logo
CIC Security Terms

Effective April 15, 2026

 

Sécurité

 

 DÉFINITIONS  

 

“NIST” désigne National Institute for Standards and Technology. 

 

« Incident de Sécurité » désigne la détermination par Hyland d'une divulgation effective de Données Client non cryptées à une personne ou une entité non autorisée qui compromet la sécurité, la confidentialité ou l'intégrité des Données Client. 

 

1. Hyland maintient et gère un programme de sécurité écrit complet conçu pour protéger : (a) la sécurité et l'intégrité des Données Client ; (b) contre les menaces et les dangers susceptibles d'avoir un impact négatif sur les Données Client ; et (c) contre tout accès non autorisé aux Données Client. Ce programme comprend les éléments suivants :

 

1.1. Gestion des Risques.

 

1.1.1 Réalisation d'une évaluation annuelle des risques visant à identifier les menaces et les vulnérabilités des mesures de protection administratives, physiques, juridiques, réglementaires et techniques utilisées pour protéger le Produit.

 

1.1.2 Maintien d'un processus documenté de correction des risques afin d'attribuer la responsabilité des risques identifiés, d'établir des plans et des calendriers de correction et d'assurer un suivi périodique des progrès.

 

1.2. Programme de Sécurité de l'Information.

 

1.2.1 Maintien d'un programme complet et documenté de sécurité de l'information comprenant des politiques et des procédures basées sur les pratiques standard du secteur, qui peuvent inclure les normes ISO 27001/27002 ou d'autres normes équivalentes. Ce programme de sécurité de l'information doit inclure, le cas échéant : (a) une sécurité physique et cybernétique adéquate là où les Données Client seront traitées et/ou stockées ; et (b) des précautions raisonnables prises en ce qui concerne l'emploi du personnel de Hyland.

 

1.2.2 Révision et mise à jour annuelles de ces politiques.

 

1.3 Organisation de la Sécurité de l'Information. Attribuer les responsabilités en matière de sécurité aux personnes ou groupes appropriés afin de faciliter la protection du Produit et des actifs associés.

 

1.4. Sécurité dans les Ressources Humaines.

 

1.4.1 Exiger de tous les employés de Hyland qu'ils se soumettent à un contrôle approfondi lors du processus de recrutement.

 

1.4.2 Effectuer des vérifications des antécédents et des références afin de déterminer si les qualifications des candidats sont adaptées au poste proposé.

 

1.4.3 Sous réserve des restrictions imposées par la loi applicable et en fonction de la juridiction, effectuer des vérifications des antécédents criminels, des validations d'emploi et des vérifications des diplômes, le cas échéant.

 

1.4.4 Veiller à ce que tous les employés de Hyland s'engagent à respecter la confidentialité et la non-divulgation avant de leur donner accès au Produit ou aux Données Client.

 

1.4.5 Veiller à ce que les employés concernés de Hyland reçoivent une formation de sensibilisation à la sécurité conçue pour leur fournir des connaissances en matière de sécurité de l'information afin de garantir la sécurité, la disponibilité et la confidentialité des Données Client.

 

1.4.6 En cas de départ ou de changement de fonction d'un employé de Hyland, veiller à ce que l'accès de cet employé au Produit soit révoqué en temps opportun et que tous les actifs applicables de Hyland, tant informationnels que physiques, soient restitués.

 

1.5. Gestion des Actifs.

 

1.5.1 Veiller à ce que les Données Client soient cryptées et stockées dans un endroit sécurisé soumis à des contrôles d'accès physiques stricts.

 

1.5.2 Maintenir des politiques et des procédures de gestion des actifs et des informations, y compris la propriété des actifs, un inventaire des actifs, des directives de classification et des normes de traitement relatives aux actifs de Hyland.

 

1.5.3 Remarque : le Produit est hébergé dans le Cloud Amazon Web Services (AWS), où la sécurité et la conformité sont des responsabilités partagées entre AWS et Hyland. AWS est responsable de la protection de l'infrastructure qui exécute tous les services offerts dans le Cloud AWS. Cette infrastructure est composée du matériel, des logiciels, des réseaux et des installations qui exécutent les services Cloud AWS. AWS exploite, gère et contrôle les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles le service fonctionne, y compris la manipulation et la mise hors service des supports. Les Contrôles de Gestion des Appareils AWS sont disponibles ici : https://aws.amazon.com/compliance/data-center/controls/#Device_Management.

 

1.6. Contrôles d'Accès.

 

1.6.1 Maintien d'une politique d'accès et des procédures correspondantes. Les procédures d'accès définiront le processus de demande, d'approbation et d'octroi d'accès pour le personnel de Hyland. Le processus d'accès limitera l'accès des utilisateurs de Hyland (locaux et distants) en fonction de leur fonction (basée sur le rôle/profil, accès approprié) pour les applications et les bases de données.

