Accord de traitement des données

Cet accord de traitement de données (ce « DPA ») est conclu entre Simplenet Hosting SRL (« Simplenet », « nous ») et le client (« Client », « vous »), collectivement dénommés « les parties ». Cet accord (« DPA ») fait partie des conditions d'utilisation, de la politique de confidentialité et d'autres politiques pertinentes disponibles ici .

Le client acceptant ces conditions conclut le présent DPA en son propre nom dans la mesure requise par les réglementations et lois applicables en matière de protection des données et dans la mesure où Simplenet traite les données du client conformément aux instructions du contrôleur (tel que défini dans la section 1). 

Dans le cadre de la fourniture des services au client, Simplenet peut traiter les données du client au nom du client. Les Parties conviennent de se conformer aux dispositions suivantes concernant toutes Données Client, chacune agissant raisonnablement et de bonne foi. 

1. Définitions. 

Sauf définition contraire dans le présent DPA, tous les termes commençant par une majuscule ont la signification indiquée ci-dessous :

« Accord » désigne les conditions de service et autres politiques pertinentes annoncées sur notre site Web, ainsi que votre commande d'achat de services et la confirmation de commande envoyée par Simplenet.

« Commande » désigne toute commande du Client pour l'achat des services respectifs. 

« Site » désigne le site Web Simplenet et tous les services que nous proposons via notre site Web.

« Services » désigne tous les services d'hébergement que nous proposons et que le Client a achetés et qui pourraient impliquer le traitement de Données personnelles par Simplenet.

« Partenaire » désigne toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec l'entité concernée Simplenet. « Contrôle », aux fins de cette définition, désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l'entité concernée.

« Produits supplémentaires » désigne toutes fonctionnalités, produits, logiciels, programmes, modules complémentaires, plugins, scripts, outils ou tout autre logiciel ou contenu tiers qui ne font pas partie des Services mais qui peuvent être accessibles via l'Espace utilisateur Simplenet ou le Contrôle. Panel, installé par le Client ou autrement pour l'utilisation des Services.

« RGPD » désigne le Règlement Général sur la Protection des Données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données des clients et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

« Responsable du traitement » désigne la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données clients ;  

« Données client » désigne toutes les « données personnelles » fournies à Simplenet par ou au nom du client dans le cadre de son utilisation des services et qui sont stockées dans le compte du client (pour éviter tout doute, les données personnelles font partie de la commande du client pour l'achat du service concerné ne sera pas traité comme des données client). Les Données Client peuvent inclure, sans toutefois s'y limiter, les données client au sens défini dans le RGPD.

« Données personnelles » a la signification donnée à l'article 4 du RGPD. 

« Réglementations et lois sur la protection des données » désigne toutes les réglementations et lois, y compris les lois et réglementations de l'Union européenne, de l'Espace économique européen et de leurs États membres, de la Suisse et du Royaume-Uni, applicables au traitement des données client dans le cadre du présent DPA.

« Personne concernée » désigne la personne identifiée ou identifiable à laquelle les Données Client se rapportent.

« Date d'entrée en vigueur » signifie, le cas échéant :

1. Le 25 mai 2018, si le client a exécuté la ou les commandes et accepté les accords ou si les parties ont autrement accepté le présent DPA en ce qui concerne l'accord applicable avant ou à cette date ; ou
2. la date à laquelle le Client a cliqué pour accepter le Contrat ou les Parties ont autrement convenu du présent DPA en ce qui concerne le Contrat applicable, si cette date est postérieure au 25 mai 2018.

« Traitement » a la signification donnée à l'article 4 du RGPD.

« Sous-traitant » désigne l'entité qui traite les données client pour le compte du contrôleur.

« Simplenet » désigne l'entité Simplenet qui est partie au présent DPA, comme spécifié dans la section, une société constituée en Roumanie (numéro d'enregistrement CIF : RO22199266), avec l'adresse : Str. 22 décembre 3/B/16, 600196 Bacău, Roumanie.

« Clauses Contractuelles Types » ou « CCS » désigne les clauses types de protection des données pour le transfert des Données Client, telles que décrites à l'article 46, p.2, c) du RGPD, Annexe 1 du présent DPA.

« Sous-traitant secondaire » désigne tout sous-traitant engagé par Simplenet.

« Autorité de contrôle » désigne une autorité publique indépendante, établie en Roumanie sur le territoire de l'État membre de l'UE conformément au RGPD. 

« Durée » désigne la période allant de la date d'entrée en vigueur jusqu'à la fin de la fourniture des services par Simplenet en vertu du contrat applicable, y compris, le cas échéant, toute période pendant laquelle les services peuvent avoir été suspendus et toute période postérieure à la résiliation (à savoir 60 jours calendaires). ) pendant laquelle Simplenet peut continuer à fournir les Services à des fins transitoires.

« Pertes liées à la protection des données » désigne toutes les responsabilités, y compris : 

1. les frais (y compris les frais juridiques) ;
2. les réclamations, demandes, actions, règlements, charges, procédures, dépenses, pertes et dommages (qu'ils soient matériels ou immatériels, et y compris en cas de détresse émotionnelle) ;
3. dans la mesure permise par la loi applicable :
   1. les amendes administratives, pénalités, sanctions, responsabilités ou autres recours imposés par une autorité de contrôle de la protection des données ou toute autre autorité de régulation compétente ;
   2. indemnisation d'une personne concernée ordonnée par une autorité de contrôle de la protection des données ;
   3. les coûts raisonnables de conformité aux enquêtes menées par une autorité de contrôle de la protection des données ou toute autre autorité de régulation compétente ; et
4. les frais de chargement des Données Client et de remplacement des matériels et équipements du Client, dans la mesure où ceux-ci sont perdus ou endommagés, ainsi que toute perte ou corruption des Données Client, y compris les frais de rectification ou de restauration des Données Client ;

« Adresse e-mail de notification » désigne l'adresse e-mail spécifiée par le client dans la section Mes détails de l'espace utilisateur pour recevoir certaines notifications de Simplenet.

2. Traitement des données. 

2.1. Portée

Ce DPA s'applique lorsque et seulement dans la mesure où Simplenet traite des données personnelles pour le compte du client dans le cadre de la fourniture des services et que ces données personnelles sont soumises aux lois sur la protection des données de l'Union européenne, de l'Espace économique européen et/ou de leurs membres. États-Unis, la Suisse et/ou le Royaume-Uni (ci-après dénommées « Données client »). 

Si le client acceptant ce DPA est déjà un client, ce DPA fait partie de l'accord, de la politique de confidentialité et d'autres politiques et documents pertinents annoncés sur notre site Web. Dans un tel cas, l'entité Simplenet sera considérée comme partie au présent DPA.

Ce DPA n'est efficace que pour le compte client pour lequel il a été convenu. Si le Client possède plusieurs comptes, un DPA sera contracté séparément pour chaque compte individuel.

Ce DPA sera valide et juridiquement contraignant uniquement pour l'entité physique/morale indiquée dans le compte dans l'espace utilisateur et uniquement pour les services achetés directement auprès de Simplenet dans le compte respectif. 

Si l'entité client qui accepte ce DPA n'est ni partie à une commande ni à l'accord, ce DPA n'est pas valide et n'est pas juridiquement contraignant. Cette entité doit demander à l'entité cliente qui est partie à l'accord d'exécuter le présent DPA.

Le présent DPA, y compris ses annexes, à l'exception des clauses de la Politique de Confidentialité, entrera en vigueur et remplacera toutes conditions précédemment applicables en matière de confidentialité, de traitement des données et/ou de sécurité des données.

