Accord sur le traitement des données de commande
(Version 2024.01.08 - valide jusqu'au 2024.06.03)
Introduction
Par le contrat client, les parties ont conclu une relation de traitement des commandes conformément à la loi fédérale suisse sur la protection des données ("LPD") et au règlement général sur la protection des données de l'UE (RGPD de l’UE"). Afin de concrétiser les droits et obligations découlant de cette relation de traitement des commandes en ce qui concerne les prescriptions selon la LPD et le RGPD de l'UE, les parties concluent le présent accord. Cet accord complète le contrat client.
Les termes utilisés sont ceux de l'article 5 LPD.
1. Champ d’application
(1) Le présent accord s'applique à toutes les activités qui font l'objet du contrat avec le client et dans le cadre desquelles Skribble ou les sous-traitants auxquels Skribble fait appel en vertu du présent accord traitent des données personnelles concernant le client. Le présent accord ne s'applique que dans la mesure où (i) le client est soit le responsable du traitement, soit le sous-traitant dans le champ d'application de la LPD et/ou du RGPD de l’UE, et (ii) le client fait appel à Skribble en tant que sous-traitant ou sous-traitant de données personnelles relevant du champ d'application de la LPD et/ou du RGPD de l’UE ("données personnelles") dans le cadre du contrat client.
(2) Dans le cas où le client est lui-même le sous-traitant de ses propres clients et fait appel à Skribble en tant que sous-traitant, Skribble accorde par la présente aux propres clients du client les mêmes droits que ceux dont le client bénéficie en vertu du présent accord.
2. Concrétisation des obligations contractuelles
(1) Le traitement des commandes conventionné par les parties comprend des activités qui sont définies dans le contrat client. L'étendue détaillée des différentes activités découle du contrat client. Le présent accord complète les accords contractuels selon le contrat de client et les concrétise en ce qui concerne les prescriptions selon la LPD et le RGPD de l'UE.
(2) Les données personnelles/catégories de données personnelles suivantes font l'objet d'un traitement par Skribble ou peuvent faire l'objet d'un traitement :
- données personnelles de base des utilisateurs du système (par ex. prénom/nom, adresse e-mail, numéro de téléphone portable, pays)
- données de communication (par ex. prénom/nom, adresse e-mail, numéro de téléphone mobile, numéro de téléphone fixe, adresse IP)
- données de renseignement de tiers (par ex. si un contrôle d'identification pour SEQ existe chez Swisscom)
- Données personnelles contenues dans les documents téléchargés sur la plateforme Skribble.
(3) Les catégories de personnes concernées sont :
- les utilisateurs du système du client, c'est-à-dire les personnes du côté du client qui utilisent les services Skribble (en particulier les collaborateurs du client)
- les autres utilisateurs du système, c'est-à-dire les personnes invitées par le client à utiliser les services Skribble (par exemple, les employés d'un partenaire contractuel du client)
3. Responsabilité et pouvoir d'instruction
(1) Skribble traite les données personnelles exclusivement dans le but d'exécuter le contrat ou pour les finalités mentionnées dans le contrat client. Skribble ne traite les données personnelles à aucune autre fin et n'est notamment pas autorisée à les transmettre à des tiers (à l'exception des sous-traitants auxquels elle fait appel).
(2) Le client est responsable du respect des dispositions légales relatives à la protection des données, en particulier de la légalité de la transmission des données à Skribble et de la légalité du traitement des données par Skribble.
(3) Skribble peut traiter des données personnelles exclusivement dans le cadre des instructions du client. Une instruction est un ordre écrit du client visant à ce que Skribble traite les données personnelles de manière spécifique. Les instructions du client sont stipulées dans le présent accord et dans le contrat client. Le client a le droit de donner à tout moment des instructions écrites à Skribble, qui complètent, modifient ou remplacent les instructions existantes. Skribble est tenu de se conformer à ces instructions, dans la mesure où celles-ci sont réalisables et objectivement acceptables pour Skribble dans le cadre des prestations convenues par contrat. L'obligation de Skribble de donner des instructions ne disparaît que si Skribble a une obligation légale de traitement. Celle-ci doit être immédiatement communiquée au client et documentée.
