Effective February 10, 2026

ANNEXE MONDIALE RELATIVE AU TRAITEMENT DES DONNÉES 

La présente Annexe Mondiale relative au Traitement des Données (« Annexe ») fait partie intégrante du Contrat Cadre Hyland, du Bon de Commande ou de tout autre accord entre le Client et Hyland, qui incorpore la présente Annexe Mondiale relative au Traitement des Données par référence (le « Document Incorporé »). Aux fins des présentes, le terme « Contrat » désigne le Document Incorporé, incluant la présente Annexe Mondiale relative au Traitement des Données, ainsi que tout autre accord dans lequel le Document Incorporé est intégré.

1.         DÉFINITIONS.

Tous les termes en majuscules utilisés dans la présente Annexe Mondiale relative au Traitement des Données Mondiales (ce « DPA » ou cette « Annexe »)  auront la signification qui leur est attribuée dans cette Annexe ou, s'ils ne sont pas définis dans la présente Annexe, ailleurs dans le Contrat. Si un terme est défini à deux (2) endroits ou plus dans le Contrat, il doit être interprété comme incluant chacune ou toutes les définitions, selon le contexte.

« CCT Brésiliennes » désignent les Clauses Contractuelles Types (CCT) approuvées par l’Autoridade Nacional de Proteção de Dados, l’Autorité Brésilienne de Protection des Données, en vertu du Chapitre V de la Résolution CD/ANPD n° 19/2024.

« CCT UE » désigne la Décision d'Exécution (UE) 2021/914 de la Commission instaurant des Clauses Contractuelles Types pour les transferts de données vers des Pays Tiers.

« CPRA » désigne collectivement la California Consumer Privacy Act telle que modifiée par la California Privacy Rights Act, codifiée aux articles § 1798.100 et suivants du Code Civil de Californie et ses règlements d’application finaux.

« Décision d'Adéquation » désigne la décision finale d'un Régulateur, selon laquelle les lois d'un pays tiers offrent un niveau de protection adéquat des Données à Caractère Personnel lorsque celles-ci sont transférées depuis la juridiction du Régulateur vers un Pays Tiers. 

« Donnée(s) à Caractère Personnel » désigne toute information permettant d’identifier directement ou indirectement une Personne Concernée, et protégée en vertu de la Réglementation sur la Protection des Données.   

« Donnée(s) à Caractère Personnel du Client » désigne toute Donnée à Caractère Personnel transmise par ou pour le compte du Client, à Hyland pour la fourniture de Produits ou la réalisation des Services.

« HIPAA » désigne la Health Insurance Portability and Accountability Act de 1996, telle que modifiée.

« LGPD » désigne la loi générale brésilienne sur la protection des données (Lei Geral de Proteção de Dados – LGPD, loi n° 13, 709/2018).

« Parties » désigne Hyland et le Client, et chacun est désigné dans le présent DPA comme une « Partie ».

« Pays Tiers » désigne tout pays qui n’est pas soumis à une Décision d’Adéquation en vertu de la Réglementation sur la Protection des Données par le Régulateur de contrôle du pays où l’entité qui transfère des Données à Caractère Personnel est établie.

« Personne Concernée » désigne une personne physique qui est le sujet des Données à Caractère Personnel qui sont Traitées.

« Réglementation(s) sur la Protection des Données » désigne toute loi, tout règlement, toute législation ou toute directive applicable au Traitement des Données à Caractère Personnel, compte tenu de la localisation des Personnes Concernées, des activités de Traitement ou de l’établissement des Parties.

« Régulateur » désigne l'autorité de contrôle ou l'organisme de réglementation compétent en vertu de la Réglementation sur la Protection des Données applicable.

« Traitement » désigne toute opération ou tout ensemble d'opérations effectuées à l'aide de procédés automatisés ou non et appliquées à des Données à Caractère Personnel ou à des ensembles de Données à Caractère Personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« Violation de Données à Caractère Personnel » désigne une faille de sécurité entraînant la perte, la destruction non autorisé, l'altération, la divulgation ou l’accès non autorisés aux Données à Caractère Personnel du Client.

