Français
Français English 简体中文 Español
Français
Français English 简体中文 Español
Get in Touch

Accord sur le traitement des données

Ver 1.0 Dernière mise à jour : 21 décembre 2023

This Data Processing Agreement (“DPA”), effective as of December 21, 2023 by and between Client (“Data Controller” or “Client”) and Eton Solutions, L.P. (“Data Processor” or “Eton”) sets forth the terms and conditions relating to the privacy, confidentiality, security and protection of Personal Data (as defined below) associated with services rendered by, and/or products provided by, Processor to Controller (and/or its Affiliates) pursuant to any agreement between Eton and Client (and/or its Affiliates), regardless of whether such agreement exist as of or after the Effective Date (such agreement as applicable, the “Services Agreement”), which, together with this DPA, the “Agreement”).

1. Définitions

“Affiliates” means any entity that now or in the future directly or indirectly controls, is controlled by, or is under common control or ownership for as long as such control exists, where “control” (including the terms “controlled by” and “under common control with”) means the possession, directly or indirectly, of the power to direct, influence or cause the direction of the management policies of an entity, whether through the ownership of voting securities, by contract, or otherwise.

“Aggregate” means to combine information that relates to a group or category of individuals, from which individual identities have been removed, that is not linked or reasonably linkable to any individual or household, including via a device.

“Anonymization” shall have the meaning ascribed to it in the GDPR and shall also include “Deidentify” as defined in the CCPA and CPRA.

“CCPA” means the California Consumer Privacy Act of 2018, and its implementing regulations. “CPRA” means the California Privacy Rights Act of 2020, and its implementing regulations.

“Client Personal Data” means Personal Data Processed by the Eton as a Processor on behalf of Client or its Affiliate pursuant to the Services Agreement.

“Controller-to-Processor SCCs” means the Standard Contractual Clauses (Processors) in the Annex to the European Commission Decision of February 5, 2010, as they may be amended or replaced from time to time.

“Data Controller” means the entity which determines the purposes and means of Processing Personal Data.

“Data Processor” désigne l'entité qui traite les données à caractère personnel pour le compte du contrôleur des données.

“Data Protection Laws” means, as applicable to the parties, all applicable data protection laws, rules, regulations, directives and governmental requirements currently in effect and as they become effective relating in any way to the privacy, confidentiality, security or protection of Personal Data, and shall include the GDPR, the PDPA, the CCPA and the CPRA,

“Data Subject” means an identified or identifiable natural person to which the Personal Data pertains.

“Europe” or the “EU” means the European Economic Area plus Switzerland and the UK.

“GDPR” means collectively the General Data Protection Regulation 2016/679 of the European Parliament and of the Council of April 27, 2016 as amended or replaced from time to time, and the UK Data Protection Act of 2018 (“UK GDPR” as it forms part of retained EU law (as defined in the European Union (Withdrawal) Act 2018)).

“PDPA” means the Personal Data Protection Act of 2012.

"Données à caractère personnel désigne toute donnée, information ou enregistrement traité dans le cadre de l'accord de services (i) concernant une personne physique identifiée ou identifiable, ou (ii) qui identifie, concerne, décrit, est raisonnablement susceptible d'être associé ou pourrait raisonnablement être lié, directement ou indirectement, à une personne physique ou à un ménage particulier, quel que soit le support sur lequel il est conservé.

“Personal Data Breach” means the (1) breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or unauthorized access to Client Personal Data Processed under the Services Agreement, or (2) similar incident involving Client Personal Data.

“Process,” “Processing” or “Processed” désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

“Sell” a la signification qui lui est attribuée dans l'ACCP.

“Sensitive Personal Data” a le sens qui lui est donné dans le GDPR, la PDPA et l'ACPR.

“Standard Contractual Clauses” or “SCCs” means, as applicable, the Controller-to-Processor SCCs entered into between the parties.

“Supervisory Authority” means a government regulator or enforcement authority which has regulatory or enforcement authority with respect to the privacy, confidentiality, security or protection of Personal Data.

