Skip to Content
Go back
BAS-IP / ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

Dernière mise à jour : [12.10.2025]

Cet Addendum sur le traitement des données (ci-après « DPA ») est conclu entre vous (ci-après le « Client », « vous », « votre ») et BAS-IP DISTRIBUTION LTD (ci-après la « Société », « BAS-IP », « nous », « nous » ou « notre »), ci-après désignés individuellement comme « Partie » ou ensemble comme lesDes fêtes. Cette DPA complète les Conditions Générales (ci-après « Accord ») conclues entre les Parties.

Cette DPA régit le traitement des données personnelles que le client fournit à BAS-IP en lien avec l’utilisation des produits et services de BAS-IP (ensemble, les « Services »), ainsi que toute donnée personnelle que BAS-IP obtient au cours de l’exécution des services pour le client.

Sauf indication contraire dans cette DPA, tous les termes majuscules utilisés dans cette DPA auront les significations définies dans l’Accord. Cette loi de protection de l’intérêt (DPA) restera en vigueur jusqu’à la résiliation de l’accord entre vous et nous régissant votre utilisation des services. En cas de conflit entre cette DPA et l’Accord, les dispositions de cette DPA prévalent en ce qui concerne le traitement des données personnelles.

1. Définitions

Aux fins de cette DPA, les définitions suivantes s’appliquent :

« Données Client » désigne toutes les données personnelles que le Client télécharge, transmet ou fournit autrement à BAS-IP en lien avec les Services, ainsi que toute donnée personnelle traitée par BAS-IP au cours de l’exécution des Services.

« Lois sur la protection des données » désigne toutes les lois et réglementations applicables relatives au traitement des données clients, y compris celles de l’Union européenne, de l’Espace économique européen et de ses États membres, le Royaume-Uni, telles que :

  • le Règlement général sur la protection des données de l’UE (RGPD européen) ;
  • le Règlement général britannique sur la protection des données (RGPD britannique) ;
  • la loi sur la protection des données de 2018 ;
  • la loi sur les données (utilisation et accès) de 2025 (DUAA) ;
  • toute autre loi et réglementation applicable sur la protection des données, dans la mesure applicable aux Parties et aux activités de traitement en vertu de cette DPAn toute autre loi et réglementation applicable.

« Mécanisme de transfert de données » désigne tout mécanisme, instrument ou cadre légalement reconnu permettant le transfert de données clients d’une juridiction à une autre conformément aux lois applicables sur la protection des données, y compris, sans s’y limiter, les clauses contractuelles standard de l’UE et l’Addendum britannique.

SCC de l’UE» désigne les clauses contractuelles types de l’UE pour le transfert des données clients vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la décision de mise en œuvre (UE) 2021/914 de la Commission européenne du 4 juin 2021, tel que défini à https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

« Règlement général sur la protection des données (RGPD) » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en matière de traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

« Transfert international de données » désigne tout transfert de données clients d’un pays où les données sont collectées vers un pays en dehors de cette juridiction, où les lois applicables sur la protection des données exigent des garanties appropriées pour ce transfert.

« Autorité publique » désigne une agence gouvernementale ou une autorité chargée de l’application de la loi, y compris les autorités judiciaires.

« Données Clients Sensibles » désigne des données clients révélant une origine raciale ou ethnique, des opinions politiques, des croyances religieuses ou philosophiques, ou une appartenance syndicale, des données génétiques ou biométriques dans le but d’identifier de manière unique une personne naturelle, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations et infractions pénales.

« Services » désigne les services fournis par la Société au Client.

« Autorité de surveillance » désigne une autorité publique indépendante chargée de surveiller l’application de la législation sur la protection des données.

« Mesures de sécurité techniques et organisationnelles » désignent les mesures visant à protéger les données personnelles contre la destruction involontaire ou la perte, altération, divulgation ou accès non autorisé non intentionnel, en particulier lorsque le traitement implique la transmission de données via un réseau, et contre toute autre forme illégale de traitement.

