles spécifiques du « Règlement (UE) 2016/679» doivent être remplacées par l’article ou la section équivalente de la loi britannique sur la protection des données ou des lois suisses sur la protection des données (selon le cas) ;​​ 
iii. les références à « UE », « Union », « État membre » et « droit de l’État membre » seront remplacées par des références à « Royaume-Uni » ou « Suisse », ou « droit britannique » ou « droit suisse » (selon le cas) ;​​ 
iv. le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées au Royaume-Uni ou en Suisse de la possibilité de poursuivre pour obtenir leurs droits dans leur lieu de résidence habituelle (c’est-à-dire au Royaume-Uni ou en Suisse) ;​​ 
v. L’article 13(a) et la partie C de l’annexe I ne sont pas utilisés et « l’autorité de surveillance compétente » est le Commissaire à l’information du Royaume-Uni ou le Commissaire fédéral suisse à l’information sur la protection des données (selon le cas) ;​​ 
vi. les références à « l’autorité de surveillance compétente » et aux « tribunaux compétents » seront remplacées par des références au « Commissaire à l’information » et aux « tribunaux d’Angleterre et du Pays de Galles » ou au « Commissaire fédéral suisse à la protection des données » et aux « tribunaux compétents de Suisse » (selon le cas) ;​​ 
vii. à la clause 17, les clauses contractuelles types sont régies par les lois d’Angleterre et du Pays de Galles ou de la Suisse (selon le cas) ; et​​ 
viii. en ce qui concerne les transferts auxquels s'appliquent les lois britanniques sur la protection des données, la clause 18 sera modifiée pour indiquer « Tout litige découlant des présentes clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut engager une procédure judiciaire contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux", et en ce qui concerne les transferts auxquels s'appliquent les lois suisses sur la protection des données, la clause 18(b) stipule que les litiges seront résolus devant les tribunaux suisses compétents.​​ 
ix. En ce qui concerne les données protégées par le Règlement général sur la protection des données britannique, les CSC de l’UE s’appliqueront comme suit : (i) s’appliqueront conforme aux paragraphes (i) à (viii) ci-dessus ; et (ii) être considéré comme modifié tel que spécifié par la Partie 2 de l’Addendum du Royaume-Uni, qui sera considéré comme incorporé et faisant partie intégrante de ce DPA. De plus, les tableaux 1 à 3 de la Partie 1 de l’Addendum britannique doivent être complétés respectivement avec les informations présentées dans l’Annexe I et l’Annexe II de cette DPA, et le tableau 4 de la Partie 1 de l’Addendum britannique seront considérés comme complétés en sélectionnant « aucune des deux parties ».​​ 
c. En ce qui concerne les transferts de données personnelles protégées par la LGPD brésilienne, que ce soit directement ou par transfert ultérieur, vers un pays hors du Brésil qui ne fait pas l'objet d'une décision d'adéquation rendue par l'ANPD, les clauses contractuelles types brésiliennes seront réputées conclues et intégrées au présent accord de protection des données par la présente référence, et complétées comme suit :​​ 
i. La clause 2 des CSC brésiliens est satisfaite par les informations présentées à l’annexe I, qui décrit le transfert de données ;​​ 
ii. Dans la clause 3 des CCC brésiliennes, l'option B s'applique, les transferts ultérieurs étant autorisés conformément à la section 3.5 (« Sous-traitants ») du présent DPA. L’objet, la nature et la durée du traitement sont définis à l’annexe I du présent accord de protection des données ;​​ 
iii. La clause 4 des CPL brésiliennes est satisfaite par les informations figurant à l’annexe I du présent DPA. Lorsque G-P est un responsable du traitement, il sera la « partie désignée », telle que définie dans les CGU brésiliennes, et aux fins de la clause 14 (Transparence), de la clause 15 (Droits de la personne concernée) et de la clause 16 (Signalement des incidents) des CGU brésiliennes. Le client reste responsable du respect de la clause 14 (Transparence), de la clause 15 (Droits de la personne concernée) et de la clause 16 (Signalement des incidents) des CPL du Brésil pour toutes les données personnelles dont il pourrait autrement être responsable du traitement ;​​ 
iv. Dans la clause 9 des CPL Brésil, la clause d'amarrage facultative ne s'appliquera pas ; et​​ 
v. La section III (Mesures de sécurité) des CSC du Brésil sera considérée comme complétée avec les informations figurant à l’annexe II du présent DPA.​​ 
4.4​​  Transferts de données imprévus​​ . Si, au cours de la fourniture des Services, l’une ou l’autre des Parties identifie qu’un transfert de données personnelles a lieu ou est susceptible d’avoir lieu, ce qui n’est pas déjà pris en compte par les mécanismes prévus aux sections 4.1 à travers 4.3 de cette DPA, les Parties doivent se notifier rapidement et coopérer de bonne foi pour mettre en œuvre, sans délai indu, les mécanismes de transfert supplémentaires ou les mesures complémentaires requises par les lois applicables sur la protection des données afin d’assurer la légalité de ce transfert. Aucune des parties ne sera tenue de procéder à un tel transfert imprévu tant que le mécanisme approprié n’a pas été convenu et mis en place.​​ 
 