(4) Les instructions du client doivent être adressées à l'équipe Customer Happiness de Skribble (dataprocessing@skribble.com). Le client communique à Skribble ses collaborateurs habilités à donner des instructions de manière appropriée (par exemple, par e-mail). Toute modification du destinataire des instructions (Skribble) et des collaborateurs autorisés à donner des instructions (client) doit être communiquée à l'autre partie.
(5) Skribble doit informer le client sans délai si Skribble estime qu'une instruction enfreint les dispositions légales relatives à la protection des données. Skribble est en droit de suspendre l'exécution de la directive correspondante jusqu'à ce qu'elle soit confirmée ou modifiée par le client.
4. Obligations de Skribble
(1) Skribble traite les données personnelles exclusivement conformément aux dispositions du présent accord et du contrat client. Le respect des exigences et des obligations légales, réglementaires ou administratives demeure réservé. Le client informe immédiatement Skribble s'il constate une violation des dispositions relatives à la protection des données dans la fourniture des prestations par Skribble.
(2) Skribble s'assure que les employés chargés du traitement des données personnelles n'ont pas le droit de traiter les données personnelles à d'autres fins que celles mentionnées dans le contrat du client ou en dérogation à cet accord. En outre, Skribble s'assure que les collaborateurs chargés du traitement des données personnelles sont tenus à la confidentialité et ont été informés des dispositions légales relatives à la protection des données qui les concernent. Cela comprend également l'information sur l'obligation de donner des instructions dans le cadre de cette relation de traitement de commande.
(3) Skribble met à la disposition du client, sur le site web, les coordonnées de la personne de contact responsable des questions de protection des données, qui assume également le rôle de conseiller en matière de protection des données ou de délégué à la protection des données conformément à la LPD ou au RGPD de l'UE.
(4) Skribble informe immédiatement le client des contrôles, mesures ou enquêtes menés par les autorités de surveillance.
(5) Skribble fournit au client, sur demande, toutes les informations pertinentes dont il a besoin, par exemple pour effectuer une analyse d'impact sur la protection des données, dans le cadre de la consultation de l'autorité de contrôle ou d'une notification à celle-ci.
(6) Skribble tient un registre des activités de traitement (art. 12 LPD et art. 30 al. 2 RGPD de l’UE) et communique la version actuelle au client sur demande. Sur demande du client, Skribble met à disposition du client des informations pour l'inscription dans son répertoire.
(7) Les autres obligations légales obligatoires de Skribble ne sont pas affectées par le présent accord.
5. Mesures techniques et organisationnelles (MTO)
(1) Skribble prend les mesures techniques et organisationnelles consignées dans l'annexe 1 pour protéger les données personnelles traitées ou pour garantir une sécurité des données adaptée au risque (art. 8 LPD et art. 32 al. 1 RGPD de l’UE). Le concept de sécurité qui y est décrit contient les mesures techniques et organisationnelles adaptées au risque identifié, en tenant compte des objectifs de protection selon l'état de la technique et en tenant compte en particulier des systèmes informatiques et des processus de traitement mis en œuvre chez Skribble.
(2) Les mesures techniques et organisationnelles sont soumises au progrès technique. Dans cette mesure, Skribble est autorisé à adapter à tout moment les mesures techniques et organisationnelles convenues ou à mettre en œuvre des mesures alternatives adéquates. Ce faisant, le niveau de protection convenu ne doit pas être inférieur. Les modifications importantes doivent être documentées. La mise en œuvre de mesures supplémentaires peut être convenue sous la forme d'un avenant au contrat.