« RGPD britannique » désigne la version conservée du Règlement général sur la protection des données de l’UE tel qu’il fait partie du droit britannique, ainsi que toute modification apportée par la loi sur la protection des données de 2018 et toute autre législation britannique applicable régissant le traitement des données personnelles.

« Addendum du Royaume-Uni » désigne l’Addendum sur le transfert international de données aux clauses contractuelles standard de l’UE publié par le Commissaire à l’information pour les parties effectuant des transferts restreints au sens des lois britanniques sur la protection des données, telles que définies à https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

« responsable », « traiteur », « sous-traitant », « personne concernée », « données personnelles » et « traitement » ont les significations données dans les lois sur la protection des données.

2. Rôles et responsabilités

Lorsque BAS-IP traite les données clients en votre nom dans le cadre des services, vous reconnaissez et acceptez que, concernant le traitement des données clients, vous êtes un responsable ou un traiteur, et nous sommes un traiteur ou sous-traiteur (tel que défini par les lois sur la protection des données) agissant en votre nom. Une description de ce traitement est présentée dans l’annexe 1 de cette DPA. Cette DPA s’applique en conséquence aux rôles établis et ne s’applique pas aux situations où nous agissons en tant que contrôleur conformément à la Politique de confidentialité de BAS-IP.

Si le client est un traiteur, il garantit à BAS-IP que les instructions et actions du client concernant les données personnelles, y compris la nomination de BAS-IP comme sous-traiteur et, le cas échéant, la conclusion des SCC de l’UE ou de tout autre addenda en vertu de la section 9 de cette DPA (y compris dans la mesure où ils peuvent être modifiés à la section 9 ci-dessous), ont été (et seront,  pour la durée de cette DPA, continuent d’être) autorisés par le responsable de contrôle tiers concerné.

3. Instructions

Les Parties conviennent que cette DPA et l’accord applicable constituent les instructions complètes et définitives documentées du Client concernant le traitement des données Client (ci-après les « Instructions ») lorsque le Client agit en tant que responsable ou traiteur et que BAS-IP agit en tant que traiteur ou sous-traiteur en vertu des lois sur la protection des données.

Toute instruction supplémentaire ou alternative doit être acceptée par écrit par les Parties et être conforme à la présente DPA et à l’Accord.

4. Description du traitement

Le traitement des données clients au nom du client dans le cadre des services est décrit dans l’annexe 1 de cette DPA. Nous nous réservons le droit de mettre à jour la description du traitement de temps à autre afin de refléter les nouvelles fonctionnalités faisant partie des Services.

5. Obligations du client

5.1. Obligations du contrôleur

Dans le cadre de la DPA, lorsque le client agit en tant que responsable de l’action, il est responsable de se conformer à toutes les exigences qui s’appliquent au client en tant que responsable en vertu des lois sur la protection des données.

Lorsque vous agissez en tant que contrôleur, vous devez :

(a) maintenir l’exactitude, la qualité, la confidentialité et la sécurité des données clients ;

(b) respecter et remplir vos obligations en vertu des lois sur la protection des données, notamment en ce qui concerne les droits des personnes concernées, la sécurité des données et la confidentialité, et veiller à disposer d’une base juridique appropriée pour le traitement des données personnelles ;

(c) fournir à BAS-IP uniquement les données clients obtenues légalement et garantir que ces données soient adéquates, pertinentes et proportionnées aux objectifs visés ;

(d) s’assurer que vos instructions à BAS-IP concernant le traitement des données clients respectent les lois sur la protection des données, y compris les principes de minimisation des données, de limitation de but et de stockage de la date.

5.2. Obligations du processeur

Dans le cadre de la DPA, lorsque le client agit en tant que prestataire, il est responsable de se conformer à toutes les exigences applicables au client en tant que prestataire de traitement en vertu des lois sur la protection des données.