Annexe I​​  

Description du traitement des données​​ 
DÉTAILS DE LA RELATION CONTRÔLEUR INDÉPENDANT - CONTRÔLEUR​​ 
(Cette section concerne les détails des données personnelles partagées entre les parties en tant que Contrôleurs)​​ 
Les partis​​ 
Exportateur de données : entité du client qui exécute le contrat-cadre​​ 
Importateur de données : Globalization Partners LLC.​​ 
Coordonnées des parties​​ 
Coordonnées telles que définies dans l'accord-cadre.​​ 
Activités liées aux données transférées​​ 
Activités liées aux services de portage salarial (EOR).​​ 
Rôles​​ 
Exportateur de données : Contrôleur.​​ 
Importateur de données : Contrôleur.​​ 
Activités de traitement​​ 
Les données personnelles traitées/transférées peuvent faire l'objet des activités de traitement suivantes : toute opération relative aux données personnelles, quels que soient les moyens et les procédés appliqués, notamment la collecte, l'organisation, le stockage, la conservation, l'utilisation, la récupération, la consultation, l'archivage, la transmission, le blocage, l'effacement ou la destruction des données, l'exploitation et la maintenance des systèmes, les fonctions de conformité, juridiques et d'audit.​​ 
Durée du traitement​​ 
La durée de l'accord-cadre et de manière continue.​​ 
Nature et finalité du traitement​​ 
Le client peut transférer les données du client vers G-P, dont l’étendue est déterminée et contrôlée par le client à sa seule discrétion. L’objectif du traitement est de fournir les services de portage salarial (EOR) conformément à l’accord maître.​​ 
Catégories de sujets de données​​ 
Des professionnels.​​ 
Types de données personnelles​​ 
Coordonnées (qui peuvent inclure nom, adresse, adresse e-mail, téléphone, fax, coordonnées d’urgence et informations sur le fuseau horaire local associé).​​ 
Détails d’emploi (qui peuvent inclure la formation, le curriculum vitae, le titre de poste, le grade, la démographie, les données de localisation, la nationalité et le statut de conformité à l’exportation, salaire, prime).​​ 
Contenu des courriels des personnes concernées.​​ 
Détails des services fournis à ou au bénéfice des personnes concernées.​​ 
Catégories particulières de données (le cas échéant)​​  
N/A​​ 
Rétention​​ 
Les données à caractère personnel seront conservées au moins aussi longtemps que toute période de conservation minimale imposée par la loi, en conformité avec les lois de prescription applicables et dans le respect des bonnes pratiques commerciales.​​ 
Autorité de surveillance compétente​​ 
L'autorité de contrôle compétente sera déterminée conformément aux lois applicables sur la protection des données et comprendra : la Commission irlandaise de protection des données (pour le Règlement général de l'UE sur la protection des données) ; le Préposé fédéral à la protection des données et à la transparence / PFPDI (pour Swiss LPDD) ; le UK Information Commissioner's Office / ICO (pour UK Règlement général sur la protection des données) ; et l'Autoridade Nacional de Proteção de Dados / ANPD (pour LGPD brésilien).​​ 
Transferts aux sous-traitants​​  
Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont les mêmes que ceux définis ci-dessus.​​ 
Coordonnées de G-P Privacy​​  
 
A l'attention du Bureau mondial de la protection de la vie privée.​​  
 
 
 
