Contrat de traitement des données - Managed Solutions
Le présent Contrat de traitement des données (« DPA ») complète et fait partie intégrante de l'accord entre le Client et Equinix (« Accord ») qui régit la fourniture des Managed Solutions au Client (« Services »), dans la mesure où les lois sur la protection des données s'appliquent au traitement des données personnelles des clients par Equinix.
En conséquence, les parties ont convenu et conclu le présent DPA pour régir cette activité de traitement.
Définitions. Tout terme commençant par une majuscule et non défini ci-dessous aura la signification qui lui est donnée dans le présent Contrat.
« CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs de 2018, article 1798.100 et suivants du Code civil.
« Responsable du traitement » désigne l’entité qui détermine les finalités et les moyens du Traitement des Données Personnelles.
« Publicité comportementale intercontextuelle » a le sens qui lui est donné par la CCPA.
Les « Données Client » incluent toutes les données chargées, stockées, reçues, récupérées, transmises ou autrement traitées par le Client dans le cadre de son utilisation des Services.
« Données personnelles du client » désigne toutes les données personnelles qui font partie des données du client.
« Contrat SCC Client » désigne le contrat entre le Client et Equinix, intégrant les clauses contractuelles standard, qui fait partie du présent DPA, qui prend effet au début de tout transfert restreint et qui est énoncé dans Equinix – Contrat SCC Client.
« Lois sur la protection des données » désigne toutes les lois régissant le traitement des données personnelles qui sont applicables au traitement des données client par Equinix dans le cadre des services.
« Personne concernée » désigne la personne vivante identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
« RGPD » signifie Règlement général sur la protection des données, Règlement (UE) 2016/679.
« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable et dont la collecte, l’utilisation, la divulgation, le stockage ou tout autre traitement est réglementé par les lois sur la protection des données.
« Violation de données personnelles » désigne une violation de la sécurité, entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données personnelles transmises, stockées ou autrement traitées.
« Sous-traitant » désigne l’entité qui traite les données personnelles pour le compte du responsable du traitement.
« Traitement » (y compris « Traité » et « Traiter ») désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles, telles que l'accès, la collecte, l'enregistrement, l'organisation, le stockage, la récupération, la consultation, l'utilisation, et tel que ce terme peut être défini plus en détail dans les lois sur la protection des données.
« Transfert restreint » désigne tout transfert international ou transfrontalier de données personnelles du client qui, en l'absence des clauses contractuelles types ou de tout autre mécanisme juridique applicable, serait illégal en vertu des lois sur la protection des données.
« Incident de sécurité » Un événement susceptible de violer les politiques de sécurité ou de confidentialité d'Equinix ou de menacer la capacité d' Equinix à maintenir une sécurité, une confidentialité ou une disponibilité adéquates liées aux données, au personnel ou à d'autres ressources Equinix .
« Vendre » a le sens qui lui est donné par le CCPA.
« Clauses contractuelles types » ou « CCT » désigne, dans la mesure où elles s'appliquent à tout transfert restreint entre les parties, les clauses contractuelles types pertinentes pour le transfert international de données personnelles (i) énoncées dans la décision d'exécution européenne (UE) 2021/914 (« CCT de l'UE ») ; (ii) énoncées dans l'addendum du Royaume-Uni ; ou (iii) émises par une autorité compétente en vertu de toute autre loi applicable en matière de protection des données.
« Publicité ciblée » a le sens qui lui est donné par le CCPA.
« Addendum du Royaume-Uni » désigne l'addendum sur le transfert international de données aux clauses contractuelles types émis par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A(1) de la loi sur la protection des données de 2018.
1. EXÉCUTION DU TRAITEMENT
1.1 Si Equinix traite des données personnelles du Client dans le cadre de la prestation de services, le Client agit en tant que Responsable du traitement et Equinix en tant que Sous-traitant. Les dispositions du présent accord de protection des données s'appliqueront et seront interprétées conformément aux conditions des Politiques de produits relatives aux services et au Modèle de responsabilité partagée, qui décrivent les responsabilités des Parties et sont disponibles ici: Modèle de responsabilité partagée.
1.2 Chaque Partie se conformera à ses obligations respectives en vertu des lois sur la protection des données et fournira au moins le niveau de protection des données personnelles du client requis par les lois sur la protection des données.
1.3 La portée et la nature du traitement des données personnelles des clients par Equinix sont définies à l'annexe 1 du présent DPA.