Lorsque vous agissez en tant que Processeur, vous devez :

(a) fournir uniquement des instructions de traitement BAS-IP qui reflètent fidèlement les instructions documentées du contrôleur concerné ;

(b) fournir uniquement des données client obtenues légalement auprès du contrôleur concerné et qui sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les usages autorisés ;

(c) maintenir la transparence avec le contrôleur concerné concernant l’engagement de BAS-IP et de tout sous-processeur ;

(d) respecter toutes les obligations en vertu des lois applicables sur la protection des données en tant que prestataire de traitement ;

(e) s’assurer que votre personnel ou tout tiers accédant aux données clients respecte cette DPA et l’Accord.

6. Obligations BAS-IP

6.1. Obligations générales

Lorsque BAS-IP agit comme processeur/sous-processeur, nous devons :

(a) traiter les données clients selon vos instructions et exclusivement pour les usages spécifiés ;

(b) vous informer si, selon l’avis raisonnable de BAS-IP :

(i) vos instructions enfreignent ou peuvent enfreindre les lois applicables sur la protection des données ; ou

(ii) BAS-IP ne peut pas se conformer à vos instructions ;

(c) mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour garantir la confidentialité des données clients ;

(d) respecter toutes les lois applicables sur la protection des données, y compris les obligations relatives aux droits des personnes concernées, à la sécurité des données et à la confidentialité ;

(e) veiller, par contrats écrits ou autres moyens juridiquement contraignants, que tout sous-traitant chargé de traiter les données clients au nom de BAS-IP soit soumis à des obligations équivalentes de protection des données telles que définies dans cette DPA et l’Accord ;

(f) tenir des registres précis de toutes les activités de traitement effectuées en votre nom en vertu de cette DPA et vous fournir ces documents sur demande ;

(g) vous informer sans délai inutile si BAS-IP prend connaissance que toute donnée client fournie par vous est inexacte, incomplète ou obsolète ;

(g) appliquer les garanties ou restrictions appropriées et nécessaires lors du traitement des données sensibles des clients, comme l’exigent les lois sur la protection des données ou les instructions ;

(h) vous fournir toutes les informations raisonnablement nécessaires pour démontrer la conformité de BAS-IP à ses obligations en vertu des lois applicables sur la protection des données.

6.2. Avis à un client

Dès que nous en aurons connaissance, nous vous informerons de toute demande juridiquement contraignante de divulgation des données du client par une autorité publique, sauf si la loi nous interdit autrement d’informer le client, par exemple pour préserver la confidentialité d’une enquête menée par une autorité publique. Nous vous informerons si BAS-IP prend connaissance d’un avis, d’une enquête ou d’une enquête d’une autorité de surveillance concernant le traitement des données clients en vertu de cette DPA effectué entre vous et nous.

6.3. Confidentialité

Nous n’accédons pas, n’utiliserons et ne divulguerons à aucun tiers des données clients, sauf, dans chaque cas, si nécessaire pour maintenir ou fournir les Services ou pour respecter des obligations contractuelles et légales ou une ordonnance contraignante d’un organisme public (comme une assignation à comparaître ou une ordonnance du tribunal).

Nous veillerons à ce que tout employé/contractuel que nous autorisons à accéder aux données clients en notre nom soit soumis à des obligations de confidentialité, contractuelles ou obligations légales appropriées concernant les données clients.

6.4. Mesures de sécurité

Nous mettrons en œuvre et maintiendrons des mesures techniques et organisationnelles appropriées pour protéger les données des clients contre toute violation de données telle que la destruction, la perte, la modification ou la divulgation non autorisée ou l’accès non autorisé aux données clients transmises, stockées ou autrement traitées (ci-après les « Incidents de sécurité ») conformément à nos normes de sécurité définies dans l’annexe 2 de cette DPA.