2.2. Respect des lois.  

Si les lois de l'Union européenne sur la protection des données s'appliquent à ce DPA, chaque partie se conformera aux obligations qui lui sont applicables en vertu de la législation européenne sur la protection des données en ce qui concerne le traitement de ces données client.

2.3. Objet et détails du traitement des données

2.3.1 Objet

Simplenet traitera les données du client dans la mesure nécessaire à la fourniture des services, au support technique associé et à d'autres demandes conformément à l'accord et selon les instructions supplémentaires du client dans son utilisation des services.

2.3.2. Durée du traitement

Sous réserve de l'article 11, la durée du traitement des données sera la durée désignée dans la commande et l'accord applicable. 

2.3.3. Nature et finalité du traitement

Simplenet traitera les données du client dans le but de fournir les services et le support technique associé au client conformément à l'accord, au présent DPA et aux autres politiques pertinentes.

2.3.4. Catégories de personnes concernées

Le Client peut soumettre des Données Client dans le cadre de son utilisation des Services, dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure, sans toutefois s'y limiter, des Données personnelles relatives aux catégories suivantes de personnes concernées. :

• Prospects, clients, partenaires commerciaux et fournisseurs du Client (personnes physiques et morales) ;
• Employés ou personnes de contact des prospects, clients, partenaires commerciaux et fournisseurs du Client ;
• Employés, agents, conseillers, indépendants du Client (qui sont des personnes physiques) ;
• Les Utilisateurs du Client autorisés par le Client à utiliser les Services ;
• Les personnes qui transmettent des données via les Services, y compris les personnes collaborant et communiquant avec le Client ou les utilisateurs finaux du Client ;
• Les personnes dont les données sont fournies à Simplenet via les Services par ou selon les instructions du Client ou par les utilisateurs finaux du Client.

2.3.5. Catégories de données personnelles

Le Client peut soumettre des Données Client dans le cadre de son utilisation des Services, dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure, sans toutefois s'y limiter, des Données personnelles relatives aux catégories de Données personnelles suivantes. :

• Nom
• Adresse
• Adresse email
• Toute donnée personnelle relative aux individus

2.4. Rôles des parties

Les parties reconnaissent et conviennent que :

1. Simplenet est un sous-traitant des données client en vertu de la législation européenne sur la protection des données ;
2. Le Client est un responsable du traitement ou un sous-traitant, selon le cas, des Données Client en vertu de la Législation européenne sur la protection des données ; et a obtenu tous les consentements et droits nécessaires en vertu des lois sur la protection des données pour que Simplenet puisse traiter les données client et fournir les services conformément à l'accord et au présent DPA.

2.5. Instructions pour le traitement des données. 

Simplenet traitera les données client conformément au présent DPA, qui constitue les instructions complètes et finales du client à Simplenet en ce qui concerne le traitement des données client. Le traitement en dehors du champ d'application du présent DPA (le cas échéant) nécessitera un accord écrit préalable entre Simplenet et le client sur des instructions supplémentaires pour le traitement. En concluant le présent DPA, le Client demande à Simplenet de traiter les Données Client uniquement conformément à la loi applicable :

1. pour fournir les Services et le support technique et autre associé ;
2. tel qu'initié par le Client et les utilisateurs finaux dans leur utilisation des Services ; 
3. comme spécifié dans l'accord, les conditions d'utilisation, la politique de confidentialité et d'autres politiques pertinentes régissant la fourniture des services et le support technique et autre associé.

2.6. Accès ou utilisation. 

Simplenet n'accédera ni n'utilisera les données du client, sauf dans la mesure nécessaire pour fournir les services et le support technique associé au client conformément au DPA, à l'accord et aux autres politiques pertinentes.

2.6.1. Traitement du client. 

Le Client devra, dans le cadre de son utilisation des Services, traiter ses Données conformément aux exigences des lois et réglementations en matière de protection des données qui lui sont applicables. Le Client est seul responsable de l'exactitude, de la qualité et de la légalité de ses Données ainsi que des moyens par lesquels il a acquis ces Données.

2.6.2. Traitement des données clients par Simplenet. 

Simplenet ne traitera les données du client qu'au nom et conformément aux instructions documentées du client, aux fins suivantes : 

1. Traitement pour fournir les services et le support technique associé conformément au présent DPA et aux commandes applicables ;
2. Traitements initiés par les Utilisateurs dans le cadre de leur utilisation des Services ;
3. Traitement nécessaire au maintien et à l’amélioration des Services.

2.6.3. Conformité de Simplenet aux instructions.  

À compter de la date d'entrée en vigueur, Simplenet se conformera aux instructions décrites ci-dessus dans la section Instructions pour le client, y compris en ce qui concerne les transferts de données, à moins que la loi de l'UE ou des États membres de l'UE à laquelle Simplenet est soumis n'exige un autre traitement des données client par Simplenet, auquel cas Simplenet informera le Client (sauf si cette loi l'interdit pour des raisons importantes d'intérêt public) via le Site ou l'Adresse électronique de notification. 

Les données client peuvent être consultées et traitées par Simplenet, les utilisateurs autorisés et les sous-traitants pour remplir les obligations en vertu du présent DPA et de l'accord respectif ou pour fournir certains services au nom de Simplenet. Un tel traitement sera conforme aux mesures décrites dans les sections 3, la section 7 et l'annexe 2 Mesures de sécurité.

2.7. Droits des personnes concernées.

2.7.1. Accès, Rectification, Restreinte de Traitement, Portabilité.

Pendant la Durée applicable, Simplenet devra, d'une manière cohérente avec la fonctionnalité des Services, permettre au Client d'accéder, de rectifier et de restreindre le traitement des Données Client, y compris via la suppression de tout ou partie des Données Client sous son compte ou la suppression du l'intégralité du compte comme décrit à la section 2.6. (Restitution et Suppression des données clients), et via export des Données Clients.

2.7.2. Demandes des personnes concernées.

2.7.2.1. Responsabilité du client pour les demandes. 

Si pendant la Durée applicable, Simplenet reçoit une demande d'une Personne concernée pour exercer le droit d'accès, le droit de rectification, la limitation du traitement, l'effacement (« droit à l'oubli »), la portabilité des données, l'opposition au traitement ou son droit de ne pas être soumis à une prise de décision individuelle automatisée (« Demande de la personne concernée »), Simplenet conseillera à la personne concernée de soumettre sa demande au client, et le client sera responsable de répondre à une telle demande, y compris : si nécessaire, en utilisant les fonctionnalités de les Prestations. Simplenet devra, dans la mesure permise par la loi, prendre les mesures commercialement raisonnables pour informer le client de ces demandes.

2.7.2.2. Assistance pour les demandes de personnes concernées Simplenet.  

Compte tenu de la nature du Traitement, le Client accepte que Simplenet fournisse, dans la mesure du possible, une assistance technique et organisationnelle appropriée pour remplir l'obligation du Client de répondre aux demandes des Personnes concernées, y compris, le cas échéant, l'obligation du Client de répondre aux demandes. pour l'exercice des droits de la personne concernée prévus au chapitre III du RGPD, en :

(a) fournir des ressources de documentation sous la forme de didacticiels et d'articles de base de connaissances, de fonctionnalités et/ou de contrôles dans le panneau de contrôle que le client peut choisir d'utiliser pour configurer correctement les services et utiliser les services de manière sécurisée.