6. Demandes des personnes concernées
Dans la mesure où une personne concernée s'adresse directement à Skribble en vue d'exercer ses droits (chapitre 4 LPD et chapitre III RGPD de l’UE, p. ex. droit d'accès, d'effacement, de rectification ou de transfert de données), Skribble transmettra immédiatement cette demande au client ou orientera la personne concernée vers le client, dans la mesure où une attribution au client est possible selon les indications de la personne concernée. Skribble ne peut fournir des informations directes à la personne concernée ou à des tiers qu'avec l'accord écrit préalable du client. Skribble apporte toutefois une aide raisonnable au client pour répondre à ces demandes et faire valoir les droits des personnes concernées.
7. Preuves et audits
(1) Skribble met à disposition du client, sur demande, toutes les informations pertinentes afin de documenter le respect des obligations selon la LPD/RGPD de l’UE et le présent accord.
(2) Le client ou un auditeur mandaté par lui peut, à des fins d'audit, s'assurer du respect des obligations selon le présent accord, en particulier du respect des mesures techniques et organisationnelles prises, dans les locaux de Skribble pendant les heures de bureau habituelles et sans perturber le fonctionnement de l'entreprise. Dans le cadre d'un tel audit, le principe de proportionnalité doit être respecté et les intérêts dignes de protection de Skribble (notamment les intérêts de confidentialité) doivent être préservés de manière appropriée. L'audit doit être annoncé avec un préavis d'au moins deux semaines. Si l'audit est réalisé sans préavis et en respectant ce délai, l'obligation de tolérance et de coopération de Skribble s'éteint, à moins que le client ne prouve qu'il a des raisons importantes de ne pas respecter l'obligation de préavis ou de respecter le délai. Le client supporte tous les coûts de tels audits.
(3) Sous réserve des droits d'audit légalement obligatoires du client ou de ses autorités de surveillance.
(4) S'il s'avère, après présentation de preuves ou de rapports ou dans le cadre d'un audit, que Skribble ne respecte pas certaines obligations selon le présent accord ou qu'il existe des lacunes dans la mise en œuvre, Skribble est tenu de mettre en œuvre immédiatement et gratuitement des mesures appropriées afin de remédier aux écarts constatés.
8. Notification en cas de violation des données (Data Breach)
Skribble informe le client dans les plus brefs délais si des violations de la protection des données personnelles sont portées à sa connaissance ou à celle de l'un de ses sous-traitants, et met à la disposition du client, sous forme de texte, toutes les informations pertinentes (type et ampleur de la violation, mesures correctives possibles, etc.). Dans un tel cas, les parties prennent les mesures nécessaires pour assurer la protection des données personnelles concernées et pour atténuer les éventuelles conséquences négatives pour les personnes concernées ainsi que pour les parties.
9. Lieu du traitement, communication à l'étranger, travail mobile
(1) Le traitement des données personnelles par le mandataire a lieu de préférence en Suisse et dans l'UE/EEE. Du point de vue de l'UE, la Suisse dispose d'une décision d'adéquation de la Commission européenne conformément à l'art. 45, al. 1 du RGPD de l'UE.
(2) La communication de données personnelles par Skribble à des destinataires situés en dehors de la Suisse ou de l'UE/EEE n'est autorisée que si Skribble respecte les dispositions des articles 16 et suivants de la LPD. LPD ou du chapitre V du RGPD de l'UE.
(3) Skribble peut autoriser ses employés chargés du traitement des données personnelles pour le client à traiter des données personnelles dans des installations de coworking, des domiciles privés ou d'autres lieux appropriés. Skribble doit veiller à ce que le respect des mesures techniques et organisationnelles convenues contractuellement soit également garanti lors du travail mobile. Skribble doit notamment veiller à ce que, lors du traitement de données personnelles en dehors des bureaux, les lieux de stockage soient configurés de manière à exclure tout stockage local de données sur les systèmes informatiques utilisés. Si cela n'est pas possible, Skribble s'assure que le stockage local est exclusivement crypté et que d'autres personnes n'ont pas accès aux données concernées.