Vous reconnaissez que les mesures de sécurité sont soumises à des progrès techniques, afin que nous puissions modifier ou mettre à jour l’annexe 2 de cette DPA à notre seule discrétion, à condition que cette modification ou mise à jour n’entraîne pas une dégradation significative des mesures de sécurité prévues par l’annexe 2 de cette DPA.

6.5. Incident de sécurité

Dès que nous aurons connaissance d’un incident de sécurité, nous serons :

  • vous informer sans délai après que nous aurions pris connaissance de l’incident de sécurité ;
  • fournir des informations en temps opportun relatives à l’incident de sécurité (type de données personnelles, catégories et nombre potentiel d’individus ou d’enregistrements concernés) au fur et à mesure qu’ils seront connus ou raisonnablement demandés par vous ; et
  • prenez rapidement des mesures raisonnables pour contenir et enquêter sur tout incident de sécurité afin de pouvoir informer les autorités compétentes et/ou les personnes concernées de l’incident de sécurité.

Notre notification ou réponse à un incident de sécurité ne doit pas être interprétée comme une reconnaissance de notre part de faute ou de responsabilité liée à cet incident de sécurité.

6.6. Retour ou suppression des données client

À la résiliation ou à l’expiration de l’accord conclu entre vous et nous, nous supprimerons ou retournerons toutes les données clients en notre possession ou sous notre contrôle. Cette exigence ne s’applique pas dans la mesure où la loi applicable ou les obligations contractuelles respectives nous sont tenus de conserver une partie ou la totalité des données clients.

6.7. Assistance raisonnable

Nous acceptons de fournir une assistance raisonnable au client concernant :

(a) toute demande d’une personne concernée concernant l’accès ou la rectification, l’effacement, la restriction, la portabilité, le blocage ou la suppression des données client que nous traitons au nom du client. Dans le cas où une personne concernée nous envoie une telle demande directement, l’article 7 de cette DPA s’applique ;

(b) l’enquête sur l’incident de sécurité et la communication des notifications nécessaires concernant ces incidents de sécurité, sous réserve de la section 6.5 de cette DPA ;

(c) la préparation d’évaluations d’impact sur la protection des données (les « DPIA ») et, si nécessaire, la consultation du client auprès de l’autorité de surveillance en vertu des articles 35 et 36 du RGPD.

6.8 Audit et certification

6.8.1 Audit de l’autorité de surveillance

Si une autorité de surveillance exige un audit de nos installations de traitement des données que nous utilisons pour traiter les données clients afin de vérifier ou de surveiller la conformité du client aux lois sur la protection des données, nous coopérerons à l’audit. Le Client est responsable de tous les coûts et honoraires liés à cet audit, y compris tous les coûts raisonnables et honoraires pour tout le temps que nous consacrons à un tel audit, en plus des tarifs pour les services que nous avons fournis.

6.8.2 Audits

Le Client peut, avant le début du traitement et à intervalles réguliers par la suite, auditer les mesures techniques et organisationnelles que nous avons prises. Si le Client est le responsable des traites des données personnelles traitées en son nom, sur accord raisonnable et opportun à l’avance, pendant les heures de bureau normales et sans interruption de nos activités, nous pouvons fournir au Client toutes les informations nécessaires pour démontrer le respect de ses obligations prévues à l’article 28 du RGPD et permettre et contribuer aux audits,  y compris des inspections, menées par le Client ou un autre auditeur mandaté par le Client concernant ce traitement.

Nous devons, sur demande écrite du Client et dans un délai raisonnable, fournir au Client toutes les informations nécessaires à cet audit, dans la mesure où ces informations relèvent de notre contrôle et que la loi applicable, un devoir de confidentialité ou toute autre obligation due à un tiers ne peut pas les divulguer.

7. Demandes de données

Dans le cas où une personne concernée nous contacterait concernant l’exercice de ses droits en vertu des lois sur la protection des données (en particulier, les demandes d’accès, de rectification ou de suppression des données clients), nous ferons tout notre possible pour vous transmettre ces demandes. Si nous sommes légalement tenus de répondre à une telle demande, nous vous en informerons immédiatement et vous fournirons une copie de la demande, sauf si nous en sommes légalement interdits.