(b) fournir des caractéristiques, des fonctionnalités et/ou des contrôles dans le panneau de contrôle que le client peut choisir d'utiliser pour récupérer, corriger ou supprimer les données client des services.

(c) respecter les engagements énoncés dans le présent DPA.

(d) Dans la mesure où le Client, dans son utilisation des Services, n'a pas la capacité de répondre à une Demande de la Personne concernée, Simplenet devra, à la demande du Client, fournir des efforts commercialement raisonnables pour aider le Client à répondre à cette Demande de la Personne concernée, dans la mesure où Simplenet est légalement autorisé à le faire et la réponse à cette demande de la personne concernée est requise en vertu des lois et réglementations sur la protection des données. Dans la mesure où la loi le permet, le client sera responsable de tous les coûts découlant de la fourniture d'une telle assistance par Simplenet.

Le Client prendra en charge les frais raisonnables de Simplenet liés à la fourniture de l'assistance mentionnés à la section 2.7.2.2.

2.8. Retour et suppression des données clients.

Simplenet permettra au Client de supprimer les Données Client pendant la Durée applicable d'une manière cohérente avec la fonctionnalité des Services et les fonctionnalités conformément à la Commande respective. Si le Client utilise les Services pour récupérer ou supprimer des Données Client et que les Données Client ne peuvent pas être récupérées, cela constituera une instruction à Simplenet de supprimer les Données Client concernées archivées sur des systèmes de sauvegarde conformément à la loi applicable et dans un délai maximum de 60 jours calendaires. jours.  

La désactivation des Services ou l'expiration de la Durée applicable constituera une instruction pour Simplenet de supprimer les Données Client et les Données Client concernées archivées sur les systèmes de sauvegarde dans un délai maximum de 60 jours calendaires. 

Rien dans cette section 2.8 ne varie ou ne modifie toute obligation de Simplenet de conserver tout ou partie des données client si nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme chargé de l'application de la loi (telle qu'une assignation à comparaître ou une ordonnance d'un tribunal). 

2.9. Divulgation. 

Simplenet ne divulguera pas les données client à un gouvernement, à des organismes chargés de l'application de la loi ou à d'autres autorités, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme chargé de l'application de la loi (telle qu'une assignation à comparaître ou une ordonnance d'un tribunal).  

2.10. Personnel de Simplenet. 

Simplenet interdit à son personnel de traiter les données client sans l'autorisation de Simplenet. L'accès aux données client est limité au personnel exerçant un rôle et des responsabilités conformément à l'accord.

Simplenet impose des obligations contractuelles appropriées à son personnel, y compris des obligations pertinentes en matière de confidentialité, de protection et de sécurité des données. Simplenet garantit que ces obligations de confidentialité survivent à la résiliation de l'engagement du personnel.

2.11. Délégué à la protection des données.

Simplenet a nommé un délégué à la protection des données pour les besoins du présent DPA et de la politique de confidentialité, joignable à contact@staging.simplenet.site.

3. Sous-traitants.

3.1. Consentement à l’engagement/nomination de sous-traitants ultérieurs 

Le Client reconnaît et accepte que : 

(a) Les partenaires Simplenet peuvent être retenus en tant que sous-traitants ultérieurs ; et 

(b) Simplenet et les partenaires Simplenet peuvent respectivement engager des sous-traitants dans le cadre de la fourniture des services. Simplenet a conclu un accord écrit avec chaque sous-traitant ultérieur contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne la protection des données client dans la mesure applicable à la nature des services fournis par ces sous-traitants ultérieurs. Si le Client a conclu des clauses contractuelles types (Annexe 1) telles que décrites à la Section 5 (Transferts de données hors de l'EEE), les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par Simplenet du traitement des Données Client si ce consentement est requise en vertu des clauses contractuelles types.

3.2. Informations sur les sous-traitants ultérieurs/Notification des nouveaux sous-traitants ultérieurs.

3.2.1. Simplenet partagera des informations vous concernant avec des sous-traitants ultérieurs tels que le/les sous-traitants ultérieurs qui sont engagés dans la fourniture de services soumis à votre accord et qui sont basés sur le territoire de l'Union européenne et des États-Unis, les fournisseurs de services de centres de données qui sont basé sur le territoire de l’Union européenne, des États-Unis, de l’Australie et de Singapour. Ces sous-traitants traiteront les données fournies selon les instructions de Simplenet et conformément à notre politique de confidentialité et au présent DPA. Nous n'autorisons pas les sous-traitants à conserver, partager, stocker ou utiliser vos informations personnelles identifiables à des fins secondaires. 

3.2.2. Lorsqu'un nouveau sous-traitant tiers est engagé pour traiter des données client dans le cadre de la fourniture des services applicables pendant la durée applicable du présent DPA, Simplenet informera le client de cet engagement, y compris la catégorie et l'emplacement du sous-traitant concerné. -sous-traitant et les activités qu'il doit effectuer, au moins 10 jours calendaires avant d'autoriser le nouveau sous-traitant tiers, soit en envoyant un e-mail à l'adresse e-mail de notification, soit via l'espace utilisateur.

3.3. Exigences relatives à l'engagement des sous-traitants ultérieurs.

Lorsqu’elle engage un sous-traitant ultérieur, Simplenet doit :

(a) s’assurer, par le biais d’un contrat écrit :

(i) le sous-traitant accède et utilise les données du client uniquement dans la mesure nécessaire pour exécuter les obligations qui lui sont sous-traitées, et le fait conformément à l'accord applicable (y compris le présent amendement au traitement des données) et à toutes les clauses contractuelles types conclues ou alternatives. Solution de transfert adoptée par Simplenet telle que décrite dans la section 5 (Transferts de données hors de l'EEE) ; et

(ii) si le RGPD s'applique au traitement des données des clients du Client, les obligations de protection des données énoncées à l'article 28(3) du RGPD, telles que décrites dans le présent Amendement au traitement des données, sont imposées au Sous-traitant ultérieur ; et

(b) reste entièrement responsable de toutes les obligations qui lui sont sous-traitées, ainsi que de tous les actes et omissions du sous-traitant ultérieur.

3.4. Droit d’opposition pour les nouveaux sous-traitants. 

3.4.1. Le Client peut s'opposer à tout nouveau sous-traitant tiers en résiliant le Contrat applicable immédiatement après notification écrite à Simplenet, à condition que le Client fournisse cet avis dans les 10 jours calendaires après avoir été informé de l'engagement du sous-traitant ultérieur. Ce droit de résiliation constitue le seul et unique recours du Client si celui-ci s'oppose à tout nouveau sous-traitant tiers.

3.4.2. Simplenet remboursera au client tous les frais prépayés couvrant le reste de la durée de cette ou ces commandes après la date effective de résiliation en ce qui concerne ces services résiliés, sans imposer de pénalité pour cette résiliation au client.

4. Évaluations d'impact, consultations. Stockage. 

4.1. Évaluations d'impact et consultations. 

À la demande du Client, Simplenet fournira au Client la coopération et l'assistance raisonnables nécessaires pour remplir l'obligation du Client en vertu du RGPD de réaliser une évaluation d'impact sur la protection des données liée à l'utilisation des Services par le Client, dans la mesure où le Client n'a pas autrement accès à les informations pertinentes, et dans la mesure où ces informations sont disponibles pour Simplenet. Simplenet fournira une assistance raisonnable au Client dans la coopération ou la consultation préalable avec l'Autorité de Surveillance dans l'exécution de ses tâches relatives au présent DPA, dans la mesure requise par le RGPD.