 

1.6.2 Documenter les procédures pour : (a) l'intégration et le départ des utilisateurs membres du personnel de Hyland en temps opportun ; et (b) le seuil d'inactivité des utilisateurs membres du personnel de Hyland conduisant à la suspension et à la suppression du compte.

 

1.6.3 Limiter l'accès de Hyland aux Données Client à son personnel qui a besoin d'accéder aux Données Client comme condition à l'exécution des services par Hyland dans le cadre du Contrat. Pour ces employés de Hyland, Hyland appliquera le principe du « privilège minimal » et le concept du « minimum nécessaire ». Hyland exigera des mots de passe forts soumis à des exigences de complexité et à une rotation périodique, ainsi que l'utilisation d'une authentification multifactorielle.

 

1.6.4 Veiller à ce que des contrôles d'accès soient mis en place pour l'accès aux Données Client par Hyland. Remarque : le Client contrôle : l'accès des utilisateurs, les autorisations des utilisateurs et la conservation des Données Client dans la mesure où ces contrôles sont à la disposition du Client.

 

1.7. Limites du Système.

 

1.7.1 Remarque : Hyland n'est pas responsable des composants du système qui ne font pas partie du Produit, y compris les périphériques réseau, la connectivité réseau, les postes de travail, les serveurs et les logiciels détenus et exploités par le Client ou d'autres tiers.

 

1.7.2 Remarque : les processus exécutés dans le Produit sont limités à ceux qui sont exécutés par un employé de Hyland (ou un tiers autorisé par Hyland) ou à ceux qui sont exécutés dans les limites du système établi par Hyland, dans leur intégralité.

 

1.7.3 Remarque : certains processus métier peuvent dépasser ces limites, ce qui signifie qu'une ou plusieurs tâches sont exécutées en dehors des limites du système établi par Hyland pour le Produit, qu'une ou plusieurs tâches sont exécutées par des personnes qui ne font pas partie du personnel de Hyland (ou des tiers autorisés), ou qu'une ou plusieurs tâches sont exécutées sur la base de demandes écrites formulées par le Client. Dans ce cas, Hyland fournira une assistance pour ces processus dans la mesure où ils se produisent dans les limites du système établi par Hyland, mais Hyland n'est pas responsable de fournir une assistance pour ces processus dans la mesure où ils se produisent en dehors des limites du système établi. Les exemples de processus métier qui dépassent ces limites comprennent, sans s'y limiter, les modifications de configuration du Produit, le traitement qui se produit au sein du Produit, l'autorisation des utilisateurs et les transferts de fichiers.

 

1.8. Cryptage.

 

1.8.1 Veiller à ce que les Données Client ne soient téléchargées vers le Produit que dans un format crypté pris en charge, tel que TLS ou une autre méthode équivalente.

 

1.8.2 Chiffrement des Données Client au repos et en transit sur les réseaux publics.

 

1.8.3 Remarque : lorsque l'utilisation de la fonctionnalité de cryptage peut être contrôlée ou modifiée par le Client et que celui-ci choisit de modifier son utilisation ou de désactiver toute fonctionnalité de cryptage, il le fait à ses propres risques.

 

1.9. Sécurité des Opérations.

 

1.9.1 Maintenir des contrôles de gestion des changements afin de garantir que les modifications apportées par Hyland aux systèmes de production sont correctement autorisées et examinées avant leur mise en œuvre. Remarque : le Client est responsable de tester toutes les modifications de configuration, les modifications d'authentification et les mises à niveau mises en œuvre par le Client ou Hyland. Si le Client demande à Hyland de mettre en œuvre des modifications en son nom, cette demande doit être faite par écrit et soumise par les Administrateurs Clients Autorisés désignés par le Client via un dossier d'assistance ou stipulée dans un accord séparé.

 

1.9.2 Effectuer des modifications de configuration programmées qui devraient avoir un impact sur l'accès du Client au Produit pendant une fenêtre de maintenance planifiée. Remarque : Hyland peut apporter des modifications de configuration qui ne devraient pas avoir d'impact sur le client pendant les heures normales de bureau.

 

1.9.3 Utiliser des technologies configurées pour répondre aux normes industrielles courantes conçues pour protéger les Données Client dans le Produit contre les infections virales ou autres charges malveillantes similaires.

 

1.9.4 Mettre en œuvre des procédures de reprise après sinistre et de continuité des activités conformément au Niveau de Service applicable acheté par le Client.