2. Nature of Data Processing

  1. 2.1 Processing Limitations. Eton will only Process Client Personal Data and Sensitive Personal Data in accordance with the processing schedule set out in Appendix 1 (Section A), on behalf of and in accordance with Client’s written instructions as set forth in, or pursuant to, the Services Agreement. Eton will treat Client Personal Data as confidential information and impose confidentiality obligations on all personnel who Process Client Personal Data. Eton will neither (i) Sell Client Personal Data or Sensitive Personal data; nor (ii) retain, use or disclose Client Personal Data (a) for any purpose other than for the specific purposes of performing under the Agreement, or (b) outside of the direct business relationship between Eton and Client (and its Affiliates).

    Si la loi applicable exige qu'Eton (ou, pour éviter tout doute, tout sous-traitant) effectue un traitement qui est ou pourrait être interprété comme étant incompatible avec les instructions du client, Eton informera rapidement le client de cette incompatibilité avant de commencer (ou de continuer) le traitement, à moins que la notification ne soit interdite par la loi.

  2. 2.2 Role of the Parties. As between Eton and Client (and its Affiliates), Client (or its Affiliate) is the Data Controller of Client Personal Data, and Eton is the Data Processor, which Processes Client Personal Data on Client’s (or its Affiliate’s) behalf and will have no ownership rights or interest in Client Personal Data. The Parties acknowledge and agree that (i) the Client Personal Data, that Client or its Affiliate discloses to Eton is provided to Eton for a business purpose, and Client does not Sell Personal Data to Eton in connection with the Agreement; and (ii) during the time the Client Personal Data and Sensitive Personal Data are Processed by Eton, Client (or its Affiliate) has no knowledge or reason to believe that Eton is unable to comply with the provisions of this DPA inform the Client (or its Affiliate) if they are unable to provide the services.

  3. 2.3 Anonymize or Aggregate Data. Eton may not Anonymize Client Personal Data and Sensitive Personal Data as part of its performance under the Services Agreement or for any other purpose, unless it receives Client’s prior written consent for such activities. If such consent is provided by Client, such Anonymization or Aggregation, as the case may be, can be performed only to the extent such activity meets the applicable standard required under the applicable Data Protection Laws. Eton may aggregate Client Personal Data and Sensitive Data as part of its performance under the Services Agreement to show statistics of performance of financial data.

3. Compliance with Applicable Law

Les parties se conforment aux lois sur la protection des données. Le présent DPA ne vise pas à réduire le niveau de protection applicable à chaque personne concernée. En cas de conflit entre le DPA et l'accord de services, les termes du DPA prévalent. En cas de conflit entre le présent DPA et les lois sur la protection des données, les dispositions des lois sur la protection des données applicables prévaudront. Conformément à la section 5 ci-dessous, Eton se conformera aux normes et exigences de l'industrie qui s'appliquent à Eton et qui concernent la vie privée, la confidentialité, la sécurité, la protection ou le stockage électronique des données personnelles du client. Si Eton estime qu'une instruction du client enfreint ou risque d'enfreindre la loi applicable, Eton en informera immédiatement le client.

4. Sub-Processors

  1. 4.1 Appointment of Sub-Processors. Eton will not subcontract any of its rights or obligations under the Agreement without Client’s prior written consent. Unless otherwise agreed upon in the Services Agreement, Client hereby consents to Eton’s use of its Affiliates as sub-processors and any other third parties as sub-processors if such third parties are specifically identified in the Services Agreement (including any applicable statement of work or order form). Eton shall provide Client with written notice of any intended changes to the authorized sub-processors and Client shall promptly notify Eton in writing of any objection to such changes which is reasonable and related to data protection. Where Eton, with the consent of Client which such consent will not be withheld except due to an objection as described above, subcontracts its obligations under the Services Agreement to a sub-processor that has been deemed capable of safeguarding Client Personal Data, Eton will only do so by way of a written agreement with such sub-processor that imposes privacy, confidentiality, security and data protection obligations on the sub- processor at least equivalent to those that are set out in this DPA, including the obligation to impose these obligations on any further sub-processor.