5. Transferts hors de l'EEE.

5.1. Centre de données et stockage

Simplenet stocke et traite les données clients dans des centres de données situés à l'intérieur et à l'extérieur de l'Union européenne. Les informations sur les emplacements de nos centres de données sont disponibles dans la base de connaissances et Simplenet se réserve le droit de les mettre à jour de temps à autre.

Le Client peut spécifier l'emplacement du Datacenter où ses Données Client seront stockées. Le Client accepte que Simplenet puisse modifier les emplacements des centres de données et déplacer les données du client vers un autre centre de données. Simplenet informera le Client au moins 10 jours calendaires avant de déplacer les Données Client vers un nouveau Centre de Données, soit en envoyant un e-mail à l'Adresse e-mail de Notification, soit via l'Espace Utilisateur. Si le changement de centre de données entraîne le stockage des données client sous une juridiction différente, le client peut s'opposer à ce changement en résiliant le contrat immédiatement et moyennant un préavis écrit à Simplenet, à condition que le client fournisse un tel préavis dans les 10 jours calendaires suivant. être informé du changement de Data Center.

Le Client peut déplacer son compte et ses Données Client vers un autre emplacement du Data Center à tout moment, à condition que la fonctionnalité des Services le permette et en échange de frais supplémentaires. Une fois que le client a fait son choix et spécifié un emplacement de centre de données au sein de l'Union européenne, Simplenet ne stockera pas les données du client en dehors des frontières de l'Union européenne, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme chargé de l'application de la loi (tel que comme une assignation à comparaître ou une ordonnance du tribunal).

5.2. Lieux de traitement

Dans la mesure où le client a spécifié un centre de données en dehors de l'Espace économique européen et dans la mesure où Simplenet fournit les services et le support technique et autre associé, le client accepte que Simplenet puisse, sous réserve de la section 5, accéder et traiter les données du client dans l'EEE, États-Unis et tout autre pays où Simplenet et/ou ses partenaires et sous-traitants disposent de centres de données, d'installations ou maintiennent des opérations de traitement de données. Si le stockage et/ou le traitement des données client impliquent le traitement des données client en dehors de l'EEE et que la législation européenne sur la protection des données s'applique, le client accepte que Simplenet exige raisonnablement du client qu'il conclue des clauses contractuelles types concernant ces transferts conformément avec la section 5.2 et l'annexe 1 et le client s'engage à le faire.

5.3. Mécanisme de transfert

Dans la mesure où Simplenet traite ou transfère (directement ou via un transfert ultérieur) des données client dans le cadre du présent DPA depuis l'Union européenne, l'Espace économique européen et/ou leurs États membres et la Suisse dans ou vers des pays qui n'assurent pas un niveau adéquat de protection des données. au sens des lois applicables sur la protection des données dans les territoires susmentionnés, les parties conviennent que :

1. Les Clauses Contractuelles Types (Annexe 1) s’appliqueront aux Données Client transférées.
2. Simplenet sera réputé fournir des garanties appropriées pour protéger les données du client en mettant à disposition des clauses contractuelles types (Annexe 1) comme mécanisme de transfert.
3. Le Client autorise par la présente tout transfert ou accès aux Données Client depuis de telles destinations en dehors de l'Espace économique européen sous réserve de l'une des mesures ci-dessus ;

6. Traitement des dossiers.

Le Client reconnaît que Simplenet est tenu au titre du RGPD de :

(a) collecter et conserver des enregistrements de certaines informations, y compris le nom et les coordonnées de chaque sous-traitant et/ou contrôleur pour le compte duquel Simplenet agit et, le cas échéant, du représentant local et du délégué à la protection des données de ce sous-traitant ou contrôleur ; et 

b) met ces informations à la disposition des autorités de contrôle. En conséquence, si le RGPD s'applique au traitement des données du Client, le Client devra, sur demande, fournir ces informations à Simplenet via le Site ou d'autres moyens fournis par Simplenet, et utilisera le Site ou tout autre moyen pour garantir que toutes les informations fournies est maintenu précis et à jour.

7. Responsabilités de sécurité de Simplenet.

7.1. Simplenet mettra en œuvre et maintiendra des mesures techniques et organisationnelles pour protéger les données du client contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisé, comme décrit à l'Annexe 2 (les « Mesures de sécurité »). Comme décrit à l'Annexe 2, les mesures de sécurité comprennent des mesures visant à assurer une transmission cryptée des données client en dehors de l'environnement du Service ; pour aider à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de Simplenet ; pour aider à restaurer l'accès en temps opportun aux données du client à partir d'une copie de sauvegarde disponible, fournie soit par les services de sauvegarde Simplenet, soit par la propre copie de sauvegarde du client suite à un incident ; et pour des tests réguliers d'efficacité. Simplenet peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale des services.

7.2. Responsabilités et évaluation du client en matière de sécurité.

Le Client accepte que, sans préjudice des obligations de Simplenet en vertu de la section 7. (Responsabilités de sécurité de Simplenet) et des autres sections pertinentes du présent DPA : 

1. Le Client est seul responsable de son utilisation des Services, notamment :
   1. faire un usage approprié des Services pour assurer un niveau de sécurité adapté au risque relatif aux Données Client ;
   2. sécuriser les informations d'authentification du compte, les systèmes et les appareils que le Client utilise pour accéder aux Services ; 
   3. s'assurer que tous les programmes, scripts, modules complémentaires, plugins et autres logiciels installés sur le compte sont sécurisés et que leur utilisation n'impose aucun risque de sécurité en ce qui concerne les données client et le compte lui-même ;
   4. sécuriser tous les programmes, scripts, addons, plugins et autres logiciels installés, leur configuration et leur maintenance régulière ;
   5. tout contenu du compte ;  
   6. toute action et activité sur le compte ; et
   7. sauvegarder leurs données client ; et
2. Simplenet n'a aucune obligation de protéger les données client que le client choisit de stocker ou de transférer en dehors des systèmes de Simplenet et de ses sous-traitants (par exemple, stockage hors ligne ou sur site), ou de protéger les données client en mettant en œuvre ou en maintenant des contrôles de sécurité supplémentaires. sauf dans la mesure où le Client a choisi de les utiliser.
3. Le Client est seul responsable de l'examen de la documentation et de l'évaluation si les Services, les Mesures de sécurité, les engagements de Simplenet en vertu de la présente Section et les éléments suivants répondent aux besoins du Client, y compris les éventuelles obligations de sécurité du Client en vertu de la Législation européenne sur la protection des données et/ou de non-responsabilité. Législation européenne sur la protection des données, le cas échéant.
4. Le Client reconnaît et accepte (compte tenu des coûts de mise en œuvre et de la nature, de la portée, du contexte et de la finalité du traitement des données du Client ainsi que des risques pour les personnes) les mesures de sécurité mises en œuvre et maintenues par Simplenet telles que définies à la section 7.1. . fournir le niveau de sécurité nécessaire et adapté au risque lié aux données client.
5. Il est de la responsabilité du Client de sauvegarder les Données Client ainsi que toutes les données et consentements stockés dans le compte afin d'éviter toute perte potentielle de données.
   1. Les services de sauvegarde Simplenet sont fournis « tels quels » et sont soumis à toutes les limitations de responsabilité énoncées dans l'accord applicable.
   2. Même si le Client achète des Services de sauvegarde, il convient qu'il conservera son propre ensemble de sauvegardes indépendamment de celles maintenues par Simplenet et que la seule obligation de Simplenet est de restaurer l'espace du compte dans son état de fonctionnement. En cas d'incident, de panne matérielle ou logicielle ou de toute corruption ou perte accidentelle de données, Simplenet peut fournir une assistance mais il est de la seule obligation du Client de restaurer les Données Client.  
   3. En cas de perte ou de corruption partielle ou totale de données et dans le cas où le Client n'est pas satisfait du résultat de la restauration par les Services de Sauvegarde Simplenet ou si la copie de sauvegarde de Simplenet n'est pas récente ou adaptée à la restauration, il sera de l'obligation du Client de restaurer les données du client, leurs fichiers et toutes les données du compte à partir de la propre sauvegarde du client.

