Convention

entre

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 Munich, Allemagne

- nommée par la suite « Mandataire » ou « Responsable du mandat » -

et ses clients

- nommés par la suite « Mandant » –

Avis

Le présent document décrit les conditions du Mandataire pour la convention relative au traitement du mandat entre Mandant et Mandataire en vertu de l'art. 28, par. 3 du RGPD. Le Mandant déclare accepter ces conditions dans le cadre de la conclusion d'un contrat d'utilisation via des services d'information en ligne ou autres du Mandataire (la « Convention de prestation ») ou – si une convention de prestation existe déjà – dans le cadre d'une déclaration ultérieure.

1. Objet et durée du mandat

(1) Objet

L'objet du mandat relatif à l'utilisation des données ressort de la Convention de prestation sous-jacente.

(2) Durée

La durée du présent mandat (durée de validité) correspond à la durée de validité de la Convention de prestation sous-jacente.

2. Mise en œuvre du contenu du mandat

(1) Type et finalité du traitement prévu des données
Le mandat comprend les traitements suivants :

  1. Traitement des données à caractère personnel saisies par le Mandant dans le cadre de l'utilisation des différents services d'information en ligne et qui doivent être traitées par le Mandataire pour la mise à disposition des fonctions du produit.
  2. Traitement des données à caractère personnel indispensables pour un accès possible par le Mandataire dans le cadre d'autres activités.
    • D'une part, un accès aux données à caractère personnel nommées en a) est possible dans le cadre d'analyses propres du Mandataire, comme l'analyse de fonctionnalités du produit à des fins d'optimisation du produit et de mesure de son succès et son utilisation. Dans ce cas, les données concernées par le mandant ne font pas partie de l'analyse et seront supprimées ou pseudonymisées/anonymisées par le Mandataire.
    • D'autre part, dans le cadre des services de maintenance et/ou d'assistance, l'accès à d'autres données personnelles stockées localement par le client est également possible.
  3. En outre, il peut être nécessaire pour le Mandataire de transmettre le NIV aux serveurs du fabricant respectif afin de pouvoir consulter les pièces à l'aide du NIV. Le fabricant ajoute au NIV certaines informations requises pour l'information sur les pièces et le renvoie au Mandataire. Le fabricant traite également le NIV à ses propres fins et est donc une personne responsable indépendante au sens du RGPD. Le Mandant autorise par la présente le Mandataire à transmettre le NIV au fabricant à cette fin.

(2) Type des données

Les types/catégories de données suivantes (énumération/description des catégories de données) font l'objet du traitement des données à caractère personnel.

  • Les numéros d'identification de véhicule (NIV) et/ou les numéros de plaque d'immatriculation fournis par le Mandant dans le service en ligne.
  • Les données client saisies dans le service en ligne par le Mandant, comme par exemple :
    • les données relatives à l'adresse dans le cadre de commandes de pièces
    • les adresses e-mail pour l'envoi de pages image-texte
  • Les données client saisies dans le service en ligne par le client final dans le cadre de l'enregistrement ainsi que
  • les données client enregistrées localement chez le Mandant (dans le cadre de la télémaintenance par le service clientèle)
    • les données personnelles de base
    • les données propres à la communication (p. ex. téléphone, e-mail)

(3) Catégories des personnes concernées

Les catégories des personnes concernées par le traitement comprennent :

  • les clients finaux du Mandant

(4) Le Mandataire se réserve le droit de rendre les données du Mandant anonymes ou de les agréger de manière à ce qu'il ne soit plus possible d'identifier les personnes concernées, et de les utiliser sous cette forme en vue d'une conception adaptée aux besoins, d'un perfectionnement ou d'une optimisation ainsi que pour la fourniture du service convenu conformément au contrat principal. Les parties conviennent que les données principales rendues anonymes ou, le cas échéant, agrégées conformément à la disposition ci-dessus ne seront plus considérées comme des données principales au sens du présent accord.

(5) Le Mandataire peut traiter et utiliser les données du client à ses propres fins sous sa propre responsabilité dans le cadre de ce qui est autorisé par la loi sur la protection des données, si cela est permis par une procédure d'autorisation légale ou une déclaration de consentement de la personne concernée. Le présent contrat ne s'applique pas à ce genre de traitement de données.