 

1.9.5 Conserver les journaux de sécurité pendant un (1) an.

 

1.9.6 Maintenir les exigences de renforcement du système et les normes de configuration pour les composants déployés dans le Produit.

 

1.9.7 Effectuer régulièrement des analyses de vulnérabilité et y remédier en temps opportun. Si un correctif de sécurité devait avoir un effet négatif important sur le Produit, Hyland fera alors des efforts raisonnables pour mettre en œuvre des contrôles compensatoires jusqu'à ce qu'un correctif de sécurité disponible n'ait pas d'effet négatif important sur le Produit. Sur demande écrite, Hyland fournira un rapport de synthèse de sa dernière analyse de vulnérabilité externe.

 

1.9.8 Réaliser au moins une fois par an des tests d’intrusions externes sur une instance du Produit représentative de la configuration généralement utilisée par les Clients et fournir au Client, sur demande, un résumé du dernier test d’intrusion.

 

1.9.9 Autoriser le Client à effectuer, sur une base annuelle (mais pas plus d'une fois par période de 12 mois), un test d’intrusion sur un site web du Produit, configuré par Hyland, qui est autorisé pour les tests d’intrusion, à condition que : (1) le Client soumette à l'avance un Formulaire d'Autorisation de Test de d’Intrusion ; (2) avant de réaliser ce test, Hyland et le Client s'accordent mutuellement sur le calendrier, la portée et le prix, (3) ce test est à la charge exclusive du Client ; et (4) si le Client fait appel à un tiers pour l'aider à réaliser ce test, ce tiers doit d'abord être approuvé par Hyland et conclure un accord de confidentialité directement avec Hyland, conformément à la disposition du Contrat relative aux Restrictions d'Utilisation par les Sous-traitants. Remarque : tout test effectué sans accord mutuel concernant le calendrier, la portée et les critères peut être considéré comme une attaque hostile, susceptible de déclencher des réponses automatisées et manuelles, notamment le signalement de l'activité aux autorités locales et fédérales chargées de l'application de la loi, ainsi que la suspension immédiate de l'accès ou de l'utilisation du Produit par le Client ; il est interdit au Client de diffuser ou de publier les résultats de ces tests de intrusion sans l'accord écrit préalable de Hyland.

 

1.9.10 Maintien d'un centre d'opérations de sécurité 24 heures sur 24, 7 jours sur 7.

 

1.10 Relations avec les Fournisseurs. Maintien d'un programme de gestion des fournisseurs pour ses fournisseurs critiques et évaluation annuelle de ces derniers.

 

1.11 Réponse aux Incidents de Sécurité.

 

1.11.1 Utilisation de normes de réponse aux Incidents de Sécurité basées sur les normes industrielles applicables, telles que la norme ISO 27001 et celles du NIST, afin de maintenir les composants de sécurité des informations de l'environnement du Produit.

 

1.11.2 Les réponses à ces Incidents de Sécurité suivent la séquence de réponse aux Incidents de Sécurité documentée par Hyland. Cette séquence comprend la phase de déclenchement de l'Incident de Sécurité, la phase d'évaluation, la phase d'escalade, la phase de réponse, la phase de rétablissement, la phase de désescalade et la phase d'examen post-Incident de Sécurité.

 

1.11.3 Si Hyland a déterminé que l'instance du Produit du Client a été affectée négativement par un Incident de Sécurité, fournir un résumé de l'analyse des causes profondes. Cette notification ne sera pas retardée de manière déraisonnable, mais aura lieu après que les mesures correctives initiales auront été prises pour contenir la menace de sécurité ou stabiliser le Produit.

 

1.11.4 L'analyse des causes profondes comprendra la durée de l'événement, la résolution, un résumé technique, les problèmes en suspens et le suivi, y compris les mesures que le Client doit prendre pour éviter d'autres problèmes. Les informations relatives au Produit, y compris les éléments de données qui nécessitent des mesures de confidentialité et de sécurité supplémentaires (y compris celles d'autres clients touchés par l'événement), ne seront pas divulguées publiquement. Si le Client a besoin de détails supplémentaires sur un Incident de Sécurité, une demande doit être soumise à l'équipe d'assistance Hyland Cloud concernée et traitée au cas par cas afin de protéger la confidentialité et la sécurité des informations demandées.

 

1.11.5 Notification au Client d'un incident de sécurité dans les 48 heures. 

 

1.12. Aspects Liés à la Sécurité de l'Information dans la Gestion de la Continuité des Activités.

 

1.12.1 Maintien d'un plan de continuité des activités et de reprise après sinistre.

 

1.12.2 Révision et test annuels des processus de continuité des activités et de reprise après sinistre.

 

1.13. Audits et Évaluations.

 

1.13.1 Contrôle de la conformité avec son programme de sécurité de l'information. Cela comprend des examens internes périodiques. Les résultats sont communiqués à la direction de Hyland et les écarts sont suivis jusqu'à leur correction.