DÉTAILS DE LA RELATION CONTRÔLEUR - PROCESSEUR​​ 
(Cette section concerne les détails des données personnelles traitées par G-P pour le compte du client.)​​ 
Les partis​​ 
Exportateur de données : entité du client qui exécute le contrat-cadre​​ 
Importateur de données : Globalization Partners LLC.​​ 
Coordonnées des parties​​ 
Coordonnées telles que définies dans l'accord-cadre.​​ 
Activités liées aux données transférées​​ 
Activités liées aux services de portage salarial (EOR) et à l'utilisation des GPP fournis au client en tant que service.​​ 
Rôles​​ 
Exportateur de données : Contrôleur​​ 
Importateur de données : Processeur​​ 
Activités de traitement​​ 
Les données à caractère personnel traitées/transférées peuvent faire l'objet des activités de traitement suivantes : toute opération concernant les données à caractère personnel, quels que soient les moyens utilisés et les procédures, en particulier la collecte, l'organisation, le stockage, la conservation, l'utilisation, l'extraction, la consultation, l'archivage, la transmission, le blocage, l'effacement ou la destruction des données, l'exploitation et la maintenance des systèmes, les fonctions de conformité, juridiques et d'audit.​​ 
Durée du traitement​​ 
La durée de l'accord-cadre et de manière continue.​​ 
Nature et finalité du traitement​​ 
Le client peut transférer les données du client vers G-P, dont l’étendue est déterminée et contrôlée par le client à sa seule discrétion. L’objectif du traitement est de fournir le GPP en tant que service au client conformément à l’accord maître.​​ 
Catégories de sujets de données​​ 
Utilisateurs autorisés du GPP pouvant inclure les employés et/ou contractuels du client.​​ 
Types de données personnelles​​ 
Coordonnées (telles que le numéro de téléphone et l'adresse électronique).​​ 
Données relatives aux employés et aux contractants (telles que l'intitulé du poste et le nom de l'entreprise).​​ 
Données d'utilisation (telles que les données relatives à l'appareil de l'utilisateur autorisé et à la manière dont cet appareil interagit avec les marchés publics mondiaux).​​ 
Données de localisation (telles que la localisation dérivée de l'adresse IP).​​ 
Données de contenu (telles que le contenu des fichiers du Client concernant les Professionnels et les communications y afférentes).​​ 
les informations d'identification (telles que les mots de passe, les indices de mots de passe et les informations de sécurité similaires utilisées pour l'authentification et l'accès au compte des marchés publics mondiaux).​​ 
Toutes les données personnelles fournies par des utilisateurs autorisés.​​ 
Catégories particulières de données (le cas échéant)​​  
N/A​​ 
Rétention​​ 
Les données à caractère personnel seront conservées au moins aussi longtemps que toute période de conservation minimale imposée par la loi, en conformité avec les lois de prescription applicables et dans le respect des bonnes pratiques commerciales.​​ 
Autorité de surveillance compétente​​ 
L'autorité de contrôle compétente sera déterminée conformément aux lois applicables sur la protection des données et comprendra : la Commission irlandaise de protection des données (pour le Règlement général de l'UE sur la protection des données) ; le Préposé fédéral à la protection des données et à la transparence / PFPDI (pour Swiss LPDD) ; le UK Information Commissioner's Office / ICO (pour UK Règlement général sur la protection des données) ; et l'Autoridade Nacional de Proteção de Dados / ANPD (pour LGPD brésilien).​​ 
Transferts aux sous-traitants​​  
Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont les mêmes que ceux définis ci-dessus.​​ 
Coordonnées de G-P Privacy​​  
 
A l'attention du Bureau mondial de la protection de la vie privée.​​  
 

Annexe II​​ 

Mesures techniques et organisationnelles​​ 

G-P a été certifié et attesté pour confirmer sa conformité aux normes SOC 2 et ISO 27001 par des auditeurs indépendants. Ces certifications témoignent de notre engagement à sécuriser les données de nos clients. Le programme de sécurité de G-P est conçu pour :​​ 

Protéger la confidentialité, l’intégrité et la disponibilité des données client en possession de G-Pou auxquelles G-P a accès ;​​ 

Protéger la confidentialité, l'intégrité et la disponibilité des données des clients contre toute menace ou tout risque anticipé ;​​ 

Protéger contre l'accès, l'utilisation, la divulgation, l'altération ou la destruction non autorisés ou illégaux des données relatives aux clients ;​​ 

Protéger contre la perte ou la destruction accidentelle des données du client ou contre les dommages qui leur sont causés ; et​​ 

Sauvegarder les informations conformément à toute réglementation dont G-P pourrait faire l'objet.​​ 