  2. 4.2 Liability. Eton will remain liable to Client for (i) its obligations under the Agreement even if such obligations are delegated to a sub-processor, including the proper and timely performance of services, and (ii) the acts or omissions of any person or entity to which Eton delegates any such obligation.

5. Security

  1. 5.1 Security Program. En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes concernées, Eton maintiendra ou fera maintenir un programme de sécurité de l'information raisonnable et approprié qui est conforme aux lois sur la protection des données et est conçu pour garantir raisonnablement la confidentialité, l'intégrité, la disponibilité et la résilience de toutes les données personnelles des clients.

  2. 5.2 Security Measures. Eton shall maintain reasonable and appropriate administrative, physical, technical (including electronic), and organizational security measures including, as appropriate: (i) encryption and pseudonymization; (ii) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; (iii) the ability to restore the availability and access to Client Personal Data in a timely manner in the event of a physical or technical incident; and (iv) a process for regularly testing, assessing and evaluating the effectiveness of those measures. Eton represents and warrants it has implemented the administrative, physical, technical and organizational security measures described in the attached Appendix 2 to protect Client Personal Data. Eton agrees to store Client Personal Data pursuant to the Services Agreement in the United States and further acknowledges that it shall not combine the Personal Data with the Personal Data of its Affiliates.

  3. 5.3 Access to Client Personal Data. Eton will ensure that Client Personal Data is only available to Eton personnel who have a legitimate business need to access the Client Personal Data, who are bound by legally enforceable confidentiality obligations, who have received training on applicable data protection policies and procedures, and who will only Process Client Personal Data in accordance with Client’s instructions. If Eton is unable to Process pursuant to Client instructions during the course of Processing Client Personal Data, Eton will promptly inform the Client.

  4. 5.4 Personal Data Breach Response and Notification. Eton will promptly within 72 hours and, without undue delay, notify Client of any Personal Data breach of which Eton becomes aware sending written notice via email Eton will provide further notice as available which will summarize in reasonable detail the nature of the Personal Data Breach, including the categories and approximate numbers of Data Subjects affected; whether the Client Personal Data is lost, stolen or compromised, if known; Eton’s appraisal of the consequences of the Personal Data breach; the corrective action taken or to be taken by Eton; any internal point(s) of contact responsible for managing or responding to the breach; and Eton’s Data Protection Officer or equivalent under applicable Data Protection Laws, if any. Eton will promptly take all necessary and advisable corrective actions and will cooperate fully with Client in all reasonable and lawful efforts to prevent, mitigate, or rectify such Personal Data breach. If according to the Client’s assessment, a Personal Data breach affecting Client Personal Data should be disclosed or reported to a third party, including Data Subjects, Supervisory Authorities or governmental authorities, Eton will fully cooperate with and assist Client in such reporting or disclosure within 72 hours.

6. Audits/Inspections

Eton will make available to Client all information necessary to demonstrate compliance with the obligations of this DPA. Client will have the right to verify compliance by Eton and any sub-processor with the terms of this DPA with respect to the Processing of Client Personal Data or to appoint a third-party auditor (non-competitor of Eton) under reasonable obligations of confidentiality to verify the same on Client’s behalf. Eton will grant Client, or its agents, access to the extent necessary to accomplish the inspection and review of all data processing facilities, data files and other documentation in relation to the Processing of Client Personal Data per the Agreement. Eton agrees to provide reasonable assistance to Client in facilitating this inspection function. Client will provide Eton 30 days prior written notice of the intent to audit and will not make such a request more than once a calendar year (unless there has been a Personal Data Breach affecting Client Personal Data). In the event Eton does not have the right to audit (or enforce Client’s right to audit) any sub-processor, Eton shall instead make available for Client’s review copies of certifications or reports demonstrating such sub-processor’s compliance with prevailing data security standards applicable to the Processing of Client Personal Data. Notwithstanding any contrary provision in this DPA, the parties agree that the audits described in the applicable Controller-to-Processor SCCs shall be carried out in accordance with this Section.