« Services » désigne les services de support technique, les services professionnels, les services relatifs à l'offre hébergée de Hyland, ou de tout autre service fourni par Hyland au titre du Contrat. 

« Sous-Traitant » désigne une entité qui traite des Données à Caractère Personnel à la demande de Hyland pour le compte du Client.

2.         TRAITEMENT DE DONNÉES A CARACTÈRE PERSONNEL PAR HYLAND.

2.1       Instructions relatives aux Traitements de Données à Caractère Personnel. Hyland ne Traitera les Données à Caractère Personnel du Client que conformément aux instructions documentées du Client, qui comprennent ce qui suit : (a) le Traitement conformément au Contrat ou au Bon de Commande applicable, (b) le Traitement initié par le Client dans le cadre de son utilisation de tout Produit ou Service, et (c) le Traitement nécessaire pour se conformer à d’autres instructions documentées raisonnablement fournies par le Client lorsque ces instructions sont compatibles avec les termes du Contrat, sauf si la loi en dispose autrement. Chaque Partie se conformera aux obligations qui lui incombent en vertu de la Réglementation sur la Protection des Données.

2.2       Description du Traitement. La description du Traitement des Données à Caractère Personnel par Hyland figure à l’Annexe A.

3.         MESURES DE SECURITÉ MISES EN ŒUVRE PAR HYLAND RELATIVES AUX DONNÉES À CARACTÈRE PERSONNEL.  

3.1    Mesures Physiques, Techniques et Organisationnelles. Hyland maintiendra des mesures de sécurité organisationnelles et techniques raisonnables et appropriées afin de protéger les Données à Caractère Personnel du Client contre leur perte ou la destruction non autorisée, l’altération, divulgation ou accès, comme décrit plus en détail dans l’Annexe B (les « Mesures Techniques et Organisationnelles »).

3.2   Traitement par des Sous-Traitants. Hyland n'e fera appel qu’aux Sous-Traitants figurant dans la liste accessible à l'adresse suivante : https://community.hyland.com/en/connect/hyland-sub-processor-list (la « Liste des Sous‑Traitants ») (laquelle peut être mise à jour par Hyland de temps à autre, sans que cette modification ne nécessite un avenant au DPA). Hyland conclut un accord écrit avec chaque Sous-Traitant, comprenant des obligations relatives à la protection des Données à Caractère Personnel du Client au moins aussi protectrices pour les Personnes Concernées que les protections requises dans la Réglementation sur la Protection des Données applicable. Hyland demeure responsable envers le Client des actes ou des omissions de ses Sous-Traitants. Hyland informe le Client de tout nouveau Sous-Traitant auquel Hyland entend avoir recours, en mettant à jour la Liste des Sous‑Traitants, laquelle le Client peut s'abonner, avec le nouveau Sous-Traitant. Dans la mesure autorisée par la Réglementation sur la Protection des Données, le Client peut s'opposer à ce nouveau Sous-Traitant sous réserve de motifs raisonnables relatifs à des préoccupations en matière de protection des données en notifiant à Hyland (conformément au Contrat) les motifs de son objection dans un délai de dix (10) jours calendaires suivant la mise à jour par Hyland de la Liste des Sous‑Traitants pour y inclure le nouveau Sous‑Traitant. En cas d’objection, Hyland peut décider de ne pas faire appel à ce nouveau Sous-Traitant pour Traiter les Données à Caractère Personnel du Client. Si Hyland continue à recourir à ce nouveau Sous-Traitant à la suite d’une objection raisonnable du Client, ce dernier peut, par notification adressée à Hyland, alors choisir de suspendre ou de résilier, les parties du Service affectées par le recours à ce nouveau Sous-Traitant (sans préjudice des frais échus ni des droits de Hyland au titre du Contrat). 