 

1.13.2 Maintien d'un programme d'audit externe périodique. Les attestations remplies sont fournies au Client sur demande écrite.

 

1.13.3 Autoriser le Client à effectuer chaque année (mais pas plus d'une fois par période de 12 mois) des audits (qui comprennent des évaluations, des questionnaires, des examens guidés ou d'autres demandes visant à valider les contrôles de sécurité de Hyland) des opérations de Hyland qui participent à la fourniture et au support continus du Produit (chacun étant une « Enquête de Sécurité »), à condition que :

 

(a) l’Enquête de Sécurité proposée ne chevauche pas ou ne couvre pas les mêmes informations ou des informations similaires, ou le champ d'application : (1) de tout contrôle déjà prévu par un audit externe ou une évaluation déjà réalisée par Hyland, tel qu'un rapport SOC 2, ISO 27001 ou tout autre audit ou évaluation similaire mis à la disposition du Client à sa demande ; ou (2) tout contenu déjà fourni par Hyland par le biais de son SIG, CAIQ ou questionnaire similaire rempli et mis à la disposition du Client sur demande.

 

(b) Hyland et le Client conviennent d'un commun accord du calendrier, de la portée, des frais (le cas échéant) et des critères de cette Enquête de Sécurité ;

 

(c) les documents confidentiels et à accès restreint, tels que les politiques, pratiques et procédures internes de Hyland, et procédures internes de Hyland, y compris toute documentation demandée par le Client qui ne peut être retirée des locaux de Hyland en raison de limitations physiques ou de restrictions politiques, ne seront pas fournies à l'extérieur ni retirées des locaux de Hyland, et ces examens doivent être effectués (au choix de Hyland) soit sur place, au siège social de Hyland dans l'Ohio, soit par le biais d'un partage d'écran sécurisé qui peut être organisé par Hyland afin d'empêcher tout type de copie ou de capture d'écran ;

 

(d) Hyland n'autorisera pas l'accès aux systèmes ou dispositifs internes utilisés pour héberger ou prendre en charge les offres de Hyland ; et

 

(e) dans la mesure où le Client souhaite faire appel à un tiers pour effectuer une telle Enquête de Sécurité : (1) Hyland doit approuver ce tiers par écrit à l'avance ; (2) le Client doit faire en sorte que ce tiers : (A) conclue un accord de confidentialité avec Hyland conformément à la disposition relative aux Restrictions d'Utilisation par les Sous-traitants du Contrat, et (B) accepte de se conformer aux normes de sécurité de Hyland ; et (3) le Client doit gérer la collaboration avec le tiers et s'assurer que celui-ci comprend la portée de l'Enquête de Sécurité convenue entre Hyland et le Client et la manière dont le Client utilise le Produit.

 

Si nécessaire, Hyland fournira des locaux privés et adaptés à son siège social dans l'Ohio pour l'analyse des données et les réunions. Sur demande écrite préalable raisonnable, Hyland et le Client peuvent convenir d'un commun accord de mettre à disposition les employés ou sous-traitants nécessaires pour des entretiens en personne ou par téléphone pendant cette Enquête de Sécurité, aux frais du Client. Il est interdit au Client, et le Client doit interdire à chaque tiers engagé pour effectuer une Enquête de Sécurité, de distribuer ou de publier les résultats de cette Enquête de Sécurité sans l'accord écrit préalable de Hyland. Nonobstant toute disposition contraire dans le Contrat, rien dans le Contrat (y compris la présente section) n'obligera Hyland ou l'une de ses filiales à divulguer des informations soumises au secret professionnel.

 

2. Langue Faisant Foi. Hyland peut mettre à disposition d'autres versions de ce document dans d'autres langues sur ce site Web. La version anglaise de ce document prévaut sur toute autre version de ce document mise à disposition sur ce site Web dans une autre langue si le Document Incorporé est en anglais. Si le Document Incorporé est rédigé dans une langue autre que l'anglais (cette langue étant dénommée « Autre Langue »), mais que le présent document n'est pas disponible à cette adresse en ligne dans l'Autre Langue, la version anglaise prévaut sur toute autre version du présent document qui pourrait être disponible à cette adresse en ligne dans une autre langue.

 

 

 

La version la plus récente de ce document est celle en vigueur à 00 h 00 HNE (Heure Normale de l'Est) à la date indiquée sur cette version en ligne.