10. Effacement et restitution des données
(1) Les supports de données et les ensembles de données mis à disposition restent la propriété du responsable. Aucune copie ou duplication n'est effectuée à l'insu du client. Font exception à cette règle les copies de sécurité, dans la mesure où elles sont nécessaires pour garantir un traitement correct des données, ainsi que les données nécessaires en vue de respecter les obligations légales de conservation de Skribble.
(2) Après l'achèvement des prestations convenues par contrat, ou plus tôt à la demande du client, mais au plus tard à la fin du contrat client, Skribble doit remettre au client tous les documents en sa possession, les résultats de traitement et d'utilisation ainsi que les données (ainsi que les copies ou reproductions de ceux-ci) qui sont en rapport avec la relation de commande, ou les détruire, avec l'accord préalable du client, selon une procédure correspondant au niveau de protection. Il en va de même pour le matériel de test et de rebut.
(3) Skribble peut conserver la documentation servant à prouver que le traitement des données est conforme à la commande et à la réglementation, conformément aux délais de conservation respectifs, au-delà de la fin du contrat. Alternativement, elle peut remettre la documentation au client à la fin du contrat afin de le décharger.
11. Sous-traitants
(1) Skribble est autorisé à faire appel à des sous-traitants. La liste des sous-traitants au moment de l'entrée en vigueur du présent contrat figure à l'annexe 2. Le client doit être informé au préalable si Skribble fait appel à de nouveaux sous-traitants ou remplace des sous-traitants existants après l'entrée en vigueur du présent contrat. Le client peut s'opposer à l'ajout d'un nouveau sous-traitant ou au remplacement d'un sous-traitant existant pour des raisons importantes liées à la protection des données dans un délai de 30 jours (à compter de la réception de l'information). S'il existe un motif important relevant de la protection des données et que les parties ne parviennent pas à trouver une solution à l'amiable, le client a le droit de résilier le contrat client de manière extraordinaire.
(2) Skribble s'engage à concevoir ses accords contractuels avec les sous-traitants auxquels elle fait appel de manière à assurer les obligations prévues par le présent accord, ce qui implique notamment l'existence de garanties suffisantes pour assurer une sécurité adéquate des données.
(3) Le client a le droit, sur demande écrite, d'obtenir de Skribble des informations sur le contenu essentiel de l'accord contractuel avec le sous-traitant concerné, sur la mise en œuvre par le sous-traitant des obligations relatives à la protection des données et sur les garanties permettant d'assurer une sécurité adéquate des données.
(4) Ne sont pas considérés comme des prestations de sous-traitants au sens de la présente réglementation les services que Skribble sollicite auprès de tiers en tant que prestations accessoires pour soutenir la fourniture de prestations conformément au contrat client, par exemple les services de télécommunication et la maintenance d'installations de traitement de données, pour lesquels l'accès à des données personnelles ne peut pas être exclu. Skribble est toutefois tenue, même pour de telles prestations annexes, de prendre des mesures techniques et/ou organisationnelles appropriées pour garantir la sécurité des données personnelles du client, ainsi que de prendre des mesures de contrôle.
12. Durée de validité
La durée du présent accord est déterminée par la durée du contrat client. En conséquence, cet accord prend fin à la fin du contrat client ou à la fin de l'utilisation des prestations de Skribble, dans la mesure où aucune obligation de plus longue durée ne résulte des dispositions de cet accord.
13. Responsabilité
(1) La responsabilité de Skribble envers le client pour des violations fautives de cet accord est régie par le contrat client, subsidiairement par les dispositions légales.
(2) Skribble est responsable des dommages causés par la faute de ses sous-traitants comme des dommages qu'elle cause elle-même.