8. Examen et audits de conformité.

Si la Législation Européenne sur la Protection des Données s’applique au traitement des Données Client :

1. Le Client a le droit de vérifier le respect par Simplenet de ses obligations en vertu du présent DPA, en procédant à un examen de la documentation ou à un audit, y compris des inspections, mené par le Client ou un auditeur indépendant désigné par le Client, en faisant une demande spécifique à Simplenet en un formulaire écrit à l'adresse indiquée dans les conditions de service respectives. 
2. Simplenet fournira en outre des réponses écrites à toutes les demandes raisonnables du client et pourra facturer des frais pour tout examen ou audit. Simplenet fournira des détails sur tous les frais applicables avant un tel audit et le client sera responsable de tous les frais facturés par tout auditeur et de tous les frais associés à l'exécution d'un audit. Les rapports d'un tel audit seront mis à la disposition de Simplenet sans restrictions quant aux finalités de leur utilisation ultérieure par Simplenet.
3. Simplenet peut s'opposer et refuser par écrit au client ou à un auditeur désigné par le client pour effectuer un audit si le client ou l'auditeur n'est, de l'avis raisonnable de Simplenet, pas suffisamment qualifié ou indépendant, un concurrent de Simplenet, ou autrement manifestement inadapté.
4. Si Simplenet refuse de suivre toute instruction demandée par le client ou un auditeur concernant un audit ou une inspection dûment demandé et étendu, le client a le droit de résilier le présent DPA et les conditions de service.

Rien dans cette section 8 (Examen et audits de conformité) ne varie ou ne modifie les droits ou obligations du client ou de Simplenet en vertu des clauses contractuelles types conclues comme décrit dans la section 5 (Transferts de données hors de l'EEE).

9. Notification de violation de sécurité. 

9.1. Simplenet maintient des politiques et des procédures de gestion des incidents de sécurité et informera le client sans délai injustifié après avoir pris connaissance de la destruction, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès accidentel ou illégal aux données du client, y compris les données du client transmises, stockées ou autrement traitées par Simplenet ou ses sous-traitants dont Simplenet a connaissance (un « incident de données client »). Simplenet fera des efforts raisonnables pour identifier la cause d'un tel incident de données client et prendra les mesures que Simplenet juge nécessaires et raisonnables afin de remédier à la cause d'un tel incident de données client dans la mesure où la résolution est sous le contrôle raisonnable de Simplenet. Les obligations des présentes ne s'appliquent pas aux incidents causés par le Client, l'utilisation des Services par le Client, les actions ou activités du Client ou les Utilisateurs du Client.

9.2. Les notifications effectuées conformément à la présente section doivent décrire, dans la mesure du possible, les détails de l'incident de données, y compris les mesures prises pour atténuer les risques potentiels et les mesures que Simplenet recommande au client de prendre pour résoudre l'incident de données. 

9.3. Les notifications de tout incident de données doivent être envoyées à l'adresse e-mail de notification ou, à la discrétion de Simplenet, par communication directe (par exemple, par appel téléphonique). Le client est seul responsable de s’assurer que l’adresse e-mail de notification et les coordonnées sont actuelles et valides.

9.4. Simplenet n'évaluera pas le contenu des données client afin d'identifier des informations soumises à des exigences légales spécifiques. Le Client est seul responsable du respect des lois sur la notification des incidents applicables au Client et du respect de toute obligation de notification à un tiers liée à tout Incident(s) de données.

9.5. La notification ou la réponse de Simplenet à un incident de données en vertu du présent article 10 ne doit pas être interprétée comme une reconnaissance par Simplenet de toute faute ou responsabilité concernant l'incident de données.

10. Responsabilité et indemnisation.

10.1. Le Client devra indemniser et tenir Simplenet indemnisé pour toutes les violations et pertes en matière de protection des données subies ou encourues par, découlant de ou en relation avec :

(a) tout non-respect par le Client des lois et réglementations en matière de protection des données ;

(b) toute violation par le Client de ses obligations en matière de protection des données en vertu du présent Contrat ; 

10.2. Simplenet sera responsable des violations de la protection des données et des pertes causées par le traitement des données client uniquement dans la mesure résultant directement du manquement de Simplenet à se conformer à ses obligations en tant que sous-traitant des données en vertu des lois et réglementations sur la protection des données.

11. Résiliation

Le présent DPA prendra effet à compter de la date d'entrée en vigueur jusqu'à la fin de la fourniture des services par Simplenet en vertu du contrat applicable, y compris, le cas échéant, toute période pendant laquelle les services peuvent avoir été suspendus et toute période post-résiliation (à savoir 60 jours calendaires). pendant laquelle Simplenet peut continuer à fournir des services à des fins transitoires (« Durée »). Le DPA expirera automatiquement lors de la suppression de toutes les données client par Simplenet.

12. Effet juridique.

Dans la mesure de tout conflit ou incohérence entre les termes du présent DPA et le reste de l'accord applicable lié au traitement des données client, les termes du présent DPA prévaudront. Sous réserve des modifications éventuelles du présent DPA, cet accord reste pleinement en vigueur. Pour plus de clarté, si le Client a conclu plusieurs Contrats, le présent DPA modifiera chacun des Contrats séparément.

---

Annexe 1

CLAUSES CONTRACTUELLES TYPES (PROCESSEURS)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données

L'entité identifiée comme « Client » dans le Contrat de traitement des données 

(l'exportateur de données)

Et

Simplenet Hosting SRL

(l'importateur de données)

chacun un « parti » ; ensemble « les partis »,

ONT CONVENU des clauses contractuelles suivantes (les Clauses) afin de fournir des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées à l'Annexe 1. .

Article 1

Définitions

Aux fins des Clauses :

a) "données à caractère personnel", "catégories particulières de données", "traitement/traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/ CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

(b) "l'exportateur de données": le responsable du traitement qui transfère les données à caractère personnel;

(c) « l'importateur de données » désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données personnelles destinées à être traitées en son nom après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis à la législation d'un pays tiers. système assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

(d) « le sous-traitant » désigne tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir exclusivement de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données personnelles. destinés aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance écrit ;

e) "loi applicable en matière de protection des données", la législation protégeant les droits et libertés fondamentaux des personnes physiques et, en particulier, leur droit au respect de la vie privée à l'égard du traitement des données à caractère personnel, applicable à un responsable du traitement dans l'État membre dans lequel le un exportateur de données est établi ;

f) "mesures de sécurité techniques et organisationnelles": les mesures visant à protéger les données à caractère personnel contre une destruction accidentelle ou illicite ou une perte accidentelle, une altération, une divulgation ou un accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toutes autres formes de traitement illicites.

Article 2

Détails du transfert

Les détails du transfert et notamment les catégories particulières de données personnelles le cas échéant sont précisés en Annexe 1 qui fait partie intégrante des Clauses.

