Skip to main content

Accord de traitement des données - Metal

Le présent Contrat de traitement des données (« DPA ») complète et fait partie du contrat de services entre le Client et Equinix régissant l'utilisation d' Equinix Metal par le Client (le « Contrat »), dans la mesure où les lois sur la protection des données s'appliquent au traitement des données personnelles des clients par Equinix.

Le Client est tenu de supprimer toutes les Données Client du ou des serveurs Equinix Metal au plus tard à la fin du Contrat. Si le Client ne supprime pas les Données Client du ou des serveurs Equinix Metal, Equinix les supprimera dans le cadre de ses activités de déprovisionnement. Si le déprovisionnement du ou des serveurs Equinix Metal par Equinix entraîne la suppression des Données personnelles du Client, cette action peut être considérée comme un traitement.

En conséquence, les parties ont convenu et conclu le présent DPA pour régir cette activité de traitement.

1. DÉFINITIONS

Tous les termes en majuscules non définis ci-dessous auront la signification qui leur est donnée dans l’Accord.

1.1 « Responsable du traitement » désigne l’entité qui détermine les finalités et les moyens du Traitement des Données Personnelles.

1.2 « Données client » désigne toutes les données chargées, stockées, reçues, récupérées, transmises ou autrement traitées par le Client dans le cadre de son utilisation d' Equinix Metal.

1.3 « Données personnelles du client » désigne toutes les données personnelles qui font partie des données du client.

1.4 « Lois sur la protection des données » désigne toutes les lois de la juridiction appropriée, y compris l'État de Californie, l'Union européenne, l'Espace économique européen et/ou ses États membres, la Suisse et/ou le Royaume-Uni réglementant le traitement des données personnelles qui sont applicables au traitement des données personnelles des clients par Equinix dans le cadre des services numériques.

1.5 «Equinix Metal» désigne les Services numériques comprenant la fourniture de serveurs bare metal (appelés Equinix Metal), fournis à la demande ou dans le cadre d'un abonnement, par Equinix en vertu du Contrat.

1.6 « Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable et dont la collecte, l’utilisation, la divulgation, le stockage ou tout autre traitement est réglementé par les lois sur la protection des données.

1.7 « Violation des données personnelles » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données personnelles du client transmises, stockées ou autrement traitées.

1.8 « Traitement », « Traité », « Traiter » désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles, telles que l'accès, la collecte, l'enregistrement, l'organisation, le stockage, la récupération, la consultation, l'utilisation, et tel que ce terme peut être défini plus en détail dans les lois sur la protection des données.

1.9 « Sous-traitant » désigne l’entité qui traite les Données personnelles pour le compte du Responsable du traitement.

1.10 « Modèle de responsabilité partagée » désigne la répartition des responsabilités entre un client et Equinix pour divers services Equinix, qui peut être consulté à l'adresse suivante: Modèle de responsabilité partagée

2. TRAITEMENT DES DONNÉES

2.1 Si Equinix traite des données personnelles suite au déprovisionnement d' Equinix Metal, le Client agit en qualité de Responsable du traitement et Equinix en qualité de Sous-traitant, et le présent ATD s'applique. Les Parties se conformeront à leurs obligations respectives en vertu des lois sur la protection des données. La portée et la nature du traitement des données personnelles des Clients par Equinix sont définies à l'Annexe 1 du présent ATD.

2.2 Dans la mesure où le Client n'utilise pas lui-même les moyens de contrôle à sa disposition pour supprimer les Données Client d'un serveur Equinix Metal avant l'expiration ou la résiliation d'une Commande applicable, le Client, en tant que Responsable du traitement, demande par les présentes à Equinix, en tant que Sous-traitant, de supprimer toutes les Données Client, y compris les Données personnelles du Client, d' Equinix Metal à l'expiration ou à la résiliation de la Commande applicable, conformément à l'article 5.1 du présent ATD. Le Client prendra toutes les mesures nécessaires pour garantir que les Données personnelles du Client seront légalement mises à disposition d' Equinix et traitées par elle aux fins indiquées par le Client dans le cadre du présent ATD.

2.3 Equinix traitera uniquement les données personnelles du client énoncées à la section 2.2 du présent DPA, qui constituent les instructions écrites complètes du client à Equinix concernant le traitement des données personnelles du client.