Ce qui suit décrit les fonctions, processus, contrôles, systèmes, procédures et mesures que G-P a pris pour garantir la sécurité du traitement des données des clients :​​ 

1) MESURES TECHNIQUES POUR GARANTIR LA CONFIDENTIALITÉ ET LA PROTECTION DES DONNÉES​​ 

Confidentialité dès la conception et par défaut :​​ 

G-P prend en compte les exigences de l'article 25 du Règlement général sur la protection des données dans la phase de conception et de développement du produit. Les processus et les fonctionnalités sont mis en place de manière à ce que les principes de protection des données tels que la légalité, la transparence, la limitation des finalités, la minimisation des données, etc., ainsi que la sécurité du traitement, soient pris en compte dès le début.​​ 

b) Cryptage des données personnelles:​​ 

Veiller à ce que les données personnelles ne soient stockées dans le système que de manière à ne pas permettre à des tiers d'identifier la personne concernée.​​ 

Cryptage des bases de données et du stockage :​​ 

Sur toutes les bases de données utilisées par G-P, un chiffrement « au repos » selon l’état de l’art est utilisé, de sorte que les données de la base ne peuvent être lues qu’après une authentification appropriée sur le système de base de données correspondant.​​ 

Cryptage des supports de données mobiles :​​ 

L'utilisation des supports de données mobiles pour le stockage des données clients n'est pas autorisée.​​ 

Chiffrement des fournisseurs de données sur ordinateurs portables :​​ 

Un système de cryptage de disque dur de pointe est installé sur tous les ordinateurs portables des employés.​​ 

Échange chiffré d’informations et de fichiers :​​ 

En principe, l’échange d’informations et de fichiers est directement chiffré via une candidature spéciale. Si des données personnelles ou des informations confidentielles doivent être transférées vers des serveurs qui ne peuvent pas être envoyés via des téléchargements HTTPS chiffrés TLS, ces données seront transférées via le protocole de transfert de fichiers sécurisé (SFTP), un service d’enveloppe chiffrée ou un autre mécanisme chiffré selon l’état de l’art.​​ 

Cryptage des courriels :​​ 

En principe, tous les courriels envoyés par les employés de G-P sont cryptés avec TLS. Des exceptions peuvent survenir si le serveur de messagerie destinataire ne prend pas en charge TLS. Le Client doit s'assurer que les serveurs de messagerie utilisés dans le cadre de la commande prennent en charge le chiffrement TLS.​​ 

c) Contrôle des admissions​​ 

Les contrôles d'accès sont conçus et mis en place afin d'empêcher l'utilisation et le traitement par des personnes non autorisées des données protégées par les lois sur la protection des données.​​ 

Utilisation des méthodes d’authentification​​ 

L’accès aux données personnelles se fait toujours via des protocoles chiffrés : SSH, SSL/TLS, HTTPS ou protocoles similaires. Procédure d’authentification pour un système informatique : connexion multifacteur au système informatique.​​ 

Blocage automatique en cas d'inactivité​​ 

Les ordinateurs portables utilisés par les employés G-P sont verrouillés par un mot de passe ou un code PIN lorsqu'ils ne sont pas utilisés par l'utilisateur. De plus, un verrouillage automatique de l'écran avec protection par mot de passe est configuré après 15 minutes d'inactivité.​​ 

Utilisation de logiciels antivirus​​ 

Les ordinateurs portables utilisés par les employés G-P sont équipés d'un logiciel antivirus de pointe, constamment mis à jour sur tous les systèmes informatiques opérationnels ou commerciaux. Par principe, aucun ordinateur ne peut fonctionner sans protection antivirus intégrée, sauf si d'autres mesures de sécurité équivalentes et à la pointe de la technologie ont été prises ou s'il n'existe aucun risque. Les paramètres de sécurité par défaut ne doivent pas être désactivés ni contournés.​​ 

« Politique de bureau propre »​​ 

Les employés de G-P sont invités à ne pas imprimer ni stocker localement les données personnelles des personnes concernées, à ne pas laisser les documents de travail dans un endroit où ils pourraient être consultés par des tiers, et à stocker correctement tous les documents de travail. Les documents que G-P est légalement tenu de conserver en version papier sont stockés dans des armoires verrouillées.​​ 

d) Contrôles d'accès au sein de la plateforme​​ 

Les contrôles d'accès garantissent que les personnes autorisées à utiliser un système de traitement n'ont accès qu'aux données personnelles couvertes par leur autorisation d'accès.​​ 