1.4 Le Client déterminera les finalités et les moyens du Traitement de ses Données Personnelles. Sans préjudice des obligations d'Equinix au titre du Contrat et du présent ATD, et sans limitation de ses obligations au titre des Lois sur la Protection des Données, le Client prendra toutes les mesures nécessaires pour garantir que les Données Personnelles du Client puissent être légalement mises à disposition d' Equinix et traitées par elle aux fins indiquées par le Client au titre du Contrat et du présent ATD.
1.5 Equinix traitera les Données personnelles du Client uniquement aux fins commerciales spécifiques de l'exécution de ses obligations en vertu du Contrat et du présent ATD. Le Contrat et le présent ATD constituent les instructions écrites complètes du Client à Equinix concernant le Traitement des Données personnelles du Client. Nonobstant ce qui précède, Equinix peut traiter les Données personnelles du Client afin de se conformer aux lois applicables en matière de protection des données, mais informera le Client de cette obligation légale avant le Traitement, sauf si cette loi l'interdit. Le Client a le droit, sur préavis, de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des Données personnelles du Client par Equinix et y remédier.
1.6 Sauf autorisation expresse contraire des lois sur la protection des données, Equinix ne vendra, ne conservera, n'utilisera, ne partagera, ne divulguera ni ne traitera de quelque autre manière que ce soit les données personnelles des clients, que ce soit sous forme agrégée ou individuelle:
-
1.6.1 à des fins commerciales ou à toute autre fin, y compris le service d'une entreprise différente de l'objectif spécifique décrit à la section 1.5
-
1.6.2 en dehors de la relation commerciale directe entre Equinix et le Client ; ou
-
1.6.3 pour la publicité comportementale intercontextuelle ou la publicité ciblée.
1.7 Equinix s'engage à ce que toute donnée personnelle agrégée, anonyme, dépersonnalisée ou pseudonyme du Client, qu'elle reçoit du Client ou en son nom, ou qu'elle génère dans le cadre de la fourniture des Services, ne puisse être réassociée ni réidentifiée à une personne. Equinix s'engage publiquement à ne pas tenter de réidentifier ces informations. Equinix ne combinera pas les données personnelles du Client avec celles qu'elle reçoit d'une ou plusieurs autres personnes ou en son nom, ou qu'elle collecte lors de ses propres interactions avec les personnes concernées, sauf dans les cas autorisés par les lois sur la protection des données.
1.8 En tant que Responsable du traitement, le Client est tenu d'informer les personnes concernées du traitement de leurs données personnelles et de répondre aux demandes d'exercice de leurs droits en vertu des lois sur la protection des données. Le Client reconnaît Equinix a configuré les Services et mis en œuvre les mesures techniques et organisationnelles appropriées pour lui permettre d'accéder à ses données personnelles, de les modifier et de les supprimer sans assistance supplémentaire de la part d' Equinix. Compte tenu de la nature du Traitement et de l'étendue limitée de l'accès d'Equinix aux données personnelles des Clients, Equinix fournira au Client, sur demande, toute l'assistance raisonnablement nécessaire pour lui permettre de respecter ses droits.
1.9 Le Client autorise Equinix à engager toute Société affiliée ou tout tiers en tant que Sous-traitant supplémentaire (« Sous-traitant »), sous réserve des conditions suivantes d' Equinix:
-
1.9.1 conclure un accord de traitement de données avec le Client qui est conforme aux lois sur la protection des données ;
-
1.9.2 informer le Client à l'avance de tout changement dans son utilisation des Sous-traitants, donnant ainsi au Client la possibilité de s'y opposer ; et
-
1.9.3 rester responsable envers le Client de tout manquement d'un Sous-traitant à ses obligations en relation avec le Traitement des Données Personnelles du Client.
Les sous-traitants engagés par Equinix à la date de l’Accord sont ceux énoncés à l’annexe 2 du présent DPA.
2. SÉCURITÉ
2.1 En sa qualité de Responsable du traitement des Données Personnelles du Client, et compte tenu de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, plus ou moins probables et plus ou moins graves, pour les droits et libertés des personnes physiques, Equinix prendra les mesures de sécurité techniques et organisationnelles appropriées qu'elle juge raisonnablement nécessaires pour protéger les Données Personnelles du Client et assistera le Client, dans la mesure du possible, dans le respect de ses obligations de sécurité en vertu des Lois sur la Protection des Données. Les Parties reconnaissent que, dans certains cas, Equinix peut proposer des mesures de sécurité techniques et organisationnelles supplémentaires sous forme de produits et services commerciaux distincts, dont le choix incombe entièrement au Client. Les contrôles de sécurité d'Equinix, qui, avec l'engagement pris dans la présente Section 2.1, constituent la seule responsabilité d'Equinix en matière de sécurité des Données Client. Les contrôles de sécurité Equinix sont décrits à l'Annexe 3. De plus, ces mesures sont conformes aux exigences de la norme ISO 27001. Une description des contrôles de sécurité relatifs à ces exigences est mise à la disposition du Client sur demande.