3. Lieu du traitement

La mise en œuvre du traitement des données convenu contractuellement a lieu en premier lieu en Allemagne ou dans un des États membres de l'Union européenne ou dans un autre État partie à l'accord sur l'Espace économique européen. Si des données sont également traitées dans un pays tiers par un sous-traitant, cela se fait exclusivement dans le respect des conditions particulières des articles 44 et suivants du RGPD.

4. Mesures techniques et organisationnelles

(1) Le Mandataire documente la mise en œuvre des mesures techniques et organisationnelles requises définies antérieurement à l'attribution du mandat, en particulier en ce qui concerne l'exécution concrète du mandat, et met cette documentation ainsi que la présente déclaration pour contrôle à la disposition du Mandant. En cas d'acceptation par le Mandant, les mesures documentées servent de base au mandat. Dans le cas contraire, les parties ne concluent pas de convention de prestation.

(2) Le Mandataire assurera la sécurité en vertu des art. 28, par. 3, al. c et 32 du RGPD, notamment en relation avec l'art. 5, par. 1 et par. 2 du RGPD. De manière générale, les mesures à prendre sont des mesures relatives à la sécurité des données et destinées à assurer un niveau de protection adapté au risque en termes de confidentialité, d'intégralité, de disponibilité et de résilience des systèmes. Le Mandataire prend en considération l'état de la technique, les coûts d'implémentation et le type, le volume et les finalités du traitement ainsi que les différentes possibilités de survenue et la gravité du risque pour les droits et les libertés des personnes naturelles en vertu de l'art. 32, par. 1 du RGPD [précisions dans l'annexe 1].

(3) Les mesures techniques et organisationnelles sont soumises aux progrès techniques et au perfectionnement. Le Mandataire a donc le droit de mettre en œuvre des mesures alternatives appropriées. Il ne doit alors pas descendre en dessous du niveau de sécurité des mesures définies. Il documentera toute modification significative.

5. Rectification, limitation et suppression des données

(1) Le Mandataire ne rectifiera, ne supprimera ou ne limitera pas le traitement des données confiées de sa propre initiative, mais uniquement sur instruction documentée du Mandant. Dans la mesure où une personne concernée s'adresse à ce propos directement au Mandataire, le Mandataire transmettra sans délai cette demande au Mandant.

(2) Dans la mesure où cela est inclut dans le volume de prestation, le Mandataire se chargera aussitôt après avoir reçu une instruction documentée du Mandant, du concept de suppression, du droit d'être oublié, de la rectification, de la portabilité des données et de la fourniture de renseignements. Toute instruction particulière déviant de la Convention de prestation ou établissant des exigences supplémentaires nécessite l'accord préalable du Mandataire. Il convient de prendre en compte que les services en ligne proposés par le Mandataire sont des produits standards dont l'adaptation aux exigences légales relatives à la protection des données du Mandant peut entraîner des frais importants. Ces frais sont entièrement à la charge du Mandant, après accord individuel correspondant.

6. Assurance qualité et autres devoirs du Mandataire

Le Mandataire doit non seulement observer les règles du présent mandat, mais aussi les obligations légales en vertu des art. 28 à 33 du RGPD. Dans ce cadre, il veille au respect des impératifs suivants :

  1. nomination écrite d'un responsable de la protection des données, qui remplit sa fonction conformément aux art. 38 et 39 du RGPD. Ses données de contact sont transmises au Mandant pour permettre une prise de contact directe. Tout changement de responsable de la protection des données doit être communiqué sans délai au Mandant.
  2. Le respect de la confidentialité conformément aux art. 28, par. 3, p. 2, al. b, 29 et 32, par. 4 du RGPD. Pour l'exécution des tâches, le Mandataire ne fait intervenir que des employés qui se sont engagés à respecter la confidentialité et qui ont été familiarisés préalablement avec les dispositions relatives à la protection des données en vigueur. Le Mandataire et toute personne subordonnée au Mandataire ayant accès aux données personnelles ne peuvent traiter ces données que conformément aux instructions du Mandant, y compris les autorisations accordées dans le présent contrat, à moins qu'ils ne soient obligés de traiter ces données par la loi.
  3. La mise en application et le respect de toutes les mesures techniques et organisationnelles nécessaires pour ce mandat conformément aux art. 28, par. 3, s. 2, al. c et 32 du RGPD [précisions, voir annexe 1].
  4. Le Mandant et le Mandataire collaborent sur demande avec l'autorité de contrôle dans l'accomplissement de leurs tâches.
  5. L'information immédiate du Mandant sur les actions de contrôle et les mesures de l'autorité de contrôle dans la mesure où elles se réfèrent au présent mandat. Cela vaut également si une autorité compétente enquête dans le cadre d'une procédure administrative d'infraction ou d'une procédure pénale en relation avec le traitement de données à caractère personnel lors du traitement du mandat chez le Mandataire.
  6. Dans la mesure où le Mandant est, de son côté, exposé à un examen de l'autorité de contrôle, à une procédure administrative d'infraction ou une procédure pénale, à la prétention en responsabilité d'une personne concernée ou d'un tiers ou d'un autre droit en relation avec le traitement du mandat chez le Mandataire, le Mandataire fera de son mieux pour l'aider.
  7. Le Mandataire contrôle régulièrement les processus internes ainsi que les mesures techniques et organisationnelles afin de garantir un traitement dans son domaine de compétence en accord avec les exigences du droit à la protection des données en vigueur et avec la protection des droits de la personne concernée.
  8. Les mesures techniques et organisationnelles prises doivent pouvoir être attestées envers le Mandant dans le cadre de son pouvoir de contrôle conformément au chiffre 7 du présent contrat.