Article 3

Clause des tiers bénéficiaires

1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4(b) à (i), la clause 5(a) à (e) et (g) à (j), la clause 6(1) et ( 2), l’article 7, l’article 8(2) et les articles 9 à 12 en tant que tiers bénéficiaire.

2. La personne concernée peut opposer à l'importateur de données la présente clause, la clause 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où la l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations juridiques de l'exportateur de données par contrat ou par effet de la loi, de sorte qu'elle assume les droits et obligations de l'exportateur de données. , dans auquel cas la personne concernée peut les opposer à cette entité.

3. La personne concernée peut faire valoir contre le sous-traitant ultérieur la présente clause, la clause 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations juridiques de l'exportateur de données par contrat ou par effet de la loi, ce qui lui a valu assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité. Cette responsabilité civile du sous-traitant ultérieur sera limitée à ses propres opérations de traitement en vertu des Clauses.

4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Article 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

(b) qu'il a demandé et, pendant toute la durée des services de traitement des données personnelles, demandera à l'importateur de données de traiter les données personnelles transférées uniquement pour le compte de l'exportateur de données et conformément à la loi applicable en matière de protection des données et aux Clauses ;

(c) que l'importateur de données fournira des garanties suffisantes concernant les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;

(d) qu'après évaluation des exigences de la loi applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre tout autre traitement illicite, et que ces mesures assurent un niveau de sécurité approprié aux risques présentés par le traitement et à la nature des données à protéger au regard de l'état de la technique et des coût de leur mise en œuvre ;

(e) qu'il veillera au respect des mesures de sécurité ;

f) que, si le transfert implique des catégories particulières de données, la personne concernée a été informée ou sera informée avant ou dès que possible après le transfert que ses données pourraient être transmises vers un pays tiers n'offrant pas une protection adéquate dans le sens de la directive 95/46/CE ;

(g) transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5(b) et à la clause 8(3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension. ;

(h) mettre à la disposition des personnes concernées sur demande une copie des Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être effectuée conformément aux Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

(i) qu'en cas de sous-traitement, l'activité de traitement est effectuée conformément à l'article 11 par un sous-traitant fournissant au moins le même niveau de protection des données personnelles et des droits de la personne concernée que les données importateur en vertu des Clauses ; et

(j) qu'il garantira le respect de la clause 4(a) à (i).

Article 5

Obligations de l'importateur de données [1]

L'importateur de données accepte et garantit :

(a) traiter les données personnelles uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux Clauses ; s'il ne peut pas assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations au titre du contrat et qu'en cas de changement de cette législation susceptible d'avoir un impact effet négatif substantiel sur les garanties et obligations prévues par les Clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données aura le droit de suspendre le transfert de données et/ou de résilier le contrat. ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données personnelles transférées ;

(d) qu'il informera rapidement l'exportateur de données :

(i) toute demande juridiquement contraignante de divulgation de données personnelles par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête policière ;

(ii) tout accès accidentel ou non autorisé ; et

(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'elle n'ait été autrement autorisée à le faire ;

(e) traiter rapidement et correctement toutes les demandes de l'exportateur de données concernant son traitement des données personnelles faisant l'objet du transfert et se conformer aux conseils de l'autorité de contrôle concernant le traitement des données transférées ;

(f) à la demande de l'exportateur de données, soumettre ses installations de traitement de données à un audit des activités de traitement couvertes par les clauses qui sera effectué par l'exportateur de données ou un organisme d'inspection composé de membres indépendants et en possession des qualifications requises. qualifications professionnelles soumises à une obligation de confidentialité, sélectionnées par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

(g) mettre à la disposition de la personne concernée sur demande une copie des Clauses, ou de tout contrat de sous-traitance existant, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée ne peut pas en obtenir une copie auprès de l'exportateur de données ;

(h) qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;

(i) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la Clause 11 ;

(j) envoyer rapidement une copie de tout accord de sous-traitant ultérieur qu'il conclut en vertu des Clauses à l'exportateur de données.

Article 6

Responsabilité

1. Les parties conviennent que toute personne concernée qui a subi un dommage à la suite d'une violation des obligations mentionnées à l'article 3 ou à l'article 11 par une partie ou un sous-traitant ultérieur a le droit de recevoir une compensation de la part de l'exportateur de données pour le préjudice subi.

2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 contre l'exportateur de données, en raison d'un manquement par l'importateur de données ou son sous-traitant ultérieur à l'une de leurs obligations visées à l'article 3 ou à l'article 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister légalement ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse déposer une réclamation contre l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité successeur a assumé le l'intégralité des obligations légales de l'exportateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité.

L'importateur de données ne peut pas se prévaloir d'un manquement par un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.

3. Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visé aux paragraphes 1 et 2, en raison d'un manquement par le sous-traitant ultérieur à l'une de ses obligations visées à l'article 3 ou à l'article 11, parce que l'exportateur de données et l'importateur de données ont disparu de fait ou ont cessé d'exister légalement ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse déposer une réclamation contre le sous-traitant de données en ce qui concerne ses propres opérations de traitement en vertu des Clauses comme s'il s'agissait de l'exportateur de données ou de l'importateur de données, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant ultérieur sera limitée à ses propres opérations de traitement en vertu des Clauses.

Article 7

Médiation et juridiction

1. L'importateur de données accepte que si la personne concernée invoque à son encontre les droits de tiers bénéficiaires et/ou réclame une indemnisation pour les dommages en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :

(a) de soumettre le litige à une médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;

(b) de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

2. Les parties conviennent que le choix fait par la personne concernée ne portera pas préjudice à ses droits matériels ou procéduraux d'exercer un recours conformément à d'autres dispositions du droit national ou international.

Article 8

Coopération avec les autorités de contrôle

1. L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle s'il en fait la demande ou si un tel dépôt est requis en vertu de la loi applicable sur la protection des données.

2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données. en vertu de la loi applicable sur la protection des données.

3. L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation applicable à lui-même ou à tout sous-traitant ultérieur empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans un tel cas l'exportateur de données a le droit de prendre les mesures prévues à la clause 5(b).

Article 9

Loi applicable

Les Clauses sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.

Article 10

Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les Clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions liées aux affaires lorsque cela est nécessaire, à condition qu'elles ne contredisent pas la clause.

Article 11

Sous-traitement

1. L'importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il ne doit le faire que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant les mêmes obligations que celles imposées au sous-traitant. importateur de données en vertu des clauses (3). Lorsque le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de cet accord.

2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant doit également prévoir une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure de présenter la demande d'indemnisation visée au paragraphe 1 de l'article 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeur n'a assumé toutes les obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par opération de droit. Cette responsabilité civile du sous-traitant ultérieur sera limitée à ses propres opérations de traitement en vertu des Clauses.

3. Les dispositions relatives aux aspects relatifs à la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi, à savoir…

4. L'exportateur de données doit conserver une liste des accords de sous-traitance conclus en vertu des clauses et notifiés par l'importateur de données conformément à la clause 5(j), qui doit être mise à jour au moins une fois par an. La liste est à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Article 12

Obligation après la résiliation des services de traitement des données personnelles

1. Les parties conviennent qu'à la fin de la fourniture de services de traitement de données, l'importateur de données et le sous-traitant ultérieur restitueront, au choix de l'exportateur de données, toutes les données personnelles transférées et leurs copies à l'exportateur de données. ou doit détruire toutes les données personnelles et certifier à l'exportateur de données qu'il l'a fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

2. L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, il soumettra ses installations informatiques à un audit des mesures visées au paragraphe 1.

