Avenant de traitement des données

1. Définitions

Les termes employés dans le présent ATD ont la même signification que dans le Règlement général sur la protection des données du Royaume-Uni (UK GDPR) et, le cas échéant, dans le RGPD de l'UE. Lorsque le présent ATD fait référence à la « Législation applicable en matière de protection des données », cela désigne, selon le cas, le UK GDPR, le Data Protection Act 2018 (loi britannique sur la protection des données), le RGPD de l'UE, le Privacy and Electronic Communications Regulations 2003 (règlement sur la confidentialité et les communications électroniques), ainsi que toute autre loi ou directive en matière de protection des données émanant d'une autorité de contrôle compétente et applicable aux activités de traitement des parties.

2. Objet et rôles

L'objet du traitement au titre du présent ATD est constitué par les données à caractère personnel soumises aux Services par le Client ou en son nom, telles que décrites plus en détail à l'Annexe A. Le Client est le responsable du traitement et Specialist Electronics Ltd est le sous-traitant de ces données à caractère personnel. Lorsque Specialist Electronics Ltd traite des données à caractère personnel à ses propres fins (par exemple, analyses internes, prévention de la fraude, ou respect d'obligations légales telles que la tenue de registres AML/KYC), Specialist Electronics Ltd agit en qualité de responsable du traitement et la Politique de confidentialité s'applique.

3. Obligations du sous-traitant

Nous nous engageons à :

• Traiter les données à caractère personnel uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts vers un pays tiers, sauf si la loi l'exige (auquel cas nous informerons le Client de cette obligation légale avant le traitement, à moins que cette loi ne l'interdise pour des motifs importants d'intérêt public).
• Veiller à ce que les personnes autorisées à traiter les données à caractère personnel aient pris l'engagement de respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
• Prendre toutes les mesures requises en vertu de l'Article 32 du UK/EU GDPR, telles que précisées à l'Annexe B.
• Respecter les conditions d'engagement des sous-traitants ultérieurs énoncées à la clause 6.
• Compte tenu de la nature du traitement, assister le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, dans l'accomplissement de son obligation de répondre aux demandes des personnes concernées exerçant leurs droits au titre de la Législation applicable en matière de protection des données.
• Assister le Client pour garantir le respect de ses obligations au titre des Articles 32 à 36 du UK/EU GDPR, en tenant compte de la nature du traitement et des informations dont nous disposons.
• Au choix du Client, supprimer ou lui restituer toutes les données à caractère personnel après la fin de la prestation de services, et supprimer les copies existantes, sauf si leur conservation est exigée par la Législation applicable en matière de protection des données.
• Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent ATD, et permettre et contribuer aux audits, notamment aux inspections, effectués par le Client ou par un autre auditeur mandaté par le Client (sous réserve des conditions énoncées à la clause 8).

4. Obligations du Client

Le Client garantit qu'il a fourni tous les avis requis et, le cas échéant, obtenu tous les consentements nécessaires des personnes concernées pour permettre notre traitement de leurs données à caractère personnel dans le cadre de l'accord et du présent ATD. Le Client est responsable de l'exactitude des données à caractère personnel qu'il soumet, du fait que ses instructions respectent la Législation applicable en matière de protection des données, et de l'évaluation de la légalité de toute divulgation de données à caractère personnel à Specialist Electronics Ltd au titre du présent ATD.

5. Sécurité

Nous mettrons en œuvre et maintiendrons les mesures techniques et organisationnelles énoncées à l'Annexe B. Nous pouvons mettre à jour ces mesures périodiquement, à condition que le niveau de sécurité ne soit pas substantiellement réduit.

6. Sous-traitants ultérieurs

7. Transferts internationaux

Lorsque le traitement des données à caractère personnel au titre du présent ATD implique un transfert de données à caractère personnel hors du Royaume-Uni ou de l'Espace économique européen vers un pays qui n'a pas fait l'objet d'une décision d'adéquation, les parties conviennent d'être liées par l'UK International Data Transfer Agreement (accord britannique sur les transferts internationaux de données) ou par les Clauses contractuelles types de l'UE (Module Deux : Responsable du traitement vers Sous-traitant) (les « CCT »), complétées si nécessaire par l'UK Addendum aux CCT. Les CCT sont incorporées par référence dans le présent ATD. En cas de conflit entre le présent ATD et les CCT, les CCT prévalent.

8. Audits

À la demande du Client et au plus une fois par année civile (sauf en cas de violation de données à caractère personnel), nous mettrons à disposition les informations raisonnablement nécessaires pour démontrer notre conformité au présent ATD, notamment en répondant à un questionnaire d'audit écrit et en communiquant les résultats des certifications et rapports d'audit tiers pertinents (tels que ISO 27001 ou SOC 2, lorsque nous en disposons). Tout audit sur site sera réalisé aux frais du Client par un auditeur tiers indépendant raisonnablement acceptable par Specialist Electronics Ltd, moyennant un préavis d'au moins 30 jours, pendant les heures normales d'ouverture, et d'une manière qui n'interfère pas indûment avec nos activités ni n'expose les données à caractère personnel d'autres clients.