Rôles et autorisations​​ 

Plateforme de gestion des rôles et des autorisations – Accès client : Les utilisateurs clients peuvent consulter et modifier les informations des comptes clients.​​ 

Plateforme de gestion des rôles et des autorisations – Accès professionnel : Les utilisateurs professionnels peuvent consulter et modifier leurs propres informations professionnelles.​​ 

Les professionnels peuvent également obtenir un rôle d'accès client sur demande et après approbation.​​ 

Postes et plateforme d’autorisation – Accès interne​​ 

Les utilisateurs ayant un accès interne ont des rôles variés. Ils disposent de droits d'accès variés pour créer, consulter, modifier et approuver les éléments suivants :​​ 

Informations sur les clients​​ 

Informations sur la facturation​​ 

Informations sur les partenaires​​ 

Informations sur les dossiers du personnel professionnel​​ 

L'accès au système d'administration est généralement limité aux employés formés dans les domaines de l'assistance à la clientèle et du développement de produits.​​ 

e) Pare-feu en tant que service​​ 

G-P utilise un pare-feu externe comme service qui lui permet d’accorder ou de bloquer l’accès à des sites web pour s’assurer que les systèmes ne peuvent pas accéder à des contenus malveillants et pour restreindre l’accès à des contenus inappropriés.​​ 

f) Enregistrement de la connexion à la plateforme​​ 

G-P conserve un enregistrement de toute activité de connexion.​​ 

g) Séparabilité​​ 

S’assurer que les données personnelles collectées à des fins différentes peuvent être traitées séparément et séparées des autres données et systèmes de manière à exclure toute utilisation imprévue de ces données à d’autres fins.​​ 

Séparation des environnements de développement, de test et d'exploitation​​ 

Les données de l’environnement d’exploitation ne peuvent être transférées vers des environnements de test ou de développement que si elles ont été rendues totalement anonymes avant le transfert. Le transfert des données anonymisées doit être chiffré ou via un réseau fiable.​​ 

Le logiciel destiné à être transféré vers l'environnement d'exploitation doit d'abord être testé dans un environnement de test identique (« préproduction »). Les programmes d'analyse d'erreurs ou de création/compilation de logiciels ne peuvent être utilisés dans l'environnement d'exploitation que si cela est absolument nécessaire. C’est notamment le cas si les situations d’erreur dépendent de données qui seraient falsifiées en raison des exigences d’anonymisation lors du transfert vers des environnements de test.​​ 

Séparation dans les réseaux​​ 

G-P sépare ses réseaux selon les tâches. Les réseaux suivants sont utilisés de façon permanente : environnement d’exploitation (« Production »), environnement de test (« Staging », « Sandbox »), environnement de développement (« Dev ») personnel informatique de bureau. En plus de ces réseaux, d’autres réseaux séparés sont créés selon les besoins, par exemple pour les tests de restauration et les tests d’intrusion. Selon les possibilités techniques, les réseaux sont séparés soit physiquement, soit par des réseaux virtuels.​​ 

h) Contrôle de disponibilité​​ 

G-P prend les mesures suivantes pour garantir la protection des données personnelles contre toute destruction ou perte accidentelle.​​ 

Procédures de protection des données / sauvegardes​​ 

Pour garantir une disponibilité adéquate, G-P met en œuvre des instantanés quotidiens de sa base de données avec réplication vers une région différente. Des mesures sont également prises pour garantir que les employés ayant besoin, dans le cadre de leurs fonctions, de consulter des données n'aient accès qu'à des répliques des jeux de données.​​ 

Géo-redondance en ce qui concerne l'infrastructure des serveurs pour les données de production et les sauvegardes​​ 

gestion des incidents informatiques (« Gestion de la réponse aux incidents »)​​ 

Il existe un concept et des procédures documentées pour la gestion des incidents et des événements liés à la sécurité. Cela comprend la planification et la préparation de la réponse aux incidents, les procédures de surveillance, de détection et d'analyse des événements pertinents en matière de sécurité, ainsi que la définition des responsabilités et des canaux de signalement correspondants en cas de violation de la protection des données personnelles dans le cadre des exigences légales.​​ 