7. Eton’s Cooperation Obligation

  1. 7.1 Cooperation. Eton will provide reasonable assistance to Client with (i) responding to Data Subjects’ requests to exercise their rights under Data Protection Laws; (ii) assistance with Client’s performance of a data protection impact assessment with respect to the Processing of Client Personal Data under this DPA; and (iii) requests or investigations of Client by a Supervisory Authority with respect to the Processing of Client’s Personal Data under the Agreement. Eton has the right to charge a reasonable fee for fulfilling its obligations under this Section as well as reimbursement for all costs and expenses incurred.

  2. 7.2 Third Party Access Requests and Complaints. Eton notifiera rapidement au client, dans les 72 heures, toute demande ou plainte émanant d'une autorité de contrôle, d'un fonctionnaire, d'une personne concernée ou de tout autre tiers concernant les données personnelles du client ou les obligations du client en vertu des lois sur la protection des données. Eton informera le client de tout mandat, assignation ou autre demande similaire concernant les données personnelles du client au plus tard cinq (5) jours ouvrables après réception, à moins que la loi applicable ne l'interdise. Eton se conformera à toute demande de conservation du client concernant les données personnelles du client et fournira le soutien nécessaire pour que le client puisse se conformer aux demandes de tiers si le client ne peut pas raisonnablement obtenir ces informations.

8. Data Retention, Return and Deletion

  1. 8.1 Retention. Eton will not retain Client Personal Data any longer than is reasonably necessary to accomplish the intended purposes for which the Client Personal Data was Processed pursuant to the Agreement.

  2. 8.2 Return and Deletion. When Client Personal Data is no longer necessary for the purposes set forth in the applicable Services Agreement or promptly upon the expiration or termination of the Agreement, whichever is earlier, or at an earlier time as Client requests in writing, Eton will (i) return to Client, in the format and on the media requested by Client, all or, if specified by Client, any part of the Client Personal Data; and (ii) destroy all, or if specified by the Client, any part of the Client Personal Data in Eton’s possession or control; provided that: (a) in the event Client requests such return or destruction, to the extent Eton is precluded from or delayed in fulfilling its obligations under the Services Agreement without such Client Personal Data, such failure or delay shall not constitute a breach of those obligations; and (b) copies of such Client Personal Data may be retained to the extent they are electronically stored pursuant to Eton’s ordinary course back-up procedures (including, without limitation, those regarding electronic communication) so long as such Client Personal Data is kept confidential as otherwise required under this DPA. The foregoing obligations will also apply to Client Personal Data held by sub-processors to the extent permitted by Eton’s agreement with such sub-processors. Eton will provide a certification of destruction if requested. If applicable law does not permit Eton to comply with the return or destruction of Client Personal Data, Eton agrees such retained Client Personal Data shall remain with Eton’s possession subject to the terms of this DPA and shall return or destroy such Client Personal Data when permitted by applicable law.

9. Transferts internationaux de données

  1. 9.1 Transfer Mechanism. Si les services et/ou produits fournis par Eton dans le cadre du contrat de services impliquent un transfert international de données personnelles du client régies par les lois sur la protection des données, ce transfert n'aura lieu que si (selon le cas) : (i) le pays ou le territoire vers lequel le transfert doit être effectué se trouve dans l'Espace économique européen ou en Suisse ; (ii) la Commission européenne ou l'autorité de surveillance compétente a jugé le pays ou le territoire vers lequel les données sont transférées adéquat pour la protection des données ; ou (iii) Eton peut fournir des garanties appropriées conformément aux lois sur la protection des données en vigueur. Ces garanties appropriées peuvent inclure, sans s'y limiter, la mise en place de règles d'entreprise contraignantes, un traitement conforme au système de règles transfrontalières de protection de la vie privée de l'APEC, ou l'adhésion à un mécanisme de certification, un mécanisme contractuel ou un code de conduite qui a été approuvé par l'autorité de contrôle compétente.