2.4 En tant que Responsable du traitement, le Client est tenu d'informer les personnes concernées du traitement de leurs Données personnelles et de répondre aux demandes d'exercice de leurs droits en vertu des lois sur la protection des données. Le Client reconnaît également qu'Equinix a configuré Equinix Equinix Metal et mis en œuvre des mesures techniques et organisationnelles appropriées, conçues pour lui permettre d'accéder à ses Données, de les modifier et de les supprimer sans assistance supplémentaire de Equinix part, et qui l' empêchent d'accéder à ses Données, de les modifier ou de les supprimer pendant la durée d'une Commande. Compte tenu de ce qui précède, ainsi que de la nature du Traitement et de l'étendue limitée du Traitement des Données personnelles des Clients par Equinix, Equinix n'est pas en mesure de fournir au Client toute assistance supplémentaire raisonnablement requise pour lui permettre de respecter ses droits.

2.5 Equinix ne fait pas appel à des sous-traitants pour le traitement décrit ici. En cas de changement de cette position, Equinix en informera le Client.

3. SÉCURITÉ

3.1 Compte tenu de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques, plus ou moins probables et plus ou moins graves, pour les droits et libertés des personnes physiques, Equinix prendra les mesures de sécurité techniques et organisationnelles appropriées Equinix considère, à sa seule discrétion, raisonnablement nécessaires pour protéger l'infrastructure Equinix Metal et l'environnement physique dans lequel elle se trouve. Les contrôles de sécurité d'Equinix à la date du DPA sont décrits à l'Annexe 2.

3.2 Le Client est responsable du développement, de la mise en œuvre, de la maintenance et de l'emploi de mesures de protection administratives et techniques appropriées qui, à sa seule discrétion, sont raisonnablement et adéquatement conçues pour protéger la sécurité des Données Client, y compris, sans limitation: (i) le cryptage des Données Client stockées et traitées sur Equinix Metal; (ii) l'utilisation de logiciels de détection et de surveillance des intrusions, de pare-feu et de protection antivirus ; et d'autres mesures de sécurité connexes conformes aux normes industrielles en vigueur ; (iii) la sauvegarde et le stockage réguliers des sauvegardes des Données Client ; (iv) la mise en œuvre de mesures correctives appropriées afin d'atténuer la perte, la perturbation, la suppression, la corruption ou la modification des Données Client ; et (v) la suppression des Données Client d' Equinix Metal avant l'expiration ou la résiliation d'une Commande.

3.3 Equinix informera le Client sans délai dès qu'elle aura connaissance d'une violation de données personnelles. Dans la mesure où Equinix dispose de ces informations, elle fournira au Client des informations sur la nature et les conséquences probables de la violation de données personnelles, ainsi que toute autre information requise par le Client en vertu des lois sur la protection des données.

3.4 Equinix s'assurera que les personnes autorisées par elle à traiter les données personnelles des clients dans le cadre d' Equinix Metal se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

3.5 Les Parties conviennent que leur Traitement des Données Personnelles des Clients, y compris leurs obligations respectives de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des Données Personnelles des Clients, doit à tout moment être aligné sur le Modèle de Responsabilité Partagée d'Equinix, tel qu'il s'applique à Equinix Metal.

4. AUDITS

4.1 Programme d'audit d'Equinix. Equinix fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité concernant le traitement des Données personnelles des Clients. Ces audits sont réalisés au moins une fois par an, aux frais d'Equinix, par des professionnels de la sécurité tiers indépendants sélectionnés par Equinix et donnent lieu à la production d'un résumé d'audit confidentiel (« Rapport d'audit »). Equinix mettra à la disposition du Client le Rapport d'audit et toutes les informations complémentaires raisonnablement nécessaires pour démontrer sa conformité aux obligations énoncées dans le présent ATD. Dans la mesure où le Client peut démontrer que le Rapport d'audit ne fournit pas suffisamment d'informations pour vérifier la conformité d'Equinix au présent Avenant, ou si le Client est tenu de faire procéder à un audit complémentaire par une autorité de contrôle, les parties conviendront mutuellement d'un plan et d'une portée d'audit.

5. RETOUR OU SUPPRESSION DU CONTENU CLIENT

5.1 Equinix fournira au Client les outils techniques appropriés lui permettant de supprimer ou de récupérer toute donnée personnelle stockée dans Equinix Metal. Le Client supprimera toutes les données client conformément à l'article 3.2. Avant de réutiliser les serveurs Equinix Metal pour un autre client, Equinix prendra les mesures nécessaires pour déprovisionner les serveurs Equinix Metal, ce qui permettra de nettoyer le matériel et de le remettre dans un état connu, ainsi que de nettoyer les supports de stockage, ce qui entraînera la suppression de toutes les données précédemment présentes sur les serveurs Equinix Metal . Toutefois, afin d'éviter toute ambiguïté, Equinix décline toute responsabilité en cas de manquement du Client à effacer ou à supprimer les données client d' Equinix Metal.