7. Contrats de sous-traitance

(1) Sont considérés comme contrats de sous-traitance dans le sens du présent règlement, les prestations se rapportant directement à la fourniture de la prestation principale. N'en font pas partie les prestations annexes auxquelles le Mandataire a recours comme les services de télécommunication, les services postaux / de transport, la maintenance et le service utilisateur ou l'élimination des supports de données ainsi que toute autre mesure visant à garantir la confidentialité, la disponibilité, l'intégrité et la résilience du matériel et des logiciels des systèmes de traitement de données. Le Mandataire est toutefois tenu de prendre des mesures de contrôle et de conclure des accords contractuels appropriés conformes à la loi afin d'assurer la protection et la sécurité des données du Mandant, même pour les prestations annexes externalisées.

(2) Le Mandant communique au Mandataire par la présente l’autorisation générale de faire appel à d’autres responsables du mandat.

Le Mandant accepte la délégation du mandat aux sous-traitants suivants dans les termes d'un accord contractuel conformément à l'art. 28, par. 2-4 du RGPD :

Société sous-traitante

Adresse/Pays

Prestation

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 Munich
ALLEMAGNE

Mise à disposition de l’intégralité des services informatiques internes et externes

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Mise à disposition d'une assistance clientèle

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Mise à disposition d'une assistance clientèle

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Mise à disposition d'une assistance clientèle

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCE

Mise à disposition d'une assistance clientèle

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL

Mise à disposition d'une assistance clientèle

Element1 Media GmbH

Rüdesheimer Str. 21
80686 Munich
ALLEMAGNE

Traitement des données client saisies dans le cadre de l'enregistrement

Le remplacement du sous-traitant existant est autorisé dans la mesure où :

  • le Mandataire signale au Mandant une telle externalisation au sous-traitant par écrit ou sous forme de texte dans un délai préalable raisonnable et
  • le Mandant ne s'oppose pas au Mandataire par écrit ou sous forme de texte à l'externalisation prévue jusqu'au moment de la transmission des données et
  • un accord contractuel ou une déclaration contraignante conformément à l'art. 28, par. 2-4 du RGPD est pris(e) pour base.

(3) La transmission de données à caractère personnel du Mandant au sous-traitant et la première intervention de ce dernier ne sont autorisées que si toutes les conditions pour une sous-traitance sont remplies.

(4) Toute autre externalisation par le sous-traitant nécessite l'accord express du principal mandataire (au moins sous forme de texte) ; l'intégralité des dispositions contractuelles de la chaîne contractuelle vaut aussi pour le sous-traitant suivant.

8. Droits de contrôle du Mandant

(1) Le Mandant a le droit, en concertation avec le Mandataire, d'effectuer des contrôles ou, dans des cas particuliers, de faire effectuer ces contrôles par un contrôleur qu'il convient de nommer. Il a le droit de s'assurer du respect de la présente Convention par le Mandataire et son établissement commercial en effectuant des contrôles ponctuels durant les heures ouvrables habituelles, sans déranger le déroulement des activités chez le Mandataire, dans le respect absolu des secrets industriels et commerciaux du Mandataire et en les annonçant à temps.