9. Violation de données à caractère personnel

Nous notifierons le Client sans délai indu (et en tout état de cause dans un délai de 72 heures) après avoir pris connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel du Client. La notification décrira, dans la mesure où l'information est disponible à ce moment, la nature de la violation (y compris les catégories et le nombre approximatif de personnes concernées et de registres en cause), indiquera le point de contact pour obtenir de plus amples informations, décrira les conséquences probables et décrira les mesures prises ou envisagées pour remédier à la violation et atténuer ses effets négatifs.

10. Demandes des personnes concernées

Si une personne concernée nous contacte directement pour exercer ses droits au titre de la Législation applicable en matière de protection des données en rapport avec des données à caractère personnel que nous traitons pour le compte du Client, nous informerons la personne concernée de prendre contact directement avec le Client et (dans la mesure où cela est compatible avec nos obligations légales) transmettrons la demande au Client. Nous assisterons le Client pour répondre à ces demandes par des mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement.

11. Restitution ou suppression

À la résiliation de l'accord sous-jacent, et au choix du Client notifié par écrit dans un délai de 30 jours à compter de la résiliation, nous restituerons ou supprimerons les données à caractère personnel du Client, y compris toutes les copies, sauf si la loi applicable exige leur conservation. Lorsque des données à caractère personnel sont conservées pour des raisons légales, nous continuerons à leur appliquer le présent ATD.

12. Responsabilité

La responsabilité de chaque partie au titre du présent ATD est soumise aux limitations de responsabilité prévues dans l'accord sous-jacent, sauf si la Législation applicable en matière de protection des données en dispose autrement.

13. Ordre de préséance

En cas de conflit entre le présent ATD et l'accord sous-jacent, le présent ATD prévaut dans la mesure du conflit, sauf disposition expresse contraire dans les CCT.

Annexe A — Description du traitement

Objet

Fourniture des Services au Client telle que prévue dans l'accord sous-jacent.

Durée

Pour la durée de l'accord, augmentée de toute période pendant laquelle nous conservons des données à caractère personnel conformément au présent ATD ou à la loi applicable.

Nature et finalité

Hébergement, traitement, stockage, transmission et sauvegarde de données à caractère personnel dans le cadre des Services ; authentification des utilisateurs ; passation, exécution et assistance des commandes ; analyses ; sécurité.

Catégories de personnes concernées

Les utilisateurs finaux du Client (généralement des personnes physiques qui achètent auprès du Client via les Services), le personnel du Client et ses contacts autorisés, ainsi que tout autre individu dont les données à caractère personnel sont soumises aux Services par le Client.

Catégories de données à caractère personnel

Données de contact (nom, adresse e-mail, téléphone, adresse), données de compte, données de commande, métadonnées de paiement, contenu des communications, données de vérification d'identité le cas échéant, données d'appareil et de connexion, télémétrie de sécurité.

Catégories particulières

Images de documents d'identité pouvant contenir des données biométriques ; informations relatives à la nationalité pouvant figurer dans les documents d'identité.

Annexe B — Mesures techniques et organisationnelles

• Chiffrement : TLS 1.2 ou supérieur pour les données en transit ; AES-256 pour les données au repos dans le stockage en nuage ; chiffrement au niveau des colonnes pour les champs à haute sensibilité, le cas échéant.
• Gestion des identités et des accès : identifiants utilisateur uniques ; contrôles d'accès basés sur les rôles selon le principe du moindre privilège ; authentification multifacteur obligatoire pour les comptes administratifs.
• Cloisonnement : documents d'identité stockés dans un espace de stockage d'objets chiffré isolé de la base de données applicative ; environnements distincts pour le développement, la pré-production et la production.
• Journalisation et surveillance : journaux d'audit structurés pour les événements sensibles du point de vue de la sécurité ; alertes sur les comportements anormaux ; conservation des journaux avec accès restreint.
• Gestion des vulnérabilités : analyse des vulnérabilités des dépendances ; analyse périodique de l'infrastructure ; calendrier de correctifs documenté avec des SLA plus courts pour les vulnérabilités critiques.
• Réponse aux incidents : plan de réponse aux incidents documenté ; équipe d'astreinte ; guides de notification de violation alignés sur le présent ATD.
• Sauvegardes : sauvegardes chiffrées régulières ; procédures de restauration testées ; accès restreint aux supports de sauvegarde.
• Personnel : engagements de confidentialité à l'embauche ; formation annuelle à la sécurité ; révocation des accès lors de la départ des employés.
• Gestion des fournisseurs : diligence raisonnable avant l'intégration des sous-traitants ; accords de traitement écrits respectant l'Article 28 du UK GDPR ; réévaluation périodique.
• Continuité d'activité : infrastructure redondante ; objectifs de reprise documentés ; exercices de continuité périodiques.