8. Sous-processeurs

BAS-IP dispose de l’autorisation écrite générale du client pour l’engagement des sous-processeurs à partir d’une liste convenue. BAS-IP accepte d’informer le Client de toute modification prévue à cette liste concernant l’ajout ou le remplacement de sous-processeurs au moins 10 jours avant l’engagement du sous-processeur concerné, donnant ainsi au Client la possibilité de s’opposer à ces changements. BAS-IP doit fournir au Client les informations nécessaires pour lui permettre d’exercer son droit de s’opposer.

Si l’article 9 de cette DPA s’applique, la procédure d’engagement des sous-traiteurs sera régie par les dispositions pertinentes de la section 9 de cette DPA. Dans un tel cas, les dispositions de l’article 9 prévalent.

La liste convenue des sous-processeurs est définie dans l’annexe 3 de cette DPA.

9. Transferts de données clients

9.1. Général

Vous reconnaissez et acceptez que l’utilisation des services BAS-IP peut impliquer le transfert de données clients vers d’autres juridictions, conformément aux lois applicables sur la protection des données.

Lorsque ces transferts nécessitent des garanties appropriées, les mécanismes de transfert de données applicables seront utilisés, tels que les SCC de l’UE et l’Addendum du Royaume-Uni. Ces mécanismes de transfert de données sont intégrés à cette DPA et en font partie intégrante, comme décrit plus en détail dans les sections 9.2. et 9,3.

En cas de conflit entre les dispositions de cette DPA et les mécanismes de transfert de données applicables, les dispositions du mécanisme de transfert de données pertinent prévalent uniquement dans la mesure de ce conflit.

9.2. Transferts en vertu du RGPD

Lorsque le traitement des données clients en votre nom dans le cadre des services constitue un « transfert » en vertu du RGPD, des clauses contractuelles standard s’appliquent.

Lorsque vous êtes contrôleur, et que nous sommes un processeur, le module deux des SCC de l’UE s’appliquera, et lorsque vous êtes un traiteur, et que nous sommes sous-processeur, le module trois des SCC de l’UE s’appliquera.

Pour les besoins des SCC de l’UE, BAS-IP est un « importateur de données », et vous êtes un « exportateur de données ».

Les dispositions pertinentes contenues dans les CSC de l’UE sont incorporées par référence et font partie intégrante de ce DPA. Les clauses et annexes des CSC de l’UE sont considérées comme complétées comme suit :

(i) à la clause 7, la clause optionnelle de réduction ne s’applique pas ;

(ii) dans la clause 9, l’option 2 (autorisation écrite générale) s’appliquera. Aux fins de la clause 9(a), le délai pour informer l’Exportateur de Données sera de 10 jours ;

(iii) à l’article 11, la disposition facultative ne s’applique pas ;

(iv) à l’article 13, une option particulière s’applique selon le cas spécifique ;

(v) dans la clause 17, l’option 1 s’appliquera. Les SCS de l’UE sont régis par la loi de la République fédérale d’Allemagne ;

(vi) à l’article 18(b), les litiges doivent être tranchés par les tribunaux de la République fédérale d’Allemagne ;

(vii) L’annexe I des CSC de l’UE est considérée complétée avec les informations énoncées à l’annexe 1 de ce DPA ;

(viii) L’annexe II des CSC de l’UE est considérée comme complétée avec les informations énoncées à l’annexe 2 de ce DPA.

9.3. Transferts dans le cadre du Cadre britannique de protection des données

Lorsque le traitement des données clients en votre nom dans le cadre des services constitue un « transfert restreint » au sens des lois britanniques sur la protection des données, l’Addendum britannique s’applique.