(2) Le Mandataire veille à ce que le Mandant puisse s'assurer du respect des obligations du Mandataire en vertu de l'art. 28 du RGPD. Le Mandataire s'engage à communiquer les renseignements requis au Mandant, et à prouver en particulier la mise en œuvre des mesures techniques et organisationnelles. En général, le Mandant peut effectuer un contrôle par année civile. Dans le cas d'événements particuliers, d'autres contrôles sont autorisés.

(3) Le Mandataire est en droit de ne pas dévoiler, à son appréciation et en tenant compte des obligations légales du Mandant, des informations sensibles du point de vue des activités du Mandataire ou si le Mandataire est susceptible d'enfreindre des obligations légales ou contractuelles suite à leur révélation.

(4) Le Mandataire peut au choix fournir la preuve de telles mesures, qui ne concernent pas seulement le mandat concret, au lieu d'un contrôle sur site par

  1. le respect des codes de conduite convenus en vertu de l'art. 40 du RGPD ;
  2. la certification selon une procédure de certification autorisée en vertu de l'art. 42 du RGPD ;
  3. des attestations, rapports ou extraits de rapport actuels d'instances indépendantes (p. ex. expert-comptable, révision, responsable de la protection des données, service de sécurité informatique, auditeurs spécialisés en protection des données, auditeurs spécialisés en qualité) ;
  4. une certification propre par un audit sur la sécurité informatique ou la protection des données (p. ex. selon la protection informatique de base du BSI).

La condition est que ces mesures permettent au Mandant de s'assurer de manière raisonnable du respect des mesures techniques et organisationnelles conformément à l'annexe de la présente Convention.

(5) Pour la permission de contrôle accordée au Mandant, le Mandataire peut faire valoir un droit au paiement.

9. Notification en cas d'infractions du Mandataire

(1) Le Mandataire aide le Mandant à respecter les obligations mentionnées aux articles 32 à 36 du RGPD visant à assurer la sécurité des données à caractère personnel, les obligations de notification en cas de violations des données, les analyses d'impact concernant la protection des données et les consultations ultérieures. Parmi ces obligations figurent, entre autre :

  1. l'assurance d'un niveau de protection approprié par des mesures techniques et organisationnelles en prenant en considération le cadre et la finalité du traitement ainsi que la probabilité et la gravité pronostiquées d'une éventuelle violation par des lacunes sécuritaires et permettant un constat immédiat des faits de violation pertinents
  2. l'obligation de signaler toute violation des données à caractère personnel au Mandant
  3. l'obligation d'aider le Mandant dans le cadre de son devoir d'information face aux personnes concernées et de lui mettre sans délai à disposition toutes les informations pertinentes dans ce contexte
  4. l'aide au Mandant pour son analyse d'impact concernant la protection des données
  5. l'aide au Mandant dans le cadre de consultations préalables avec l'autorité de contrôle

10. Autorisation du Mandant de donner des instructions

(1) Le Mandant confirme sans attendre ses instructions orales (au moins sous forme de texte).

(2) Le Mandataire informe sans délai le Mandant s'il est d'avis qu'une instruction enfreint les règles relatives à la protection des données. Le Mandataire est en droit de suspendre l'exécution de l'instruction correspondante jusqu'à ce que le Mandant l'ait confirmée ou modifiée. Pour les frais engendrés chez le Mandataire, ce dernier peut faire valoir un droit au paiement auprès du Mandant.

11. Suppression et retour des données à caractère personnel

(1) Aucune copie ni duplicata ne seront générés à l'insu du Mandant. Cela ne vaut pas pour les copies de sûreté, dans la mesure où elles sont nécessaires à la garantie d'un traitement conforme des données, ainsi que pour les données nécessaires au respect des obligations légales de conservation.

(2) Après accomplissement des tâches convenues contractuellement ou avant sur demande du Mandant – au plus tard au terme de la Convention de prestation – le Mandataire est tenu de restituer au Mandant l'ensemble des documents entrés en sa possession, les résultats générés par le traitement et l'utilisation ainsi que les stocks de données en relation avec le Mandat, ou de les détruire conformément à la protection sur les données après accord préalable. Cela vaut aussi pour le matériel de test et le matériel résiduel. Le compte-rendu de la suppression sera présenté sur demande.

(3) Les documentations servant à prouver le traitement conforme aux règles et au mandat doivent être conservées par le Mandataire au-delà de la date de fin du contrat, conformément aux différents délais de conservation. Il peut les remettre au Mandant au terme du contrat afin de s'en décharger.