2) MESURES ORGANISATIONNELLES VISANT À GARANTIR LA CONFIDENTIALITÉ ET LA PROTECTION DES DONNÉES​​ 

G-P a mis en place les mesures organisationnelles suivantes afin de s'assurer que l'organisation fonctionne de manière à répondre aux exigences en matière de confidentialité et de protection des données.​​ 

a) Instructions organisationnelles​​ 

G-P a développé et développe un programme de gouvernance des données comprenant des politiques, procédures et directives à suivre par les employés. La documentation explique comment identifier et gérer les problèmes de confidentialité des données, les meilleures pratiques pour garantir la conformité en matière de confidentialité et les politiques de traitement des incidents de confidentialité.​​ 

b) Engagement en matière de confidentialité et de protection des données​​ 

G-P a développé et développe un programme de gouvernance des données comprenant des politiques, procédures et directives à suivre par les employés. Tous les employés et contractuels sont tenus par écrit de respecter la confidentialité, la protection des données et les autres lois pertinentes. Tous les employés reçoivent une formation à la vie privée et à la sécurité. Des audits internes sur la protection des données et la sécurité de l’information sont régulièrement menés. Les audits sont réalisés sur la base de critères/schémas de test communs. Les employés et sous-traitants de G-P sont invités à traiter les données personnelles uniquement pour des motifs légaux, conformément aux contrats applicables avec le client et le professionnel, en tenant compte de tout consentement expresse donné ou refusé par la personne concernée, et conformément à toute obligation légale de l’organisation.​​ 

c) Formation à la protection des données​​ 

Tous les employés reçoivent une formation à la confidentialité et à la sécurité, qui reste disponible à tout moment pour examen sur la plateforme de formation G-P.​​ 

d) Contrôles d'accès physique​​ 

G-P a mis en place les contrôles physiques suivants pour empêcher les personnes non autorisées d'accéder aux équipements et systèmes informatiques utilisés pour le traitement.​​ 

Protection électronique des portes​​ 

Les portes d'entrée des cabinets de médecins G-P sont toujours verrouillées et sécurisées électroniquement. Les portes s'ouvrent grâce à un transpondeur électronique personnel.​​ 

Répartition contrôlée des clés​​ 

Une allocation centrale et documentée des clés aux employés de G-P a lieu. Ces transpondeurs/clés électroniques pourraient être désactivés centralisément par chaque responsable de bureau ou le département des ressources humaines.​​ 

Supervision et accompagnement de personnes extérieures​​ 

Les prestataires de services externes et autres tiers ne peuvent accéder aux locaux que sur autorisation préalable ou lorsqu'ils sont accompagnés d'un employé de G-P. G-P applique sa politique écrite relative aux visiteurs lorsque des visiteurs sont invités dans ses locaux.​​ 

Sécurisation des locaux présentant un besoin accru de protection​​ 

Les locaux ou armoires avec des exigences de protection accrues, tels que les bureaux juridiques et certains sites d’opérations, sont équipés d’armoires et tiroirs verrouillables. Les armoires et tiroirs où sont conservés les documents juridiques, les contrats et les documents confidentiels doivent être verrouillés en permanence sauf lorsqu’ils sont utilisés.​​ 

Portes et fenêtres fermées​​ 

Les employés sont consignés par l’organisation de garder les fenêtres et portes fermées ou verrouillées en dehors des heures de bureau.​​ 

e) Récupération​​ 

G-P garantit que les systèmes en service peuvent être remis en état en cas de panne physique ou technique.​​ 

Tests réguliers de récupération des données (« Tests de restauration »)​​ 

Des tests réguliers de restauration complète sont effectués afin d’assurer la récupérabilité en cas d’urgence ou de catastrophe.​​ 

Plan d’urgence (« Concept de reprise après sinistre »)​​ 

Il existe un concept pour la gestion des urgences/catastrophes et un plan d'urgence correspondant. G-P assure la récupération de tous les systèmes sur la base des sauvegardes de données, généralement dans un délai de 48 heures.​​ 

Mesures d'examen et d'évaluation​​ 

Présentation des procédures de révision, d'évaluation et d'appréciation régulières de l'efficacité des mesures techniques et organisationnelles.​​ 

f) Équipe de confidentialité​​ 

L'organisation dispose d'un Bureau international de la confidentialité des données chargé de planifier, mettre en œuvre, évaluer et adapter les mesures dans le domaine de la protection des données.​​ 

g) Gestion des risques​​ 

Il existe un processus d'analyse, d'évaluation et de répartition des risques, ainsi que de définition de mesures fondées sur ces risques.​​ 