  2. 9.2 Standard Contractual Clauses. Si aucun des mécanismes susmentionnés de la section 9.1 ne s'applique au transfert de données à caractère personnel hors d'Europe, le transfert des données à caractère personnel du client sera soumis à la version européenne inchangée des CCN applicables entre le contrôleur et le sous-traitant. Les CCAP sont réputés incorporés par référence dans le présent document (une signature de la présente DPA est réputée être une signature des CCAP applicables). Aux fins des CSC : (i) le client est considéré comme l'exportateur de données et Eton comme l'importateur de données. Toute référence à la directive 95/46/CE dans les CCN sera interprétée comme une référence aux dispositions appropriées du GDPR, de la loi britannique sur la protection des données de 2018 ou de la loi fédérale suisse sur la protection des données de 1992, dans la mesure du possible et selon le cas. Aucune disposition du présent DPA ne doit être interprétée comme prévalant sur une clause contradictoire des CSC, à moins qu'une disposition du présent DPA ne prévoie des garanties supplémentaires par rapport à celles contenues dans la clause contradictoire des CSC, auquel cas la disposition du présent DPA sera réputée compléter et s'ajouter à cette clause des CSC et ne pas entrer en conflit avec elle. Eton reconnaît avoir eu la possibilité d'examiner les CSC applicables.

  3. 9.3 Controller-to-Processor SCCS. Aux fins des CCAP entre contrôleurs et sous-traitants : (i) le droit applicable dans la clause 9 est le droit de la juridiction dans laquelle l'exportateur de données est situé ; (ii) la clause d'indemnisation illustrative des CCAP entre contrôleurs et sous-traitants est réputée ne pas s'appliquer en vertu de la présente section ; et (iii) sauf accord contraire des parties, les annexes 1 (section A) et 2 du présent DPA s'appliquent et sont réputées être les annexes 1 et 2 des CCAP entre contrôleurs et sous-traitants.

  4. 9.4 Alternative Data Transfer Mechanisms. Transfer mechanisms, other than those outlined in Section 9.1 – 9.3 above that are approved under Data Protection Laws can be relied upon if applicable. The parties agree to use reasonable efforts to put these alternative mechanisms in place, where required, and to amend this DPA as necessary to ensure compliant transfer mechanisms should there be a change in Data Protection Law. In particular, if the SCCs are amended, replaced, or repealed by the European Commission or under Data Protection Laws, the parties will work together in good faith to enter into any updated version of the SCCs or negotiate in good faith a solution to enable an international transfer of Personal Data to be conducted in compliance Data Protection Laws.

  5. 9.5 International Transfer of Client Personal Data from Eton to Third Parties. Eton will not transfer Client Personal Data, internally or to sub-processors, from any jurisdiction that restricts the international transfer of Personal Data to areas outside that jurisdiction without prior approval of Client and only after taking steps, on an ongoing basis, to ensure such transfer complies with Data Protection Laws. If Eton discovers or reasonably believes any Client Personal Data has been or is being Processed in a jurisdiction without the implementation of a necessary data transfer agreement, Eton will promptly put such transfer agreement and provide prompt notice to Client.

  6. 9.6 Transfer of personal data outside Singapore: Eton will not transfer Client Personal Data to a place outside Singapore without the Client’s prior written consent. The Client provides consent, Eton will provide a written undertaking to the Client that the Client Personal Data transferred outside Singapore will be protected at a standard that is comparable to that under the PDPA. If Eton transfers Client Personal Data to any third party or sub-processor, then Eton shall procure the same written undertaking from such third party or sub-processor.