1. Confidentialité (art. 32 (1),b) du RGPD)

Contrôle d’accès

  • Badges
  • Cartes de code d’accès/transpondeur d’accès
  • Concept d’autorisation d’accès
  • Dispositifs de surveillance (surveillance vidéo p. ex.)
  • Disposition relative aux clés
  • Disposition pour les personnes extérieures à l’entreprise, badges visiteurs
  • Accompagnement des visiteurs par de propres collaborateurs
  • Enregistrements de présence des visiteurs
  • Protection également en dehors du temps de travail avec un dispositif d’alarme et/ou service de protection de l’entreprise
  • Zones de sécurité définies et accès contrôlé
  • Entrée sécurisée pour livraisons
  • Dispositif de sécurité de porte (ferme-porte électrique, lecteur de badges, moniteur télévisé, portier)
  • Contrôle par les collaborateurs (principe du double contrôle)
  • Mesures de sécurisation du bâtiment (par ex. vitrage spécial, dispositif d’alarme, surveillance du terrain)
  • Accès au centre de données sécurisé séparément
  • Conservation des serveurs dans des espaces verrouillables
  • Conservation des supports de données sous clé ou dans des espaces fermés
  • Conservation des sauvegardes des données (p. ex. bandes, CD) dans un coffre-fort
  • Consigne de délivrance des clés
  • Divers/spécification des mesures susnommées :

contrôle d’accès

  • Chiffrement des réseaux
  • Fermeture des installations de traitement des données
  • Identification d’un utilisateur par rapport à l’installation de traitement des données
  • Attribution et protection des clés d’identification
  • Protection par mot de passe des postes de travail sur écran
  • Utilisation fonctionnelle et/ou limitée dans le temps des postes de travail et des caractéristiques d’identification
  • Disposition relative à l’autorisation utilisateur
  • Utilisation de mots de passe individuels
  • Verrouillage automatique des comptes utilisateur après saisie erronée des mots de passe à plusieurs reprises
  • Verrouillage automatique de l’écran protégé par un mot de passe après période d’inactivité (écran de veille)
  • Directive sur le mot de passe avec exigences minimales sur la complexité du mot de passe et l’intervalle de mise à jour
  • Hachage des mots de passe enregistrés
  • Processus d’attribution des droits en cas d’arrivée de nouveaux collaborateurs
  • Processus de retrait des droits en cas de changements de service des collaborateurs
  • Processus de retrait des droits en cas de départ de collaborateurs
  • Engagement concernant le secret des données selon l’art. 28, par. 3, al. b du RGPD
  • Directives relatives à l’organisation des fichiers
  • Protocole et analyse de l’utilisation du système
  • Destruction contrôlée des supports de données
  • Instruction de travail et procédure de traitement pour la saisie des données
  • Procédure de contrôle et de déblocage des programmes
  • Divers/spécification des mesures susnommées :

Contrôle d’accès

  • Définition du droit d’accès, concept d’autorisation
  • Définition du droit de saisie, de modification et de suppression de données
  • Séparation du consentement à des droits (organisationnel) de
  • l’attribution des droits (technique)
  • Concept d’utilisation et d’attribution du disque dur
  • Disposition de restauration des données à partir de sauvegardes (qui,
  • quand, à la demande de qui)
  • Contrôle régulier des autorisations
  • Restriction de la possibilité de consultation
  • libre et non contrôlée des bases de données
  • Analyse régulière des protocoles (fichiers journaux)
  • Lecteur de badges au niveau du terminal
  • Possibilités d’accès partiel aux volumes de données et aux fonctions (lecture, écriture, exécution)
  • Protocole des accès, des suppressions et des modifications des fichiers
  • Scanner de logiciels malveillants sur les postes de travail
  • Filtrage des logiciels malveillants pour le web
  • Filtrage des logiciels malveillants/courriers indésirables pour e-mail
  • Pare-feux
  • Système de détection et de prévention d’intrusion (IDS/IPS)
  • Accès limité aux données journaux (uniquement pour les administrateurs de journaux)
  • Sauvegarde des données journaux sur un serveur de journaux dédié
  • Divers/spécification des mesures susnommées

Contrôle de séparation

  • Séparation des clients/mandants
  • Séparation du système productif, de développement et d’essai