6. TRANSFERTS INTERNATIONAUX

6.1 Dans le cadre du traitement prévu par le déprovisionnement d'un serveur Equinix Metal, les Parties reconnaissent et conviennent qu'aucun transfert international de Données Personnelles Client ne sera effectué. Si les Parties conviennent que cette position change, elles s'engageront à mettre en place des garanties supplémentaires pour ce transfert, conformément à la législation applicable, telles que le module approprié des Clauses Contractuelles Types de l'UE.

7. DEMANDES D'INFORMATIONS

7.1 Equinix doit, sur demande et en tenant compte de la nature du traitement et des informations dont Equinix dispose, aider le client à garantir le respect de ses obligations en matière de protection des données ou d'évaluation de l'impact sur la vie privée en vertu des lois sur la protection des données.

8. DIVERS

8.1 Sous réserve de l’article 8.2, toute modification du présent DPA sera convenue par les Parties par écrit.

8.2 Equinix peut, sur préavis, apporter toute modification au présent DPA qui, selon son opinion raisonnable, est nécessaire pour garantir le respect continu des lois sur la protection des données par les parties.

8.3 Le présent ATD: (a) fait partie intégrante des conditions du Contrat et les complète ; (b) prévaut sur toute disposition contradictoire du Contrat. Le présent ATD remplace tout autre accord conclu par Equinix en sa qualité de Responsable du traitement des données personnelles des clients.

Annexe 1 de l'accord de traitement des données

TierTier NameProduct examplesProcessing activityEquinix RoleCustomer RoleCategories of Personal DataFrequency of Transfer
Tier 1Co-location Bare Metal as a Service [BMaaS]IBX Equinix MetalStandard hard disk erasure on the ServerData ProcessorData ControllerAs determined by customerAs determined by customer

Annexe 2: Mesures techniques et organisationnelles

Description des mesures techniques et organisationnelles mises en œuvre par Equinix Metal (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

  1. Mesures de pseudonymisation et de cryptage des données à caractère personnel

En ce qui concerne l'activité de traitement entreprise par Equinix, cela n'est pas pertinent car l'activité de traitement implique la suppression de toutes les données, y compris les données à caractère personnel, du serveur Equinix Metal.

Dans le contexte d'Equinix Metal, les mesures de pseudonymisation et de cryptage des données à caractère personnel relèvent de la responsabilité du client, car Equinix ne peut pas prendre ces mesures dans le cadre d'Equinix Metal.

  1. Mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement

En ce qui concerne le traitement effectué par Equinix, Equinix Metal lance une opération logicielle qui efface le serveur Equinix Metal, ce qui ne libère pas les données restant sur le serveur Equinix Metal, mais supprime les données comme décrit plus en détail au paragraphe 7 ci-dessous.

  1. Mesures visant à garantir la capacité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique

Concernant le traitement effectué par Equinix, l'objectif est de supprimer toutes les données client résiduelles du serveur Equinix Metal, y compris les données personnelles du client. Par conséquent, il sera impossible de restaurer et d'accéder aux données client une fois l'activité de traitement d'Equinix commencée. La conception d'une architecture informatique résiliente et dotée d'une réplication appropriée demeure la responsabilité du client. Les serveurs Equinix Metal ne sont pas vendus avec une architecture redondante.

Equinix tient à jour une page d'état publique pour Equinix Metal, disponible à l'adresse suivante:https://status.equinixmetal.com/ Equinix s'engage à communiquer rapidement et efficacement à ses clients les pannes de système ou les incidents de dégradation de service. Equinix avise tout client touché par une faille de sécurité.

  1. Procédures permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement.

Equinix évalue régulièrement la plate-forme Equinix Metal par le biais d'audits de conformité, par exemple SOC-2 ou ISO 27001. Ces audits couvrent l'évaluation des processus et du code utilisés pour maintenir une posture sécurisée en ce qui concerne les contrôles spécifiés dans chaque audit.