3.3       Confidentialité des Données à Caractère Personnel. Hyland traite les Données à Caractère Personnel du Client comme confidentielles et s’assure que son personnel (y compris ses prestataires) qui est autorisé à accéder aux Données à Caractère Personnel du Client :  (i) ait conclu des engagements de confidentialité contractuels appropriés et contraignants ou soit autrement soumis à une obligation de confidentialité, (ii) soit informé de la nature confidentielle des Données à Caractère Personnel du Client, et (ii) ait reçu une formation appropriée relative au Traitement des Données à Caractère Personnel du Client.

3.4       Audits Techniques. Hyland autorise le Client à réaliser des audits dans les conditions prévues dans le Contrat. Dans l’hypothèse où le Contrat ne traite pas des audits par le Client, alors, et dans la mesure autorisée par la Réglementation sur la Protection des Données, Hyland autorise le Client, à sa demande raisonnable et dans la limite d’une (1) fois par an, à mener un audit des politiques de sécurité et de confidentialité de Hyland et/ou des registres relatifs au Traitement des Données à Caractère Personnel du Client ou de tout autre documentation, pouvant être raisonnablement demandé par le Client et permettant de démontrer la conformité de Hyland aux exigences de ce DPA. Dans la mesure où le Client choisit de mener un audit conformément au Contrat ou à la phrase immédiatement précédente, selon le cas, dans les locaux physiques de Hyland, celui-ci sera limité aux zones physiques où le Traitement des Données à Caractère Personnel du Client a lieu. Le Client s'engage à ne pas diffuser ou publier à tout tiers (sauf une autorité de contrôle compétente) les produits de travail de l’audit sans l’autorisation écrite et préalable de Hyland. À la discrétion de Hyland et sous réserve d'en notifier préalablement le Client, celui-ci rembourse à Hyland les dépenses et frais raisonnables occasionnés par l’audit, aux tarifs des prestations de services de Hyland en vigueur à cette date (leur liste étant disponible sur demande). Les audits sont soumis aux obligations de confidentialité applicable aux Parties. Dans la mesure où le Client fait appel à un auditeur tiers indépendant afin de réaliser un audit, les Parties conviennent que : (a) préalablement à l’audit, ledit auditeur doit conclure avec Hyland, un accord de confidentialité approprié, que (b) tous rapports ou informations de Hyland collectés au cours de l’audit ne peuvent être utilisés que pour les besoins internes du Client et que (c) les dispositions du présent paragraphe applicables au Client s’appliquent également à l’auditeur tiers.

3.5       Restitution ou Destruction des Données à Caractère Personnel. Hyland s’engage à supprimer ou restituer les Données à Caractère Personnel du Client conformément au Contrat. Dans l’hypothèse où le Contrat ne traite pas de la suppression ou la restitution des Données à Caractère Personnel du Client, et sur demande écrite du Client, Hyland prend les dispositions nécessaires pour assurer la restitution prompte et sécurisée, et/ou à la suppression sécurisée, définitive de toutes les Données à Caractère Personnel du Client en sa possession et sous son contrôle, en ce compris –le cas échéant– toutes copies, dans un délai de trente (30) jours calendriers à compter de la demande écrite du Client et, sur demande du Client, certifie la réalisation de cette suppression. Hyland n’est pas tenu de restituer ni de détruire les Données à Caractère Personnel du Client stockées sur des supports de sauvegarde ou d’archivage, mais continuera à appliquer à ces Données à Caractère Personnel du Client les mesures de protection prévues au présent DPA aussi longtemps que ces Données à Caractère Personnel du Client demeureront en la possession de Hyland.

3.6       Demandes Adressées à Hyland. Dans la mesure autorisée par la loi, Hyland notifie au Client dans les meilleurs délais suivant sa réception de : (a) toute demande réelle ou présumée, d'une Personne Concernée (ou formulée pour son compte) exerçant ses droits en vertu de la Réglementation sur la Protection des Données ; ou (b) toute correspondance ou communication d'un Régulateur ou toute autre autorité administrative.  Le Client sera responsable de répondre directement à de telles demandes. Le Client reconnaît et accepte que Hyland ne divulguera aucune Donnée à Caractère Personnel du Client en réponse à une telle demande sans les instructions écrites préalables du Client, sauf si Hyland est tenu de le faire en vertu de la législation applicable.