2. Intégrité (art. 32 (1) b) du RGPD)

Contrôle de transmission

  • Echange sûr des fichiers (SFTP/FTPS)
  • Echange des données via une connexion HTTPS (TLS 1.1 et 1.2)
  • Définition du droit de transmission, concept d’autorisation
  • Contrôle par les collaborateurs (principe du double contrôle)
  • Entrée sécurisée pour livraisons
  • Gestion des supports de données, contrôle des stocks
  • Détermination des zones dans lesquelles les supports de données doivent se trouver
  • Chiffrement des supports de données confidentiels
  • Chiffrement des ordinateurs portables
  • Conservation des données à caractère personnel dans des
  • armoires verrouillables
  • Interdiction d’emmener des sacs et autres bagages dans les zones de sécurité
  • Suppression sûre des supports de données (par ex. destruction physique, multiples passages d’effacement)
  • Elimination sûre du papier : Récipients métalliques fermés (poubelles destinées à la protection des données)
  • Disposition relative à la réalisation de copies
  • Copies de sauvegarde des supports de données qui doivent être transportés
  • Consignes d’emballage et d’expédition
  • Chargement direct, service de messagerie, accompagnement au transport
  • Contrôle de conformité et d’exactitude

Contrôle de saisie

  • Marquage/classification des données saisies
  • Détermination des autorisations utilisateur (rôles/profils)
  • Autorisations utilisateur différenciées (lecture, modification, suppression des données, accès partiel aux données ou aux fonctions)
  • Détermination de l’organisation des compétences de saisie
  • Protocole des saisies/suppressions des données
  • Disposition relative aux périodes de conservation pour la révision / à des fins de référence

3. Disponibilité et résilience (art. 32(1) b) du RGPD)

Contrôle de disponibilité

  • Concept de sauvegarde des données et de sauvegarde
  • Contrôle régulier du concept de sauvegarde des données et de sauvegarde
  • Limitation d’accès au personnel requis dans les locaux du serveur
  • Installations de détection d’incendie dans les locaux du serveur
  • Installations automatiques d’extinction d’incendie dans les locaux du serveur
  • Agent d’extinction anti-incendie sans eau (extincteur CO2 p. ex.) dans les locaux du serveur
  • Locaux du serveur climatisés
  • Parafoudre/protection contre les surtensions
  • Alimentation sans interruption (ASI)
  • Installation auxiliaire d’alimentation
  • Capteurs d’eau dans les locaux du serveur
  • Hébergement des systèmes de sauvegarde dans des locaux et des compartiments coupe-feu séparés
  • Conservation des données dans des armoires de sauvegarde des données et des coffres-forts
  • Contrôle régulier de la capacité de restauration des supports de données de sauvegarde
  • Garantie de la lisibilité technique des supports de données de sauvegarde pour l’avenir
  • Stockage des supports de données de sauvegarde dans les conditions de stockage requises (climatisation, besoin de protection, etc.)
  • Accord sur la remise des sauvegardes (de données)
  • Analyse régulière des points faibles (protection du terrain, protection du bâtiment, pénétration dans les réseaux et les systèmes informatiques)
  • Système de sauvegarde redondant
  • Centres de donnés de secours

4. Restauration de la disponibilité et de l'accès (art. 32 (1) c) du RGPD

  • Plan de crise ou plan d’urgence (p. ex. eau, feu, explosion, menace d’attentats, effondrement, tremblement de terre)

5. Contrôle, analyse et évaluation (art. 32 (1) d) du RGPD ; art. 25 (1) du RGPD)

Procédure visant au test, à l'analyse et à l'évaluation réguliers

  • Processus défini de gestion de la protection des données
  • Processus défini de gestion des réponses aux incidents
  • Protection des données par défaut (art. 25 du RGPD))

Contrôle des commandes

  • Sélection du sous-traitant du point de vue du soin (en particulier relativement à la sécurité des donnés)
  • Conception du contrat conformément aux dispositions légales (art. 28 du RGPD)
  • Saisie centralisée des sous-traitants disponibles (gestion uniforme des contrats)
  • Contrôles préalables sur place auprès du sous-traitant avant le début du contrat
  • Contrôles réguliers sur place auprès du sous-traitant après le début du contrat (pendant la durée du contrat)
  • Contrôle du concept de sauvegarde des données auprès du sous-traitant
  • Examen des certificats de sécurité des informations du sous-traitant
  • Octroi des instructions d’amélioration de la protection des données par rapport au sous-traitant
  • Engagement des collaborateurs du sous-traitant de respecter les règles relatives à la protection des données.