2.2 Equinix informera le Client sans délai dès qu'elle aura connaissance d'une violation de données personnelles. Dans la mesure où Equinix dispose de ces informations, elle fournira au Client des informations sur la nature et les conséquences probables de la violation, ainsi que sur les mesures prises ou à prendre pour y remédier, et toute autre information à laquelle le Client a droit en vertu des lois sur la protection des données.
2.3 Equinix s'assurera que les personnes autorisées à traiter les données personnelles des clients se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
3. AUDITS
3.1 Programme d'audit d'Equinix. Equinix fait appel à des auditeurs externes pour évaluer l'adéquation de ses mesures de sécurité concernant le traitement des données personnelles des clients. Ces audits sont réalisés au moins une fois par an, aux frais d'Equinix. Ils sont réalisés par des professionnels de la sécurité qualifiés et indépendants, sélectionnés par Equinix, et donnent lieu à la production d'un résumé d'audit confidentiel (« Rapport d'audit »). Equinix fournira au Client, sur demande écrite et à intervalles raisonnables, une copie de son rapport d'audit le plus récent. Tous ces rapports d'audit constituent des informations confidentielles d'Equinix et sont destinés à l'usage exclusif du Client.
3.2 Audit Client. Le Client accepte que tous les droits d'audit accordés par les Lois sur la protection des données seront satisfaits par la production du présent Rapport d'audit. Dans la mesure où le Client peut démontrer que le Rapport d'audit ne fournit pas suffisamment d'informations pour vérifier la conformité d'Equinix au présent DPA, ou lorsque le Client est tenu d'organiser un audit supplémentaire par une autorité de contrôle, les Parties conviendront mutuellement de la portée du plan d'audit du Client qui: (a) garantit le recours à un tiers indépendant ; (b) informe Equinix par écrit et dans un délai raisonnable du début de l'audit ; (c) exige l'accès au personnel et à l'infrastructure Equinix uniquement pendant les heures ouvrables normales ; (d) accepte la facturation au Client aux tarifs d'Equinix alors en vigueur pour le temps consacré par le personnel Equinix à l'audit ; (e) n'a lieu qu'une fois par an ; (f) limite ses conclusions aux seules données pertinentes pour le Client ; et (g) oblige le Client et son auditeur tiers, dans la mesure permise par la loi ou la réglementation, à préserver la confidentialité de toute information divulguée ou autrement recueillie au cours de l'audit du Client.
4. RETOUR OU SUPPRESSION DU CONTENU CLIENT
4.1 Equinix fournira au Client, sur demande écrite du Client, toute assistance supplémentaire raisonnablement nécessaire pour permettre au Client de supprimer ou de restituer les Données personnelles du Client, aux frais et dépens du Client.
4.2 Conservation requise par la loi. Nonobstant toute disposition contraire de la présente section 4, Equinix peut conserver les Données personnelles du Client, en totalité ou en partie, si la loi ou la réglementation applicable, y compris la Loi sur la protection des données, l'exige, à condition que ces Données personnelles restent protégées conformément aux termes du Contrat, du présent ATD et de la Loi sur la protection des données.
5. TRANSFERTS INTERNATIONAUX
5.1 En cas de Transfert Restreint entre les parties, celles-ci conviennent de conclure les Clauses Contractuelles Types (CCT) telles que définies dans l'Accord Client SCC d'Equinix, disponible à l'adresse: Equinix – Accord Client SCC, ou tout autre mécanisme juridique applicable. L'Entente Client SCC est intégrée au présent Accord de Protection des Données (APD) et en fait partie intégrante ; il entre en vigueur dès le début du Transfert Restreint entre les parties.
6. DEMANDES D'INFORMATIONS
6.1 Equinix, sur demande et en tenant compte de la nature du traitement et des informations dont dispose Equinix, assistera raisonnablement le client concernant les obligations du client en matière de protection des données ou d'évaluations d'impact sur la vie privée requises par les lois sur la protection des données.