3.7       Demandes d'Informations. À la demande raisonnable du Client et dans la mesure où le Client n’a pas autrement accès aux informations pertinentes, Hyland fournira au Client la coopération et l’assistance raisonnables nécessaires pour aider le Client à remplir son obligation en vertu de la Réglementation sur la Protection des Données de réaliser des évaluations concernant le Traitement des Données à Caractère Personnel du Client. À la discrétion de Hyland et sous réserve d'en notifier préalablement le Client, celui-ci rembourse à Hyland les frais raisonnables liés à sa demande selon les frais des prestations de services de Hyland en vigueur à cette date (leur liste étant disponible sur demande).

3.8       Notification des Violation de Données à Caractère Personnel. Hyland notifie au Client toute Violation de Données à Caractère Personnel dans les meilleurs délais après en avoir pris connaissance. Hyland fait ses meilleurs efforts pour identifier la cause de la Violation de Données à Caractère Personnel et prend les mesures qu’elle estime nécessaires et raisonnables pour y remédier. En relation avec une telle Violation de Données à Caractère Personnel, Hyland assistera en outre le Client, en tenant compte des informations disponibles auprès de Hyland et de la nature de son Traitement, dans le cadre des obligations de notification du Client en cas de Violation de Données à Caractère Personnel, le cas échéant, au titre de la Réglementation sur la Protection des Données applicable. Toute notification effectuée par Hyland en vertu de la présente sous-section ne saurait être interprétée comme la reconnaissance, par Hyland, d’une faute de sa part.

4.         OBLIGATIONS DU CLIENT RELATIVES AUX DONNÉES À CARACTÈRE PERSONNEL.

4.1       Le Client s’engage à respecter ses obligations relatives aux notifications à des tiers, en les réalisant, conformément à la Réglementation sur la Protection des Données, de manière objective et sans intentionnellement ou déraisonnablement porter préjudice à Hyland ou à sa réputation. Hyland disposera d’une opportunité raisonnable de réviser toute notification mentionnant Hyland par son nom et aura le droit de modifier toute déclaration relative à Hyland ainsi qu’aux Produits ou Services.

4.2       Le Client garantit qu'il n'est pas soumis à une quelconque interdiction ou restriction qui: (a) l'empêcherait ou limiterait son droit de divulguer ou de transférer les Données à Caractère Personnel du Client à Hyland; (b) l'empêcherait ou limiterait son droit d'accorder à Hyland l'accès aux Données à Caractère Personnel du Client; et/ou (c) empêcherait ou restreindrait le droit de Hyland de Traiter les Données à Caractère Personnel du Client, dans la mesure nécessaire pour que Hyland fournisse tout Produit ou réaliser les Services.

4.3       Le Client garantit que tous les avis requis par la Réglementation sur la Protection des Données ont été communiqués aux Personnes Concernées (et, lorsque la Réglementation sur la Protection des Données applicable l’exige, que les consentements ont été obtenus) et sont suffisants pour permettre à Hyland de Traiter les Données à Caractère Personnel du Client en conformité avec le Contrat et la Réglementation sur la Protection des Données.

4.4       Le Client garantit que toutes les Données à Caractère Personnel divulguées ou transmises à Hyland sont strictement nécessaires pour utiliser tout Produit ou réaliser les Services.

4.5       Le Client s'engage à mettre en œuvre et maintenir les mesures de sécurité techniques et organisationnelles raisonnables et appropriées afin d’empêcher tout accès non autorisé aux Produits et Services par le biais des systèmes d'information du Client.

4.6       Le Client est seul responsable de l'exactitude, de la qualité et de la légalité des Données à Caractère Personnel du Client transmises à Hyland et des moyens par lesquels le Client a acquis ces Données à Caractère Personnel. 