  7. 9.7 International Transfer Assessments. Eton effectuera et maintiendra pendant toute la durée du DPA une évaluation des transferts internationaux de données qui démontre sa conformité avec les termes de ce DPA et, le cas échéant, les CSC, en ce qui concerne les opérations de traitement spécifiques, y compris par ses affiliés et sous-traitants, les catégories de personnes concernées et de données personnelles du client traitées dans le cadre de ce DPA, et mettra cette évaluation à la disposition du client à sa demande. Eton confirme qu'elle contrôlera à tout moment sa capacité à effectuer des transferts internationaux de données personnelles du client et qu'elle maintiendra son évaluation des transferts internationaux de données. Eton coopérera avec le Client et lui fournira une assistance raisonnable en ce qui concerne la fourniture d'une telle évaluation à une autorité de contrôle.

  8. 9.8 Costs related to International Transfers of Personal Data to Third Countries. Sauf disposition contraire, chaque partie supporte les coûts occasionnés par les actions ou mesures prises par elle en vertu de la présente section.

10. Miscellaneous

  1. 10.1 Standard of Protection. Le présent DPA remplace toute disposition du contrat de services dans la mesure où cette disposition concerne la vie privée, la confidentialité, la sécurité ou la protection des données personnelles ; à condition, toutefois, qu'en cas de conflit entre le présent DPA et le contrat de services, Eton se conforme aux obligations qui assurent la meilleure protection des données personnelles du client.

  2. 10.2 Governing Law. This DPA and all claims or causes of action (whether in contract or tort) that may be based upon, arise out of or in any way relates to this DPA, will be governed by and construed in accordance with the laws identified in the Services Agreement, except to the extent that Data Protection Laws require otherwise. In such event, and to the extent so required, this DPA will be governed in accordance with such Data Protection Laws and, if applicable, be subject to the jurisdiction of the relevant data exporter that exported the Personal Data.

  3. 10.3 Changes in Data Protection Law. Eton will enter into any further agreement reasonably requested by Client for purposes of compliance with Data Protection Laws. In case of any conflict between this DPA and any such further privacy, confidentiality, security or data protection written agreement, such further written agreement shall prevail with regard to the Processing of Personal Data to which it applies.

  4. 10.4 Entire Agreement/Amendments. This DPA comprises the entire agreement between Client and Eton with respect to the subject matter hereof, and there are no other agreements, understandings, conditions, or representations, oral or written, expressed or implied, relating to the subject matter hereof, that are not merged into this DPA or superseded by it. No amendment to this DPA will be valid unless made in writing and signed by authorized representatives of all parties.

  5. 10.5 Third Party Beneficiaries. Dans la mesure où le présent DPA bénéficie et/ou concerne les sociétés affiliées du client, ces dernières sont des tiers bénéficiaires du présent DPA à toutes fins utiles, y compris, mais sans s'y limiter, pour l'application des dispositions du présent DPA.

  6. 10.6 Counterparts/Electronic Signature. This DPA may be executed in counterparts, each of which will be deemed an original, but all of which together will constitute one and the same instrument. This DPA or any counterpart may be exchanged electronically or stored electronically as a photocopy (such as in .pdf format). The parties agree that such electronically exchanged or stored copies will be enforceable as original documents. The parties hereby consent to the use of electronic and/or digital signatures for the execution of this DPA and further agree the use of electronic and/or digital signatures will be binding, enforceable and admissible into evidence in any dispute regarding this DPA.

Le client et Eton, chacun par l'intermédiaire de son représentant dûment autorisé, acceptent les termes et conditions de ce DPA à compter de la date d'entrée en vigueur.

Annexe 1 Calendrier des traitements

Les Données à caractère personnel du Client suivantes peuvent être transférées et traitées aux fins indiquées ci-dessous. Le cas échéant, la présente annexe fait partie des CCAP, qui sont réputés signés par les parties lors de la signature de l'Accord de services. Le cas échéant, la section A ci-dessous fait partie des CCAP entre le contrôleur et le sous-traitant.

Data exporter: L'exportateur de données désigne individuellement et collectivement le client et ses sociétés affiliées (telles que définies dans le contrat de services applicable), établis dans l'Espace économique européen (EEE), en Suisse et au Royaume-Uni.