Lorsque vous êtes contrôleur et que BAS-IP est un processeur, le module deux des SCC de l’UE s’appliquera, et lorsque vous êtes un processeur, et que nous sommes sous-processeurs, le module trois des SCC de l’UE s’appliquera, comme expliqué au paragraphe 9.2. de cette DPA.

Aux fins de l’Addendum britannique, BAS-IP est un « Importateur », et vous êtes un « Exportateur ».

Les dispositions pertinentes contenues dans l’Addendum britannique sont incorporées par référence et font partie intégrante de ce DPA. Les tableaux de l’Addendum britannique sont considérés comme complétés comme suit :

(i) Le tableau 1 de la Partie 1 est considéré comme complété avec les informations énoncées dans l’annexe 1 de ce DPA, et le numéro d’enregistrement officiel de l’importateur est 328138502, et le numéro d’enregistrement officiel de l’exportateur est contenu dans le compte du client, s’il y en a ;

(ii) Le tableau 2 de la Partie 1 est considéré comme complété en conséquence avec les informations énoncées au paragraphe 9.2. de cette DPA ;

(iii) Le tableau 3 de la Partie 1 est considéré comme complété avec les informations énoncées dans les annexes 1, 2 et 3 de ce DPA ;

(iv) dans le tableau 4 de la partie 1, aucune des parties ne peut mettre fin à cet addendum tel qu’énoncé à l’article 19 de l’addendum britannique.

ANNEXE 1 – DESCRIPTION DU TRAITEMENT

LISTE DES PARTIS

Client (Exportateur de données)

Nom : Toi, « Client »

Adresse : les informations pertinentes sont contenues dans le compte du client.

Nom, poste et coordonnées de la personne à contacter : les informations pertinentes figurent dans le compte du client.

Activités pertinentes pour les données transférées en vertu de ces clauses : fourniture des services.

Signature et date : les parties conviennent que l’exécution de l’accord par l’exportateur de données constitue l’exécution de ce DPA par l’importateur et l’exportateur de données. La date d’enregistrement du compte sur la Plateforme sera considérée comme la date de signature de ce DPA.

Rôle : contrôleur ou processeur

BAS-IP DISTRIBUTION LTD (Importateur de données)

Nom : BAS-IP DISTRIBUTION LTD

Adresse : Crown House, 27 Old Gloucester Street, Londres, Angleterre

Nom, poste et coordonnées de la personne à contacter : [veuillez insérer nom, poste et coordonnées, par exemple, email]

Activités pertinentes pour les données transférées en vertu de ces clauses : fourniture des services.

Signature et date : les parties conviennent que l’exécution de l’accord par l’exportateur de données constitue l’exécution de ce DPA par l’importateur et l’exportateur de données. La date d’enregistrement du compte sur la Plateforme sera considérée comme la date de signature de ce DPA.

Rôle : processeur ou sous-processeur

DESCRIPTION DU TRANSFERT

  1. Catégories de personnes concernées dont les données personnelles sont transférées :
  • Clients du client ;
  • d’autres personnes concernées dont les données personnelles sont transférées lors des services fournis par la Société au Client.
  • Catégories de données personnelles transférées :
  • données personnelles relatives aux clients du client ;
  • d’autres données personnelles pouvant être transférées lors des services fournis par la société au client.
  • Données sensibles transférées (le cas échéant) et appliquées restrictions ou garanties qui tiennent pleinement compte de la nature des données et des risques encourus :

L’importateur de données ne peut accéder à des données sensibles que lorsque ces données sont fournies par le client et uniquement dans la mesure nécessaire à l’exécution des services. Dans de tels cas, l’importateur de données met en œuvre les mesures techniques et organisationnelles énoncées à l’annexe 2, ainsi que toute autre garantie ou restriction appropriée et nécessaire, en tenant compte de la nature des données sensibles et des risques liés à leur traitement, en conformité avec les lois et réglementations applicables.

  • La fréquence du transfert :

Les données personnelles sont transférées de manière continue.