5.         CONDITIONS SPÉCIFIQUES À LA JURIDICTION.

5.1       Les Parties reconnaissent que certaines juridictions exigent des Parties de prévoir des protections additionnelles pour les Données à Caractère Personnel par le biais des termes contractuels écrits lorsque les Données à Caractère Personnel sont transférées vers un Pays Tiers. Ces critères propres à chaque juridiction sont énoncés ci‑dessous et, dans la mesure où elles sont applicables, sont incorporés par référence dans ce DPA. 

5.1.1 Dispositions Spécifiques à la Juridiction de l’EEE : Ces termes (disponibles sur https://legal.hyland.com/jurisdiction-specific-terms-eea)  s'appliquent lorsque (a) le Client est (i) situé dans l'Espace Économique Européen ou la Suisse (collectivement, l’« EEE»), ou (ii) contracte au nom de tout membre de son propre groupe situé dans l'EEE; et (b) Hyland Traite des Données à Caractère Personnel du Client à partir d'un pays en dehors de l’EEE et ne faisant pas l’objet d’une Décision d'Adéquation. 

5.1.2 Dispositions Spécifiques à la Juridiction du Royaume-Uni : Ces termes (disponibles sur https://legal.hyland.com/jurisdiction-specific-terms-uk) s’applique lorsque (a) le Client est (i) situé au Royaume-Uni, ou (ii) contracte au nom de tout membre de son propre groupe situé dans le Royaume-Uni ; et (b) Hyland Traite des Données à Caractère Personnel du Client à partir d'un pays dehors du Royaume-Uni et ne faisant pas l’objet d’une Décision d'Adéquation.             

5.1.3 Dispositions Spécifiques à la Juridiction du Brésil : Ces termes (disponibles sur https://legal.hyland.com/jurisdiction-specific-terms-brazil) s’applique lorsque (a) le Client est (i) situé au Brésil, et (b) Hyland Traite des Données à Caractère Personnel du Client à partir d'un pays dehors du Brésil et ne faisant pas l’objet d’une Décision d'Adéquation.

5.1.4 Dispositions Spécifiques à la Juridiction de la Californie :  Ces termes (disponibles sur https://legal.hyland.com/jurisdiction-specific-terms-california) s’applique lorsque (a) le Client est soumis à la CPRA, et (b) Hyland traite les Données à Caractère Personnel du Client des Personnes Concernées résidantes en Californie.

5.1.5 Dispositions Spécifiques à la Juridiction des États-Unis : Ces termes (disponibles sur https://legal.hyland.com/business-associate-agreement) s’applique lorsque Hyland traite des Données à Caractère Personnel du Client constituant des Informations de Santé Protégées, telles que définies et régies par la HIPAA.

Les Parties peuvent modifier ou ajouter des dispositions spécifiques à une juridiction, conformément à la Réglementation sur la Protection des Données sur la protection des données, par avenant écrit à la présente DPA.

6.         DURÉE ET RÉSILIATION. 

6.1       Durée. Ce DPA prend effet à compter de la Date d'Entrée en Vigueur et prend fin automatiquement à la résiliation ou à l'expiration du Contrat.

6.2       Effets. À la fin du DPA, Hyland restitue ou détruit les Données à Caractère Personnel du Client, tel que prévu dans la Section 3.5 ci-dessus.

7.         STIPULATIONS GÉNÉRALES.

7.1       Modifications. Les Parties conviennent que ce DPA peut être occasionnellement modifié afin de permettre aux Parties de rester en conformité avec la Réglementation sur la Protection des Données.

7.2       Ordre de Priorité. Ce DPA prévaut sur toute stipulation contradictoire du Contrat ou de tout autre contrat existant entre Hyland et le Client concernant les obligations des Parties relatives aux Traitement des Données à Caractère Personnel du Client.  En cas de conflit entre ce DPA, le Contrat et les termes de toute Disposition Spécifiques à la Juridiction applicable, les termes de des Dispositions Spécifiques à la Juridiction applicables prévaudront concernant les Données à Caractère Personnel soumises à ces Dispositions Spécifiques à la Juridiction. 