(3) Skribble supporte la charge de la preuve que le dommage n'est pas la conséquence d'une circonstance qui lui est imputable. Skribble s'acquitte de son obligation de preuve si elle peut démontrer qu'elle a respecté les règles du présent accord lors du traitement des données personnelles et qu'elle a notamment mis en œuvre les mesures techniques et organisationnelles.
14. Dispositions finales
(1) Toute modification ou tout complément à la présente convention doit faire l'objet d'un accord écrit et d'une mention expresse précisant qu'il s'agit d'une modification ou d'un complément à la présente convention. Il en va de même pour la renonciation à cette exigence de forme.
(2) Aux fins du présent accord, on entend par écrit (i) un écrit (papier et signatures originales) ou (ii) une signature au moyen d'une signature électronique avancée ou de qualité.
(3) Si certaines dispositions ou parties du présent accord s'avéraient nulles ou inefficaces ou incomplètes, la validité du reste de la relation juridique établie par le présent accord n'en serait pas affectée. La nullité et/ou le caractère incomplet d'une disposition n'affecte pas la validité des autres dispositions. La disposition nulle, invalide et/ou incomplète est remplacée par une disposition de remplacement juridiquement valable des parties qui se rapproche le plus de la disposition invalide ou incomplète.
(4) Le présent accord remplace tous les accords, arrangements ou déclarations antérieurs relatifs au traitement des données de commande.
(5) En ce qui concerne le traitement des données de commande, le présent accord prévaut sur les conditions générales de Skribble ou sur tout autre accord entre les parties.
(6) En ce qui concerne le droit applicable et la juridiction compétente, les dispositions du contrat client entre Skribble et le client s'appliquent.
Annexe 1 - Mesures techniques et organisationnelles (MTO)
Version: 08.01.2024
La présente annexe 1 à l'accord sur le traitement des données de commande selon la LPD et le RGPD de l'UE décrit les mesures techniques et organisationnelles prises par Skribble pour protéger les données personnelles traitées ou pour garantir une sécurité des données adaptée au risque (art. 8 LPD et art. 3 RGPD de l’UE ainsi que art. 32 al. 1 RGPD de l'UE). Les mesures décrites ci-dessous s'appliquent aux cas où Skribble traite elle-même des données personnelles. En ce qui concerne le traitement de données personnelles par des sous-traitants auxquels il est fait appel, Skribble veille, par le biais d'accords contractuels appropriés, à ce que ces sous-traitants prennent des mesures techniques et organisationnelles adéquates et appropriées.
1. Pseudonymisation
Comment la pseudonymisation des données est-elle assurée ?
La pseudonymisation est le traitement de données personnelles de telle sorte que les données personnelles ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles telles que les données personnelles ne puissent pas être attribuées à une personne identifiée ou identifiable.
- Les données personnelles sont remplacées par des codes aléatoires (dans le cas d'évaluations statistiques).
- Suivi de site web
- Les demandes des utilisateurs du système arrivent sous forme de pseudonyme dans le système de tickets.
2. Cryptage
Comment le cryptage est-il assuré ?
Le cryptage transforme un texte en clair, en fonction d'une information supplémentaire appelée "clé", en un texte secret associé (cryptogramme) qui ne doit pas pouvoir être déchiffré par ceux qui ne connaissent pas la clé.
- Utilisation de bibliothèques cryptographiques et de composants logiciels
- Hachage de données
- Cryptage de transport (SSL/TLS) - chiffrement "en transit”
- Cryptage du disque dur
- Cryptage des données dans les centres de données - chiffrement "at rest”
- Cryptage des données à plusieurs niveaux dans le logiciel
- Utilisation d'un système de gestion des clés
3. Capacité de confidentialité
Comment la capacité de confidentialité des données est-elle garantie en permanence ?
La confidentialité signifie que les données personnelles sont protégées contre toute divulgation non autorisée.
- Contrôle d'accès physique
Les serveurs et systèmes de base de données sont installés dans un centre de données conforme à la certification ISO 27001. Aucun accès non autorisé à ces installations de traitement de données n'est donc possible.