7. DIVERS
7.1 Le Client reconnaît et accepte Equinix puisse, à sa seule discrétion, modifier le présent DPA de temps à autre, ce qui, selon son opinion raisonnable, est nécessaire pour garantir la conformité continue des Parties aux lois sur la protection des données, et que ces conditions DPA modifiées entreront en vigueur dès leur publication.
7.2 Les dispositions du présent ATD font partie intégrante des termes du Contrat et les complètent. En cas d'ambiguïté, de conflit ou d'incohérence entre les termes du présent ATD et ceux du Contrat, les termes du ATD prévalent. Le présent ATD remplace tout autre accord conclu par Equinix en sa qualité de Sous-traitant des Données Personnelles des Clients concernant les Services.
Annexe 1 de l'accord de traitement des données
Conformément à la clause 1.3, voici la portée et la nature du traitement Equinix.
| Tier Name | Product examples | Purpose of Processing | Equinix Role | Customer Role | Categories of Personal Data |
|---|---|---|---|---|---|
| Infrastructure as a Service | Managed Private Cloud | (a) Backup, support, planning, and enabling migration, deployment, and development of Services; Encryption (enabled by default for data at rest in MPC Storage) (b) Infrastructure management (preventing, detecting, investigating, mitigating, and repairing problems, including security incidents and problems identified in the Services; and (c) Enhancing delivery, efficacy, quality, and security of our Services, including keeping Services up to date, and enhancing reliability, efficacy, quality, and security and fixing defects. | Data Processor | Data Controller | As determined by Customer |
| Enhanced Platform as a Service | Managed Private Backup | As above | Data Processor | Data Controller | As determined by Customer |
| Infrastructure as a Service | Managed Private Storage | As above | Data Processor | Data Controller | As determined by Customer |
Annexe 2 de l'accord sur le traitement des données
Conformément à la clause 1.9, voici la liste des sous-traitants:
Globally: Equinix Services Inc.
Equinix (US) Enterprises Inc.
Equinix (UK) Enterprises Ltd.
Equinix (Germany) Enterprises GmbH
Equinix (Netherlands) Enterprises BV
Virtu Secure Webservices BV
Equinix (Italy) Enterprises SRL
Equinix (Japan) Enterprises KK
Equinix (Japan) Technology Services KK
Equinix do Brasil Solucoes de Tecnologia en Informatica Ltda
Equinix do Brasil Telecommunicacoes Ltda
Equinix MX Services SA de CV
Equinix (Canada) Enterprises Ltd.
Equinix (Sweden) Enterprises AB
Equinix (France) Enterprises SAS
Equinix (Spain) Enterprises SAU
Equinix (Finland) Enterprises Oy
Equinix (Ireland) Enterprises Ltd
Annexe 3 – MESURES TECHNIQUES ET ORGANISATIONNELLES
Le tableau ci-dessous illustre les mesures techniques et organisationnelles mises en œuvre par Equinix pour la fourniture des services:
| Domain | Practices |
|---|---|
| Organization of Information Security Organizational Context Risk Management Strategy Roles, Responsibilities, and Authorities Policy Oversight | Equinix has organized governance of Information Security around the following teams and programs which review, evaluate and enhance Equinix security practices: Audit and compliance – Equinix formally complies with various industry standards, such as ISO 27001. Audit attestations and certificates are provided by qualified third-party auditors. These auditors coordinate activities with various business and technology teams like Business Assurance Services, Internal Audit, and Operations. Information Security team – Working closely with the legal organization, this team is charged to follow global and business unit guidelines to help ensure compliance with local and federal laws and regulations. Information Security Risk Management - Working closely with business representatives to establish Equinix' priorities, constraints, risk tolerance and appetite statements, and ensuring that assumptions are established, communicated, and used to support operational risk decisions. Information Security policies – The Equinix Information Security team administers and enforces a comprehensive set of confidential Information security policies that is reviewed and endorsed by senior management. This team ensures that the internal policies are global in scope, covering country-specific and region-specific laws, regulations, and business requirements. Areas covered by these internal security policies include, but are not limited to: acceptable use of technology, anti-virus and malware, data backup and retention, data classification, labeling and handling, logical access, passwords, patch management, mobile devices, personal computers, remote access and VPN, and social media. |
| Information Protection Human Resource Security | Equinix has implemented and maintains employee security training programs regarding information security risks and requirements. The security awareness training programs are reviewed and updated at least annually. Where permitted by law, and to the extent available from applicable governmental authorities, Equinix requires each employee to undergo a background check. |
| Asset Management | Asset Inventory - Equinix has implemented processes that focus on identifying and cataloging all assets used to deliver services. This process includes physical assets, virtual assets and intangible assets like software licenses. By maintaining an accurate up to date inventory, Equinix can effectively track its assets, monitor their usage, and plan for maintenance. Asset Handling - This involves implementing technical and organizational measures to protect assets from damage, theft, or unauthorized access. Technical measures may include implementing security systems to safeguard physical assets, such as surveillance cameras and access control systems. Equinix may employ encryption and authentication protocols to protect customer data stored on digital assets. Organizational measures involve establishing policies and procedures for asset handling, including guidelines for asset maintenance, usage, and disposal. |