7.3       Langue Faisant Foi. Hyland peut mettre à disposition d'autres versions de ce document dans d'autres langues sur ce site Web. La version anglaise de ce document prévaut sur toute autre version de ce document mise à disposition sur ce site Web dans une autre langue si le Document Incorporé est en anglais. Si le Document Incorporé est rédigé dans une langue autre que l'anglais (cette langue étant dénommée « Autre Langue »), mais que le présent document n'est pas disponible à cette adresse en ligne dans l'Autre Langue, la version anglaise prévaut sur toute autre version du présent document qui pourrait être disponible à cette adresse en ligne dans une autre langue.

8.         LANGUE FAISANT FOI. Hyland peut mettre à disposition d'autres versions de ce document dans d'autres langues sur ce site Web. La version anglaise de ce document prévaut sur toute autre version de ce document mise à disposition sur ce site Web dans une autre langue si le Document Incorporé est en anglais. Si le Document Incorporé est rédigé dans une langue autre que l'anglais (cette langue étant dénommée « Autre Langue »), mais que le présent document n'est pas disponible à cette adresse en ligne dans l'Autre Langue, la version anglaise prévaut sur toute autre version du présent document qui pourrait être disponible à cette adresse en ligne dans une autre langue.

 ANNEXE A

Description du Traitement et Détails du Transfert 

Annexe B

Mesures Techniques et Organisationnelles

En tenant compte :

• de l’état de l’art,
• des coûts de mise en œuvre et
• de la nature, de la portée, du contexte et
• des finalités du traitement ainsi que
• des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité sont variables,

Hyland met en œuvre les mesures techniques et organisationnelles énoncées dans le Contrat-Cadre Hyland. Dans la mesure où le Contrat-Cadre Hyland ne spécifie pas les mesures de sécurité techniques et organisationnelles applicables, Hyland met en œuvre les mesures de sécurité techniques et organisationnelles énoncées dans la présente Annexe B comme suit :

1.         Mesures relatives au chiffrement.

• chiffrement des appareils mobiles tels que les ordinateurs portables, les tablettes et les smartphones
• chiffrement des supports de stockage mobiles (CD/DVD- ROM, clés USB, disques durs externes)
• stockage crypté des mots de passe
• option de chiffrement des e-mails et pièces jointes sensibles
• partage sécurisé des données (par ex. SSL, FTPS, TLS)
• WLAN sécurisé

2.         Mesures visant à garantir la confidentialité.

a.         Les mesures garantissant qu’une personne non autorisée ne peut avoir accès aux Données à Caractère Personnel du Client :

• système de contrôle d'accès, lecteur de documents (carte magnétique / à puce)
• protection des portes (ouvre-porte électrique, serrure à chiffres, etc.)
• protection des installations, y compris les gardes de sécurité au siège social de Hyland
• système d'alarme
• surveillance vidéo
• mesures de protection spéciales pour la salle des serveurs
• zones dont l’accès est restreint à certaines catégories de salariés ou consultants
• règles relatives aux visiteurs (par exemple, prise en charge à la réception, documentation des heures de visite, carte de visiteur, accompagnement des visiteurs à la sortie après la visite).

b.         Les mesures visant à empêcher une personne non autorisée à utiliser les systèmes traitant les Données à Caractère Personnel du Client :

• connexion personnelle et individuelle des utilisateurs pour l'enregistrement dans les systèmes ou le réseau de l'entreprise
• processus d'autorisation d'accès
• limitation des utilisateurs autorisés
• authentification unique
• authentification à deux facteurs
• mots de passe BIOS pour les ordinateurs portables d'entreprise
• procédures relatives aux mots de passe (indication des paramètres des mots de passe en ce qui concerne leur complexité et l'intervalle de leur mise à jour)
• journalisation des accès
• système de connexion supplémentaire pour certaines applications
• verrouillage automatique des appareils après l'expiration d'une certaine période sans activité de l'utilisateur (également économiseur d'écran protégé par mot de passe ou mise en veille automatique)
• pare-feu

c.         Mesures assurant que seules les personnes autorisées ont accès aux systèmes traitant les Données à Caractère Personnel du Client et que celles-ci ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation :

• évaluations/journalisation du traitement des données
• processus d'autorisation pour les autorisations
• routines d'approbation
• profils / rôles
• chiffrement au repos et en transit des Données à Caractère Personnel du Client transférées à Hyland via son outil de transfert de fichiers sécurisé.
• système de gestion des appareils mobiles pour les appareils mobiles appartenant à l'entreprise et les appareils mobiles personnels approuvés (les appareils mobiles ne font pas partie de la solution hébergée)
• séparation des fonctions "segregation of duties" (séparation des tâches)
• destruction des dossiers et des dispositifs de stockage conformément à la norme NIST 800-88, le cas échéant
• Journalisations liées à la cybersécurité conservées pendant au moins six mois.

3.         Mesures visant à assurer l'intégrité.

• droits d'accès
• journalisation côté système
• système de gestion des documents (SGD) avec historique des modifications
• logiciel de sécurité / journalisation
• responsabilités fonctionnelles, responsabilités organisationnelles spécifiques
• connexions de données à distance par tunnel (VPN = réseau privé virtuel)
• signature électronique
• journalisation du transfert ou du transport des données
• journalisation des accès en lecture

4.         Mesures visant à assurer et restaurer la disponibilité.

• concept de sécurité pour les logiciels et les applications informatiques
• procédures de sauvegarde, le cas échéant
• stockage des données dans un réseau sécurisé
• installation des mises à jour de sécurité en fonction des besoins
• mise en place d'une alimentation électrique ininterrompue
• installations d'archivage appropriées pour les documents papier
• protection contre le feu et/ou l'eau d'extinction pour la salle des serveurs
• salle des serveurs climatisée
• protection contre les virus
• pare-feu
• plan de continuité des activités
• exercices de reprise après sinistre réussis
• stockage des données redondant et séparé localement (stockage hors site), le cas échéant

5.         Mesures pour assurer la résilience.

• plan d'urgence en cas de panne de machine / plan de reprise d'activité
• alimentation électrique redondante
• capacité suffisante des systèmes informatiques et des installations
• processus logistiquement contrôlé pour éviter les pics de puissance
• systèmes / installations redondants 
• Gestion de la résilience et des erreurs 

6.         Procédure d'examen, d'évaluation et de contrôle réguliers de l'efficacité des mesures techniques et organisationnelles.

• procédures de contrôles/audits réguliers
• concept d'examen, d'appréciation et d'évaluation réguliers
• système de rapports
• tests de pénétration
• tests d'urgence
• certifications applicables

7.         "Contrôle des instructions / contrôle des missions".

• processus d'émission et/ou de suivi des instructions
• spécification des personnes de contact et/ou des employés responsables
• contrôle / examen que l'affectation est exécutée conformément aux instructions
• formation / instruction de tous les employés autorisés à accéder au site
• audit indépendant du respect des instructions
• engagement de confidentialité des salariés
• accord sur les sanctions en cas de violation des instructions
• responsable / coordinateur de la protection des données
• tenir des registres des activités de traitement conformément à l'art. 30, paragraphe 2 du RGPD, le cas échéant
• Politique de Réponse aux Incidents de Sécurité documentée, qui comprend des processus d'escalade pour les Violations de Données à Caractère Personnel
• lignes directrices / instructions visant à garantir des mesures technico-organisationnelles pour la sécurité du traitement
• processus de transmission des demandes des personnes concernées

La version la plus récente de ce document est celle en vigueur à 00 h 00 HNE (Heure Normale de l'Est) à la date indiquée sur cette version en ligne.