◦ Accès au rack uniquement pour les personnes autorisées.
◦ Surveillance 24/7 par du personnel de sécurité sur place.
◦ Clôture de sécurité avec protection contre le franchissement et l'enterrement
◦ Enregistrements de présence
◦ Badges visiteurs accompagnés par des collaborateurs de l'exploitant du centre de calcul
◦ Sécurisation par système d'alarme
◦ Zones de sécurité définies
◦ Contrôles d'accès par carte à puce sans contact et code PIN ou en option avec des caractéristiques biométriques
◦ Portes sécurisées par ferme-porte électrique et lecteur de badge
- Portes et/ou fenêtres de sécurité
- Contrôle d'accès électronique
◦ Accès réservé aux personnes autorisées
- Écran de verrouillage après une courte période d'inactivité
- Concept d'autorisation selon le principe du need-to-know
- Log-in supplémentaire pour certaines applications
- Cryptage des communications et des données
- Chiffrement des supports de données/chiffrement des disques durs
- Accès SSH uniquement avec authentification basée sur une clé
- Cryptage de transport pour l'accès au web
- Mesures régulières de formation et de sensibilisation
- Collaborateurs : engagement à la confidentialité
- Séparation par objectif
- Segmentation du réseau
- Conception de contrats avec les prestataires de services
4. Capacité d'intégrité
Comment la capacité d'intégrité des données est-elle garantie en permanence ?
L'intégrité désigne le fait de garantir l'exactitude (l'intégrité) des données et le bon fonctionnement des systèmes. Lorsque le terme intégrité est appliqué aux "données", il exprime le fait que les données sont complètes et inchangées. Des mesures devraient être prises pour empêcher l'endommagement/la modification des données protégées pendant le traitement ou la transmission.
- Traçabilité des entrées dans le portail
- Contrôle de la transmission des données
◦ Cryptage TLS
◦ Enregistrement dans un journal
- Responsabilités fonctionnelles / concept de rôles
- Réglementation des représentants
- Concept d'autorisation
◦ Les autorisations sensibles sont réparties entre plusieurs personnes.
◦ Principe du double contrôle
- Cryptage du courrier électronique (si nécessaire)
- Cryptage des appareils mobiles, instructions de travail séparées pour l'utilisation des supports de données mobiles.
- Utilisation de connexions https
- Système antivirus maintenu à jour
- Pare-feu, WAF
- Contrôle d'accès au réseau (NAC)
- Surveillance de l'environnement réseau et système pour détecter les anomalies (par ex. avec un SOC / SIEM)
- Enregistrement et surveillance des entrées de données et des modifications pertinentes, des activités des utilisateurs et des activités de gestion et de service pertinentes.
5. Capacité de disponibilité
Comment la capacité de disponibilité des données est-elle garantie en permanence ?
La disponibilité de services, de fonctions d'un système informatique, d'applications informatiques ou de réseaux informatiques, ou encore d'informations, existe lorsque ceux-ci peuvent toujours être utilisés par les utilisateurs comme prévu.
- Centres de calcul redondants
◦ ONDULEURS (UPS)
◦ Surveillance et alertes
- Climatisation
- Concept de sauvegarde
◦ Stockage/conservation séparés des sauvegardes
◦ Procédures de sauvegarde appropriées (quotidiennes, hebdomadaires, mensuelles)
- Plan de redémarrage
- Protection contre l'incendie et l'eau d'extinction dans les salles de serveurs
- Règles de remplacement
- Protection contre les surtensions
- Onduleurs (UPS)
- Climatisation
- Vidéosurveillance
- Utilisation de RAID, mise en miroir des disques durs
- Gestion des vulnérabilités pour l'identification, l'évaluation et l'élimination régulières des vulnérabilités (par ex. à l'aide d'un outil d'analyse des vulnérabilités)
- Tests de pénétration annuels des systèmes et applications critiques
- Procédure standard/gestion des correctifs pour les mises à jour régulières des logiciels de protection (p. ex. scanner antivirus), durcissement des points finaux, gestion des mises à jour et des correctifs
- Gestion des changements pour la commande et le contrôle de tous les changements
- Utilisation d'images de base durcies pour les points finaux
- Security Baselining des points finaux
6. Capacité de résilience
Comment la capacité de résilience des données est-elle garantie en permanence ?