  • Nature du traitement :

Le traitement des données personnelles comprend les éléments suivants : collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, alignement ou combinaison, restriction, effacement ou destruction.

  • Objectifs du transfert des données et des traitements ultérieurs :

L’objectif du traitement des données en vertu de ces clauses est l’exécution des services pour l’Exportateur de Données par l’Importateur de Données en vertu de l’Accord conclu entre l’Importateur de Données et l’Exportateur de Données.

  • La période pendant laquelle les données personnelles seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période :

Les données personnelles seront conservées pendant toute la durée de ce DPA conclu entre l’Importateur et l’Exportateur de Données, sauf accord écrit contraire ou si la loi applicable exige que l’Importateur de données conserve une partie ou la totalité des données personnelles transférées.

  • Pour les transferts vers (sous-)processeurs, spécifiez également l’objet concerné, la nature et la durée du traitement :

Sujet : l’exécution des services

Nature : Collecte, enregistrement, organisation, structuration, stockage, adaptation ou altération, récupération, consultation, alignement ou combinaison, restriction, effacement ou destruction.

durée : l’exécution des services pour l’importateur de données par le (sous-)processeur en vertu de l’accord de service conclu entre l’importateur de données et le sous-processeur.

AUTORITÉ DE SUPERVISION COMPÉTENTE

Conformément à la clause 13, l’autorité de surveillance compétente en vertu de ces clauses est déterminée en fonction de la version de la clause 13(a) applicable à l’exportateur de données.

ANNEXE 2 – MESURES TECHNIQUES ET ORGANISATIONNELLES

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES, POUR GARANTIR LA SÉCURITÉ DES DONNÉES

Description des mesures techniques et organisationnelles mises en œuvre par le(s) Importateur(s) de données afin d’assurer un niveau de sécurité approprié, en tenant compte de la nature, de la portée, du contexte et de l’objectif du traitement ainsi que des risques pour les droits et libertés des personnes physiques :

  • Data Importer s’engage à préserver la confidentialité, l’intégrité, la disponibilité et la résilience de toutes les données personnelles concernées tout au long de ses activités de traitement et à garantir la protection des données personnelles contre la perte et la destruction en mettant en place des politiques, procédures internes appropriées de sécurité de l’information et d’autres mesures appropriées.
  • Data Importer accorde l’accès aux données personnelles strictement sur la base du besoin de savoir, et ces données ne sont accessibles qu’au personnel autorisé.
  • Data Importer a mis en place des listes de contrôle d’accès et de contrôle d’accès basées sur les rôles pour imposer une séparation stricte des droits d’accès des utilisateurs.
  • Les procédures de sécurité de l’information de Data Importer font l’objet d’examens réguliers.
  • Data Importer utilise des fournisseurs de services fiables et surveille les mesures techniques et organisationnelles mises en place pour garantir la protection des données personnelles en permanence.
  • Data Importer a mis en place des mesures visant à protéger la confidentialité et l’intégrité des données personnelles lors des transferts.
  • Data Importer a mis en place des mesures techniques et organisationnelles conçues pour contenir les incidents de sécurité et prévenir de nouvelles pertes et dommages aux données.

ANNEXE 3 – SOUS-PROCESSEURS

Le contrôleur a autorisé l’utilisation des sous-processeurs suivants :

Sous-processeur 1

Nom : Hetzner Online GmbH / Hetzner Finlande Oy

Adresse : Industriestr. 25, 91710 Gunzenhausen, Allemagne / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finlande

Nom, poste et coordonnées de la personne à contacter : [email protected] 

Description du traitement : hébergement des données sur les serveurs de Hetzner Online GmbH / Hetzner Finlande Oy

Sous-processeur 2

Nom : DigitalOcean, LLC

Adresse : 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, États-Unis

Nom, poste et coordonnées de la personne à contacter : [email protected] 

Description du traitement : hébergement des données sur les serveurs de DigitalOcean, LLC