[1] Exigences impératives de la législation nationale applicable à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'article 13, paragraphe 1, de la directive 95/46/CE, à savoir constitue, s'ils constituent une mesure nécessaire à la sauvegarde de la sécurité nationale, de la défense, de la sécurité publique, à la prévention, à l'enquête, à la détection et à la poursuite des infractions pénales ou des manquements à la déontologie des professions réglementées, un intérêt économique ou financier important de l'État ou de l'État. protection de la personne concernée ou du droits et libertés d'autrui, ne sont pas en contradiction avec les clauses contractuelles types. Quelques exemples de ces exigences obligatoires qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sont, entre autres, les sanctions internationalement reconnues, les exigences de déclaration fiscale ou les exigences de déclaration en matière de lutte contre le blanchiment d'argent.

---

Annexe 1 aux Clauses Contractuelles Types

Exportateur de données

L'exportateur de données est l'entité identifiée comme « Client » dans l'accord de traitement des données.

Importateur de données

L’importateur de données est Simplenet Hosting SRL

Personnes concernées

Les données personnelles concernent les catégories de personnes concernées telles que définies à la section 2.3.4. dans l’accord de traitement des données.

Catégories de données

Les données personnelles concernent les catégories de données telles que définies à la section 2.3.5. dans l’accord de traitement des données.

Opérations de traitement

Les traitements sont définis à l’article 2 du Contrat de Traitement des Données.

---

Annexe 2 aux Clauses Contractuelles Types

Cette annexe fait partie des clauses. En achetant des services auprès de Simplenet et en acceptant l'accord de traitement des données, les parties seront réputées avoir accepté et exécuté la présente annexe 2.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint) :

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données sont telles que décrites dans le Contrat de traitement des données et l'Annexe 2 Mesures de sécurité.

---

Annexe 2

Mesures de sécurité

Simplenet met en œuvre et maintient des mesures de sécurité techniques et organisationnelles appropriées pour le traitement des données personnelles, y compris les mesures énoncées dans la présente annexe 2 de l'accord de traitement des données. Ces mesures visent à protéger les Données Personnelles contre toute perte, destruction, altération, divulgation ou accès accidentels ou non autorisés, ainsi que contre toute autre forme illicite de Traitement. Des mesures supplémentaires et des informations concernant ces mesures, y compris les mesures et pratiques de sécurité spécifiques aux services particuliers commandés par le client, peuvent être spécifiées dans le contrat.  

Simplenet peut mettre à jour ou modifier ces mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale des Services. 

Les mesures de sécurité techniques et organisationnelles mises en œuvre par Simplenet sont conformes aux clauses 4(c) et 5(c) des Clauses Contractuelles Types.

Personnel et confidentialité

Simplenet prendra des mesures raisonnables pour garantir qu'aucune personne ne sera désignée par Simplenet pour traiter les données personnelles à moins que cette personne :

1. est compétent et qualifié pour effectuer les tâches spécifiques qui lui sont assignées par Simplenet ;
2. a été autorisé par Simplenet ; et
3. a été informé par Simplenet des exigences pertinentes pour l'exécution des obligations de Simplenet en vertu des présentes Clauses, en particulier de la finalité limitée du traitement des données.

Le personnel de Simplenet est tenu de se comporter d'une manière conforme aux directives de l'entreprise en matière de confidentialité, d'éthique des affaires, d'utilisation appropriée et de normes professionnelles. Simplenet effectue des vérifications d'antécédents raisonnablement appropriées dans la mesure permise par la loi et conformément au droit du travail local et aux réglementations statutaires applicables. Le personnel est tenu d'exécuter un accord de confidentialité et doit accuser réception et respecter les politiques de confidentialité et de confidentialité de Simplenet. Ils reçoivent une formation et le personnel chargé de gérer les données client doit répondre à des exigences supplémentaires appropriées à leur rôle. 

Sécurité physique 

Simplenet utilise des centres de données géographiquement répartis et stocke toutes les données de production dans des centres de données physiquement sécurisés. Les centres de données de production du sous-traitant Simplenet emploient des mesures pour sécuriser l'accès aux systèmes de traitement des données. Ils disposent d'un système d'accès qui contrôle l'accès au centre de données. Ce système permet uniquement au personnel autorisé d'avoir accès aux zones sécurisées. Les installations sont conçues pour résister aux intempéries et à d'autres conditions naturelles raisonnablement prévisibles, sont sécurisées par des gardes 24 heures sur 24, une surveillance CCTV, un contrôle d'accès et un accès contrôlé par escorte, et sont également soutenues par des générateurs de secours sur site dans le en cas de panne de courant.

Les systèmes électriques du centre de données sont conçus pour être redondants et maintenables sans impact sur les opérations continues 24h/24 et 7j/7. Dans la plupart des cas, une source d'alimentation principale et alternative est fournie pour les composants d'infrastructure critiques du centre de données. L'alimentation de secours est fournie par divers mécanismes tels que des batteries d'alimentation sans coupure (UPS) ou des générateurs diesel qui sont capables de fournir une alimentation électrique de secours ou une protection fiable de l'alimentation en cas de baisse de tension, de panne de courant, de surtension, de sous-tension et hors tolérance. conditions de fréquence.

Les systèmes d'infrastructure ont été conçus pour éliminer les points de défaillance uniques et minimiser l'impact des risques environnementaux anticipés. Les équipements et installations de production du sous-traitant Simplenet disposent de procédures de maintenance préventive documentées qui détaillent le processus et la fréquence d'exécution conformément aux spécifications internes ou du fabricant. La maintenance préventive et corrective des équipements du centre de données est programmée via un processus de changement standard selon des procédures documentées.

Contrôle d'accès au système

Les serveurs Simplenet utilisent une implémentation basée sur Linux personnalisée pour les services. Simplenet utilise un processus de révision pour accroître la sécurité des systèmes d'exploitation utilisés pour fournir les services et améliorer les produits de sécurité dans les environnements de production.

Simplenet a et maintient une politique de sécurité pour le personnel. Le personnel d'infrastructure, de développement et de support de Simplenet est responsable de la surveillance continue de la sécurité de l'infrastructure de Simplenet, de l'examen des services et de la réponse aux incidents de sécurité.

Les processus et politiques d'accès internes de Simplenet sont conçus pour empêcher les personnes et/ou les systèmes non autorisés d'accéder aux systèmes utilisés pour traiter les données des clients, y compris les données personnelles. Simplenet vise à concevoir ses systèmes pour : (i) permettre uniquement aux personnes autorisées d'accéder aux données auxquelles elles sont autorisées à accéder ; et (ii) garantir que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après l'enregistrement. Simplenet utilise un système de gestion des accès pour contrôler l'accès du personnel aux serveurs de production et ne fournit l'accès qu'au personnel autorisé. Les contrôles suivants peuvent, entre autres, être appliqués en fonction des Services particuliers commandés : authentification par mots de passe et/ou authentification à deux facteurs, clés SSH, processus d'autorisation, processus de gestion des modifications, l'accès logique aux centres de données est restreint et protégé par un pare-feu. /VLAN et journalisation des accès sur plusieurs niveaux. L'octroi ou la modification des droits d'accès est basé sur : les responsabilités professionnelles du personnel autorisé ; les exigences du travail nécessaires pour effectuer les tâches autorisées ; et un besoin de savoir. L'octroi ou la modification des droits d'accès doit également être conforme aux politiques internes d'accès aux données de Simplenet. 