Les systèmes sont résilients lorsqu'ils sont si résistants que leur fonctionnement est assuré même en cas d'accès ou de charge importante.
- Centre de données certifié ISO/IEC 27001
- Centre de calcul certifié ISO/IEC 9001
- Composants logiciels redondants (High Availability)
- Évolutivité en cours d'exécution
7. Récupération de la disponibilité et de l'accès
Comment garantir que les données personnelles soient à nouveau rapidement disponibles et accessibles après un incident de sécurité ?
- Processus de gestion des incidents établi et testé
- Restauration rapide
- Procédures de sauvegarde
- Onduleurs (UPS)
- Plan d'urgence
- Règles de remplacement
- Plan de redémarrage
8. Procédures de contrôle, d'évaluation et d'appréciation périodiques
Comment s'assurer que les mesures de protection des données mentionnées sont régulièrement évaluées ?
- Protection des données par la technologie et les paramètres par défaut favorables à la protection des données ainsi que la gestion de la protection des données, y compris expressément (liste non exhaustive) :
◦ Mesures visant à garantir la minimisation des données
◦ Mesures visant à garantir la qualité des données
◦ Mesures visant à garantir un stockage limité des données
◦ Mesures visant à permettre la portabilité des données et à garantir leur effacement
- Contrôle des mandats ou des contrats
- Audit régulier par le délégué à la protection des données.
- Les rapports d'audit sont évalués
- Mise en œuvre d'un processus d'amélioration continue
- Orientation vers les normes de sécurité de l'information (ISO 27001)
9. Accès illicite à des données personnelles
Comment empêcher que les systèmes de traitement des données puissent être utilisés par des personnes non autorisées ?
- Connexion personnalisée
- Création d'une fiche d'utilisateur par utilisateur
- Attribution, gestion, contrôle régulier et retrait documentés des autorisations.
- Consignation et surveillance des accès pertinents aux systèmes informatiques
- Politique en matière de mots de passe complexes
- Procédure de réinitialisation des mots de passe "oubliés".
- Accès séparés pour différents systèmes et applications
- Verrouillage automatique des clients (expiration du délai)
- Authentification à 2 facteurs (lorsque cela est possible)
- Accès uniquement pour les personnes dont l'activité l'exige impérativement
- Effacement à distance des appareils de travail des collaborateurs en cas de départ, d'élimination ou de perte
10. Traitement des données personnelles uniquement sur instruction
Comment garantir que les données personnelles ne sont traitées que conformément aux instructions du responsable ?
- Les collaborateurs sont tenus de respecter des règles de conduite
- Mise en œuvre de directives internes de protection des données
- Engagement des collaborateurs à la confidentialité
- Formation de tous les collaborateurs autorisés à accéder aux données
- Concept de rôles
- Documentation des responsabilités
- Définition des personnes recevant des instructions
Annexe 2 - Sous-traitants
Version: 08.01.2024
La présente annexe 2 à l'accord relatif au traitement des données de commande selon la LPD et le RGPD de l'UE énumère les sous-traitants auxquels Skribble fait appel. Le recours à de nouveaux sous-traitants ainsi que le remplacement de sous-traitants existants sont régis par les dispositions de l'accord susmentionné.
Signez légalement
en quelques clics
Valide dans le monde entier, hébergé en Suisse.
Essai gratuit.
Pas de carte de crédit nécessaire.
Utilisable en allemand, anglais et français.