Concernant Equinix Metal, des analyses de vulnérabilité sont menées à tous les niveaux des produits Equinix . Afin de réduire les risques pour l'infrastructure Equinix et de compléter les pratiques de sécurité existantes, des analyses de vulnérabilité régulières sont effectuées sur tous les systèmes d'infrastructure critiques. Tous les problèmes de sécurité détectés sont atténués conformément à la politique de correction d'Equinix. Les niveaux de risque sont basés sur la méthodologie d'évaluation des risques de l'OWASP.

L'équipe interne de sécurité des produits d'Equinix effectue chaque année des tests d'intrusion sur chacun de ses produits. De plus, Equinix Metal fait appel à un prestataire externe pour identifier les vulnérabilités exploitables grâce à des tests d'intrusion sur ses applications web, ses API et les services de backbone réseau utilisés pour exploiter les produits Equinix Metal . Des tests d'intrusion externes sont également réalisés chaque année.

  1. Mesures d'identification et d'autorisation des utilisateurs

L'accès aux services Equinix Metal est géré par un composant de gestion des identités et des accès qui prend en charge l'authentification des utilisateurs (MFA), ainsi que la fédération qui permet aux clients d'utiliser leur propre fournisseur d'identité (IDP). Tous les journaux d'accès sont enregistrés en toute sécurité et conservés à des fins de dépannage et d'analyse judiciaire. Les mots de passe ne sont jamais stockés en texte clair et sont protégés par un mécanisme de hachage conforme aux normes de l'industrie.

  1. Mesures de protection des données lors de la transmission

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne procédera à aucun transfert de données sur Equinix Metal. Il incombe au client de veiller à ce que des mesures soient prises pour protéger les données le concernant pendant leur transmission.

  1. Mesures de protection des données pendant le stockage

Equinix Metal utilise un logiciel permettant à ses clients de provisionner et de déprovisionner leur matériel en toute sécurité. Lorsque des interventions physiques sont nécessaires pour la réparation et la maintenance des serveurs contenant les données du client, plusieurs mesures sont prises pour suivre les activités et gérer les données en toute sécurité.

Avant qu'une activité ou des données du client ne soient stockées sur les serveurs d'Equinix Metal, les serveurs sont traités de manière à ce que les disques et la mémoire soient débarrassés des données ou des formats stockés précédemment. Les clients choisissent le système d'exploitation à installer et fournissent les détails de la configuration qui seront appliqués par Equinix, puis on leur fournit les moyens d'accéder à leur serveur. Le client est entièrement responsable de la sécurisation de ses données stockées sur le serveur.

Une fois le serveur approvisionné, Equinix Metal n'a pas accès ni ne s'engage dans des activités qui auraient accès aux données client. Si un accès physique à un périphérique de stockage de données en cas de panne ou de mise à niveau est requis, le lecteur retiré est effacé avant de le jeter ou de le réutiliser. Lorsqu'un serveur Equinix Metal est déprovisionné, le processus automatisé exécute des routines de destruction de données sur les périphériques de stockage pour supprimer toutes les données client et tente de vérifier si des données client existent toujours après la destruction. Si l'un de ces processus de destruction automatisés échoue, le client en est informé et le processus est réexécuté jusqu'à son achèvement ou jusqu'à ce qu'une maintenance physique soit effectuée pour remplacer et détruire l'appareil défaillant.

  1. Mesures visant à assurer la sécurité physique des lieux où les données personnelles sont traitées

Equinix utilise des périmètres de sécurité pour protéger les zones qui contiennent des informations critiques sur les clients, des installations de traitement de l'information ou d'autres points d'entrée de données critiques pour ses systèmes. Les zones sécurisées sont protégées par des contrôles d'entrée appropriés, tels que des portes à trappe, des cages verrouillées et des dispositifs d'accès par carte, afin de s'assurer que seul le personnel autorisé peut y accéder. Equinix ne fournit un accès et des informations qu'aux employés ou aux sous-traitants qui ont un besoin professionnel légitime de ces privilèges. Tout visiteur non employé autorisé à accéder aux installations d'Equinix est autorisé et escorté par un employé d'Equinix. Les visiteurs sont clairement distingués des employés à l'aide d'un badge visiteur et doivent rendre leur badge visiteur à la sortie de l'établissement. Un registre des visiteurs est tenu pour enregistrer l'accès physique à l'installation ainsi qu'aux salles d'ordinateurs et aux centres de données où les données des clients sont stockées ou transmises. Les registres sont conservés pendant au moins trois mois. L'accès physique aux prises de réseau, aux points d'accès sans fil, aux passerelles et aux appareils portables est limité. Les points d'accès, tels que les zones de livraison et de chargement, et les autres points où des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés et isolés afin d'éviter tout accès non autorisé aux installations du centre de données. Le sous-système de contrôle d'accès permet aux utilisateurs autorisés de pénétrer dans le bâtiment et de franchir les différentes portes de l'installation. Des lecteurs biométriques de géométrie de la main ou d'empreintes digitales, des cartes de proximité et d'autres technologies permettent aux utilisateurs de s'identifier auprès du système et, après authentification, d'obtenir l'accès à des zones spécifiques.