Data importer: L'importateur de données est Eton s'il est établi en dehors de l'EEE, de la Suisse et du Royaume-Uni. Eton sera également considéré comme l'importateur de données lorsque les données à caractère personnel sont transférées de l'EEE ou de la Suisse vers le Royaume-Uni.

Section A (Traitement des données personnelles des clients)

Subject-matter: L'exportateur de données peut transférer les données personnelles du client à l'importateur de données en relation avec le service et/ou le produit fourni par Eton dans le cadre de l'accord de services.

Duration of the Processing: Pour la durée de l'accord de services.

Data subjects: The Client Personal Data transferred may concern the following categories of Data Subjects (please specify):

  • Les vendeurs et fournisseurs tiers, y compris les conseillers, consultants, experts professionnels et contacts marketing (qui sont des personnes physiques) et leurs employés.
  • D'autres personnes concernées peuvent être mentionnées dans un cahier des charges, un bon de commande ou un formulaire de commande dans le cadre de l'accord de services.

Categories of data: The Client Personal Data transferred may concern the following categories of data (or a subset of) (please specify):

  • Noms et coordonnées (y compris l'adresse du domicile et de l'entreprise)
  • Informations financières et d'identification du gouvernement
  • Informations bancaires
  • D'autres catégories de données peuvent être définies dans un cahier des charges, un bon de commande ou un formulaire de commande dans le cadre de l'accord de services.

Special categories of data (if appropriate): The Client Personal Data transferred may concern the following special categories of data (please specify):

  • Aucun n'est prévu.

Nature, purpose of the Processing and Processing operations: The Client Personal Data transferred will be subject to the following basic processing activities (please specify):

L'importateur de données traitera les données personnelles du client de l'exportateur de données comme indiqué dans l'accord de services dans le cadre de la fourniture de ses services et/ou produits. Ce traitement peut inclure toute opération telle que le transfert de données et toute collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction des données à caractère personnel du client (que ce soit ou non par des moyens automatisés).

Annexe 2

Mesures de sécurité

Ce qui suit détaille les mesures de sécurité administratives, physiques, techniques et organisationnelles d'Eton en ce qui concerne le traitement des données à caractère personnel. Le cas échéant, la présente annexe fait partie des clauses contractuelles types et est réputée signée par les parties lors de la signature du contrat de services.

Eton a mis en place plusieurs niveaux de contrôle conformes à la norme SSAE SOC 2 Type 2 pour protéger les actifs informationnels.

Les personnes

  • Sensibilisation et hygiène en matière de cybersécurité
  • Vérification des antécédents (criminels, éducation, emploi précédent, vérification de la solvabilité, pour n'en citer que quelques-uns)
  • Manuel de l'employé
  • Bulletins d'information et courriels pour renforcer la sensibilisation à la cybersécurité.

Processus

  • Politique et procédures en matière de sécurité de l'information
  • Politique d'utilisation acceptable
  • Procédure disciplinaire en cas d'infraction
  • Politique de gestion des changements
  • Politique de réponse aux incidents
  • Pratiques BCP et DR
  • Politique de gestion des tiers (fournisseurs)
  • Politique de classification des données
  • Accès aux données selon le principe du moindre privilège :
  • Besoin de faire
  • Droit à l'information
  • Politique du bureau clair et de l'écran clair.

Technique

  • Contrôles d'accès physiques
  • Contrôles d'accès basés sur les rôles avec définition granulaire des rôles.
  • Chiffrement des données au repos, en cours de traitement et en transit
  • Cryptage de l'ordinateur portable à l'aide du cryptage Windows Bit Locker.
  • Tous les accès à distance par VPN
  • Protection multicouche du réseau par l'utilisation de routeurs, de serveurs proxy, de pare-feu L7, de WAF
  • Système de détection d'intrusion 
  • Contrôle des journaux, détection et réponse aux incidents
  • Politique de durcissement des dispositifs.
  • Sauvegarde et récupération
  • Centre de sécurité Azure
  • Coffre-fort de clés Azure
  • Gestion des correctifs
  • Moteur anti-malware et AV