3) EXAMEN INDÉPENDANT DE LA SÉCURITÉ DE L'INFORMATION​​ 

Réalisation des audits​​ 

Des audits internes sur la protection des données et la sécurité de l'information sont réalisés régulièrement. Les audits sont réalisés sur la base de critères/schémas de test communs.​​ 

b) Examen de la conformité aux politiques et normes de sécurité​​ 

Le respect des directives, normes et autres exigences de sécurité applicables au traitement des données personnelles est vérifié régulièrement. Dans la mesure du possible, ces contrôles sont effectués de manière aléatoire et inopinée.​​ 

c) Vérification de la conformité aux spécifications techniques​​ 

Des analyses automatisées et manuelles régulières des vulnérabilités sont effectuées par le département informatique ou d’autres personnels qualifiés afin de vérifier la sécurité des applications et de l’infrastructure, ainsi que le développement régulier du produit. Des tests d’intrusion détaillés sont réalisés par un prestataire de services externe afin d’examiner spécifiquement les applications et l’infrastructure à la recherche de vulnérabilités.​​ 

d) Traitement sur instruction​​ 

Les employés de G-P sont invités à traiter les données personnelles uniquement pour des raisons légales, conformément aux contrats applicables avec le client et le professionnel, en tenant compte de tout consentement expresse donné ou refusé par la personne concernée, et conformément à toute obligation légale de l’organisation.​​ 

e) Sélection rigoureuse des fournisseurs​​ 

G-P respecte son processus de préqualification des fournisseurs lors de la sélection des vendeurs et fournisseurs susceptibles d'avoir accès à des données protégées. Ce processus inclut les commentaires des services financiers et juridiques/de protection de la vie privée et intègre des étapes d'évaluation des risques, de préqualification en matière de sécurité et de certification de la documentation. Les fournisseurs qui traiteront des données protégées devront démontrer leur conformité aux lois applicables en matière de protection des données, notamment à l'article 28 du Règlement général sur la protection des données pour les données couvertes.​​ 

Annexe III​​ 

Liste des sous-processeurs​​ 
Sous-processeur​​ 
Localisation et coordonnées​​ 
Description du traitement​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA​​ 
Services financiers​​ 
P.O. Boîte 81226​​ 
Seattle, WA 98108-1226, USA​​ 
Hébergement - Fournisseur de services en nuage​​ 
Microsoft Corporation One Microsoft Way​​ 
Redmond, Washington 98052 USA Téléphone : (+1) 425-882-8080.​​ 
Soutien aux processus opérationnels pour la gestion des communications (courrier électronique) et des services​​ 
350 Étage de la rue Bush 13​​ 
San Francisco, CA 94104, États-Unis​​ 
+1 415 701 1110​​ 
Soutien aux processus opérationnels pour la gestion des services​​ 
DocuSign International (EMEA) Ltd, Attention : Privacy Team, 5 Hanover Quay, Ground Floor, Dublin 2, République d'Irlande​​ 
Gestion des documents​​ 
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA​​ 
1-800-387-3285​​ 
Soutien aux processus d'affaires pour la gestion des relations avec les clients (CRM)​​ 
989 Rue du Marché​​ 
San Francisco, CA 94103, États-Unis​​ 
888-670-4887​​ 
Demandes de renseignements auprès du service d'assistance à la clientèle​​ 
2225 Lawson Lane Santa Clara, CA , 95054​​ 
ÉTATS-UNIS​​ 
Support des processus métier pour la gestion des services et opérations informatiques, l'expérience des employés et des clients à travers (​​ flux de travail automatisé basé sur le cloud)​​ 
160 Rue Spear, 15e étage San Francisco, CA 94105 1-866-330-0121​​ 
ÉTATS-UNIS​​ 
Infrastructure d'entrepôt de données en nuage.​​ 
620 8th​​  Ave 45​​ th​​  Sol​​ 
New York, NY 10018​​ 
ÉTATS-UNIS​​ 
Outil de surveillance et de débogage des services​​ 
Avenue Louise 54, salle52,​​ 
1050 Bruxelles​​ 
Belgique​​ 
Traitement des paiements en ligne​​ 
1600 Amphithéâtre Pkwy, Mountain View, CA 94043​​ 
Support des processus métier pour les communications (email) et le stockage interne de documents​​