  1. Mesures visant à garantir la journalisation des événements

Tous les événements de déprovisionnement sont suivis dans notre base de données et les enregistrements sont gérés et conservés conformément à nos politiques Equinix Metal.

En règle générale, Equinix utilise un système global pour surveiller l'état des serveurs et de l'infrastructure de l'entreprise. Des alertes sont automatiquement générées et introduites dans un système de journalisation et d'alerte. Ce système comprend des journaux d'accès, des journaux de traitement, ainsi que des journaux indiquant les opérations des services critiques nécessaires au fonctionnement des produits. Les journaux sont stockés de manière sécurisée et leur accès est limité aux personnes autorisées.

  1. Mesures pour garantir la configuration du système, y compris la configuration par défaut

Equinix n'est pas responsable de la surveillance de l'état ou de la disponibilité du matériel déployé ou utilisé par le Client dans les centres de données Equinix IBX . Equinix recommande plutôt aux Clients de mettre en place des mécanismes de surveillance appropriés et d'alerter Equinix équipe, par e-mail ou par téléphone, de tout problème lié au matériel ou aux services réseau partagés. Equinix collaborera ensuite avec le Client pour résoudre le problème.

  1. Mesures de gouvernance et de gestion de l’informatique interne et de la sécurité informatique

L'environnement de production utilisé pour fournir des services aux clients d'Equinix est distinct de celui utilisé par les employés Equinix pour leurs opérations quotidiennes. L'environnement d'entreprise utilisé pour les opérations quotidiennes est protégé par les mécanismes suivants.

Durcissement : Les directives et les normes d'Equinix en matière de durcissement sont documentées et appliquées lors de la construction des systèmes.

Accès à distance VPN : lorsque le personnel d'Equinix Metal accède à distance aux réseaux ou systèmes d'entreprise d'Equinix Metal, il est tenu d'utiliser des solutions d'accès à distance et VPN fournies par l'entreprise et une authentification à deux facteurs est requise.

  1. Mesures de certification/assurance des processus et des produits

Le processus de déprovisionnement suit les lignes directrices du NIST 800-53 et ces processus sont régulièrement audités.

Equinix détient des certifications et des attestations de sécurité (SOC2, ISO 27001 et CSA). Leur statut est régulièrement mis à jour. Des vérificateurs tiers externes effectuent des évaluations et des audits annuels afin de valider notre niveau de sécurité. L'évaluation CSA Star Level 1 d'Equinix est accessible au public sur le site Web de la Cloud Security Alliance. Notre certificat ISO 27001 et le résumé du rapport d'évaluation SOC2 de type 2 peuvent être obtenus auprès d'Equinix en vertu d'un accord de confidentialité. La liste des certifications obtenues pour chacun de nos centres de données est disponible en ligne sur la page IBX® Certifications, Standards and Compliance.

  1. Mesures pour assurer la minimisation des données

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas en mesure de garantir la minimisation des données, étant donné que le client détermine seul les données le concernant placées sur le serveur d'Equinix Metal qui seront supprimées dans le cadre du traitement effectué par Equinix.

  1. Mesures visant à garantir une conservation limitée des données

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne conservera aucune donnée client, et il incombe au client de s'assurer qu'il conserve toutes les données client nécessaires.

  1. Mesures pour garantir la responsabilité

En ce qui concerne le traitement effectué par Equinix, Equinix Metal n'est pas responsable de la détermination de l'accès aux données du client, et le client est responsable des mesures visant à garantir la responsabilité de toutes les données du client sur Equinix Metal.

  1. Mesures permettant la portabilité des données et garantissant leur effacement

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas en mesure de prendre en charge la portabilité des données et il incombe au client de s'assurer qu'il peut extraire toutes les données client d'Equinix Metal et les transférer vers d'autres systèmes.

Cette page vous a-t-elle été utile ?