| Physical and Environmental Security | Safeguarding physical security of every IBX Center where information systems processing and storing customer data are located is a high operational priority. Each IBX Center uses an array of security equipment, techniques and procedures to monitor the facility and to control and record access. Access – The access control subsystem allows authorized users inside the building and within the facility. Biometric security devices, proximity cards and other technologies identify users to the access control system, and upon authentication allow contacts to navigate the IBX as permitted. Alarm Monitoring and Intrusion Detection – The alarm monitoring and intrusion detection subsystem monitor the status of various devices associated with the security system. Monitoring devices include door position switches, glass break detectors, motion detectors, and tamper switches. If the status of any device changes from their secure state, an alarm is activated, the event is recorded, and appropriate measure is taken. CCTV – The closed-circuit television subsystem provides the display, control, recording and playback of live video from cameras throughout the facility, as well as outside the facility where legally permitted. This system is integrated with the alarm monitoring and intrusion detection subsystem, so in the event of an alarm, cameras are displayed automatically to view the event in real time. |
| Communications and Operations Management | Vulnerability Assessments - Equinix performs regular internal and external vulnerability assessments and penetration testing of the Equinix EMS information systems and will investigate identified issues and track them to resolution in a timely manner. Malicious Software - Equinix has anti-malware controls to help avoid malicious software gaining unauthorized access to customer data including malicious software originating from public networks. Change Management - Equinix maintains controls designed to log, authorize, test, approve and document changes to existing resources and will document change details within its change management or deployment tools. Equinix will test changes according to its change management standards prior to migration to production. Equinix will maintain processes designed to detect unauthorized changes to the Equinix information systems and track identified issues to a resolution. Data Integrity - Equinix maintains controls designed to provide data integrity during transmission, storage, and processing within the Equinix Services information systems. Event Logging - Equinix logs, or enables Customer to log, access and use information systems containing customer data -specific to that customer- registering the access ID, time, authorization granted or denied, and relevant activity. Backup/Restore – Customer Data is backed up where applicable via backup tooling. Equinix employees managing these backups have no access to the Customer Data. In case a restore is required, Customer can request this restore. |
| Access Control | Equinix makes the Customer Data accessible only to authorized personnel, and only as necessary to maintain and provide the Equinix Services. Equinix maintains access policies and controls to manage authorizations for access to the customer data from each network connection and user through the use of firewalls, controlled access connectivity or functionally equivalent technology and authentication controls. Data Segregation - Equinix maintains access controls designed to restrict unauthorized access to Customer Data and segregate each Customer's Data from other Customers' Data. User access controls - Relates to access to Equinix information include, but are not limited to: - least privilege principles based on personnel job functions - review and approval prior to provisioning access - at least quarterly review of access privileges - when necessary, revoke access privileges in a timely manner - two-factor authentication for access to the Customer Data - monitoring by Equinix (or enabled Customers) for anomalies in access activity such as for example (but not limited to) repeated attempts to gain access to the information system using an invalid password. |
| Information Security | Incident Management Incident Response Process - Equinix maintains incident response plans (runbooks) to respond to potential security threats to the Managed Solution Services. Equinix runbooks will have defined processes to detect, mitigate, investigate, and report security incidents. The Equinix runbooks include incident verification, attack analysis, containment, data collection, and problem remediation. For each Security Breach that is a Security Incident, appropriate notification by Equinix EMS will be made in compliance with local regulations. Service Monitoring - Equinix monitors on a continuous basis, or enables Customer to monitor, for anomalies related to security events (for example but not limited to repeated attempts to gain access to the information system using an invalid password). |
| Business Continuity Management | Emergency and Contingency plans - Equinix maintains emergency and contingency plans for the facilities in which Equinix information systems that process Customer Data are located. These plans will be tested annually. Data recovery - Equinix redundant storage and its procedures for recovering data are designed to attempt to reconstruct Customer Data in its original or last-replicated state. |