Contrôle d'accès aux services

Le Client et les Utilisateurs finaux doivent s'authentifier via un système d'authentification afin d'utiliser les Services. Chaque application vérifie les informations d'identification afin de permettre l'affichage des données à un utilisateur final autorisé.

Les contrôles suivants peuvent, entre autres, être appliqués en fonction des Services particuliers commandés : authentification par mots de passe et/ou authentification à deux facteurs, clés SSH, processus d'autorisation, processus de gestion des modifications et journalisation des accès à plusieurs niveaux. En fonction des services particuliers commandés, les contrôles suivants peuvent également s'appliquer : des identifiants uniques sont attribués à la personne responsable, des mécanismes de révocation d'accès lors de tentatives de connexion infructueuses consécutives et de périodes de verrouillage, des mécanismes d'expiration et de réinitialisation du mot de passe, des exigences en matière de complexité du mot de passe.

Contrôle d'accès aux données 

Simplenet stocke les données dans un environnement multi-tenant, ce qui signifie que les déploiements de plusieurs clients sont stockés sur le même matériel physique. Simplenet utilise l'isolation logique pour séparer les données de chaque client et sépare logiquement les données de chaque client de celles des autres. Cela fournit l'évolutivité tout en empêchant rigoureusement les clients d'accéder aux données des autres.

Le Client dispose d'un contrôle sur des contrôles spécifiques pour partager l'accès aux données avec les utilisateurs finaux à des fins spécifiques conformément à la fonctionnalité des Services. Le client peut choisir d'utiliser ces contrôles. Simplenet met à disposition certaines capacités de journalisation.

L'accès direct aux données des clients est restreint et, si cela est nécessaire, les droits d'accès sont établis et appliqués uniquement au personnel dûment autorisé, en plus des règles de contrôle d'accès énoncées dans les sections précédentes. 

Contrôle des transmissions

Les centres de données sont généralement connectés via des liaisons privées à haut débit pour assurer un transfert de données sécurisé et rapide entre les centres de données. Ceci est conçu pour empêcher que les données soient lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert ou le transport électronique ou pendant leur enregistrement sur des supports de stockage de données ou leur échange au sein du centre de données. 

Pour les données en transit, Simplenet utilise des protocoles de transport conformes aux normes de l'industrie, tels que SSL et TLS, entre les appareils du Client et les services et centres de données de Simplenet, ainsi qu'au sein des centres de données eux-mêmes. Sauf indication contraire pour les Services (y compris dans la Commande, le Contrat applicable ou la documentation Utilisateur des Services), les transmissions de données en dehors de l'environnement du Service sont cryptées. Certaines fonctionnalités des Services peuvent permettre au Client de choisir des communications non cryptées dans son utilisation du Service. Le Client est seul responsable des résultats de sa décision d'utiliser de telles communications ou transmissions non cryptées. 

Contrôle d'entrée

La source des Données Personnelles est sous le contrôle du Client, et l'intégration des Données Personnelles dans le système est gérée par transfert de fichiers sécurisé, via des services Web ou saisies dans l'application depuis le Client. Comme indiqué dans la section Contrôle de transmission ci-dessus, certaines fonctionnalités des Services permettent aux Clients d'utiliser des protocoles de transfert de fichiers non cryptés. Dans de tels cas, le Client est seul responsable de sa décision d'utiliser ces protocoles de transfert de champ non cryptés. 

Les Services n'introduiront aucun virus dans les Données Client ; cependant, les Services ne recherchent pas les virus qui pourraient être inclus dans les pièces jointes ou autres Données personnelles téléchargées dans les Services par le Client. Les pièces jointes téléchargées ne seront pas exécutées dans les Services et n'endommageront ni ne compromettront donc pas le Service.

Contrôle du réseau

Simplenet bloque le trafic non autorisé vers et à l'intérieur des centres de données à l'aide d'une variété de technologies telles que des pare-feu, des NAT, des réseaux locaux partitionnés et la séparation physique des serveurs principaux des interfaces publiques.

Simplenet utilise plusieurs couches de périphériques réseau et de détection d'intrusion pour protéger sa surface d'attaque externe. Simplenet prend en compte les vecteurs d'attaque potentiels et intègre des technologies spécialement conçues et appropriées dans les systèmes externes.

Simplenet et le personnel autorisé surveilleront les services pour détecter les intrusions non autorisées à l'aide de mécanismes de détection d'intrusion basés sur le réseau. La détection des intrusions vise à fournir un aperçu des activités d'attaque en cours et à fournir des informations adéquates pour répondre aux incidents. La détection des intrusions de Simplenet implique un contrôle strict de la surface d'attaque des communications réseau grâce à des mesures préventives telles que des pare-feu, l'utilisation de contrôles de détection intelligents aux points d'entrée de données et l'emploi de technologies qui remédient automatiquement à certaines situations dangereuses.

Réponse aux incidents

Simplenet maintient des politiques et procédures de gestion des incidents de sécurité et surveille une variété de canaux de communication pour les incidents de sécurité. Le personnel de Simplenet réagira rapidement aux incidents connus et informera rapidement le client dans le cas où Simplenet aurait connaissance d'une divulgation non autorisée réelle ou raisonnablement suspectée de données personnelles.

Journaux système

Simplenet garantit que les systèmes de traitement utilisés pour stocker les informations du journal des données client dans leur installation de journal système respective. Les entrées du journal sont conservées en cas de suspicion d'accès inapproprié et qu'une analyse est requise. La journalisation est conservée en toute sécurité pour éviter toute falsification.

Fiabilité et sauvegarde

Pour les Services, Simplenet veille à ce que des sauvegardes soient effectuées régulièrement. Les sauvegardes sont sécurisées à l'aide d'une combinaison de contrôles techniques et physiques. 

Simplenet garantit que les systèmes sur lesquels les données client sont stockées disposent d'une fonction de reprise après sinistre et sont régis par un plan de reprise après sinistre. Dans le cas où les installations de production seraient rendues indisponibles, Simplenet exécutera des plans de rétablissement pour rétablir les opérations en temps opportun. Simplenet a conçu, planifie et teste régulièrement ses plans de reprise après sinistre.

Destruction de données

Lorsque les clients suppriment des données ou quittent le service, Simplenet garantit que les données sont supprimées conformément aux termes de l'accord applicable. Pour certains disques, Simplenet suit des normes strictes et rigoureuses qui exigent l'écrasement des ressources de stockage avant leur réutilisation, ainsi que l'élimination physique du matériel mis hors service. Les centres de données de production du sous-traitant Simplenet emploient des procédures strictes pour la réutilisation, le redéploiement, la destruction des données et la mise hors service des disques et du matériel.

Sécurité du sous-traitant

Avant d'intégrer les sous-traitants, Simplenet effectue un audit des pratiques de sécurité et de confidentialité des sous-traitants pour garantir que les sous-traitants fournissent un niveau de sécurité et de confidentialité approprié à leur accès aux données et à l'étendue des services qu'ils sont engagés à fournir. Le sous-traitant ultérieur est tenu de conclure des conditions contractuelles appropriées en matière de sécurité, de confidentialité et de confidentialité.

Modifications et améliorations du système

Simplenet peut améliorer et mettre en œuvre des modifications dans les services pendant la durée du contrat. Les contrôles de sécurité, les procédures, les politiques et les fonctionnalités peuvent changer ou être ajoutés. Simplenet fournira des contrôles de sécurité qui offrent un niveau de protection de sécurité qui n'est pas sensiblement inférieur à celui fourni à la date d'entrée en vigueur.

---

Annexe 3 : Liste des sous-traitants ultérieurs

Disponible sur demande.