Skip to main content

Accord sur le traitement des données - Metal

Le présent accord de traitement des données (" ATD ") complète et fait partie de l'accord de services entre le client et Equinix régissant l'utilisation par le client du Metal d'Equinix (l'" accord "), dans la mesure où les lois sur la protection des données s'appliquent au traitement par Equinix des données à caractère personnel du client.

Le client est tenu de supprimer toutes les données client du ou des serveurs Equinix Metal au plus tard à la fin de la durée de l'accord. Si le client ne retire pas les données client du ou des serveurs Equinix Metal, Equinix supprimera les données client dans le cadre de ses activités de déprovisionnement. Si le déprovisionnement par Equinix du ou des serveurs Equinix Metal entraîne la suppression des Données personnelles du Client, cette action peut être considérée comme un acte de Traitement.

En conséquence, les parties ont convenu et conclu le présent DPA pour régir cette activité de traitement.

1. DÉFINITIONS

Les termes commençant par une majuscule qui ne sont pas définis ci-dessous ont la signification qui leur est donnée dans l'accord.

1.1 "Responsable du traitement" : l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.

1.2 " Données du client " : toutes les données chargées, stockées, reçues, récupérées, transmises par l'intermédiaire d'Equinix Metal ou traitées d'une autre manière par le client dans le cadre de son utilisation d'Equinix Metal.

1.3 "Données personnelles du client" : toutes les données personnelles qui font partie des données du client.

1.4 " Lois sur la protection des données " désigne toutes les lois de la juridiction appropriée, y compris l'État de Californie, l'Union européenne, l'Espace économique européen et/ou ses États membres, la Suisse et/ou le Royaume-Uni, qui réglementent le traitement des données personnelles et qui sont applicables au traitement des données personnelles des clients par Equinix dans le cadre des Services numériques.

1.5 " Equinix Metal " désigne les Services numériques comprenant la mise à disposition de serveurs bare metal (appelés Equinix Metal), fournis soit à la demande, soit dans le cadre d'un abonnement, par Equinix en vertu du Contrat.

1.6 "Données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable et dont la collecte, l'utilisation, la divulgation, le stockage ou tout autre traitement est régi par les lois sur la protection des données.

1.7 "Violation de données à caractère personnel" : une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données à caractère personnel du client transmises, stockées ou traitées d'une autre manière.

1.8 "Traitement", "traité", "processus" : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que l'accès, la collecte, l'enregistrement, l'organisation, le stockage, l'extraction, la consultation, l'utilisation, et tel que ce terme peut être défini ultérieurement en vertu des lois sur la protection des données.

1.9 "Processeur" désigne l'entité qui traite les données personnelles pour le compte du contrôleur.

1.10 " Modèle de responsabilité partagée " : la répartition des responsabilités entre un client et Equinix pour divers services Equinix, qui peut être consultée à l'adresse suivante : [Shared Responsibility Model](Shared Responsibility Model) : Modèle de responsabilité partagée

2. LE TRAITEMENT DES DONNÉES

2.1 Si Equinix traite des données à caractère personnel à la suite du déprovisionnement d'Equinix Metal, le client agit en tant que responsable du traitement et Equinix en tant que sous-traitant, et le présent RGPD s'applique. Les parties se conformeront à leurs obligations respectives en vertu des lois sur la protection des données. La portée et la nature du traitement par Equinix des données à caractère personnel du client sont exposées à l'annexe 1 du présent DPA.

2.2 Dans la mesure où le client n'utilise pas lui-même les contrôles dont il dispose pour supprimer les données du client d'un serveur Equinix Metal avant l'expiration ou la résiliation d'une commande applicable, le client, en tant que responsable du traitement, donne par les présentes instruction à Equinix, en tant que sous-traitant, de supprimer toutes les données du client, y compris les données à caractère personnel du client, d'Equinix Metal à l'expiration ou à la résiliation de la commande applicable, conformément à la section 5.1 de la présente DPA. Le client prend toutes les mesures nécessaires pour garantir que les données personnelles du client seront légalement mises à la disposition d'Equinix et traitées par elle aux fins indiquées par le client en vertu du présent DPA.

2.3 Equinix ne traitera que les données personnelles du client énoncées à la section 2.2 de la présente DPA, qui constituent les instructions écrites complètes du client à Equinix concernant le traitement des données personnelles du client.

2.4 En tant que responsable du traitement, le client est chargé d'informer les personnes concernées du traitement des données personnelles du client et de répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données. Le Client reconnaît en outre qu'Equinix a configuré Equinix Metal et mis en œuvre des mesures techniques et organisationnelles appropriées qui sont conçues pour permettre au Client d'accéder aux Données à caractère personnel du Client, de les modifier et de les supprimer sans autre assistance de la part d'Equinix, et qui empêchent Equinix d'accéder aux Données à caractère personnel du Client, de les modifier ou de les supprimer pendant la durée d'une Commande. Compte tenu de ce qui précède, ainsi que de la nature du traitement et de l'étendue limitée du traitement par Equinix des données personnelles du client, Equinix n'est pas en mesure de fournir au client l'assistance supplémentaire raisonnablement nécessaire pour lui permettre de respecter les droits des personnes concernées.

2.5 Equinix ne fait pas appel à des sous-traitants pour le traitement décrit ici. Si cette position change, Equinix en informera le client.

3. SÉCURITÉ

3.1 En tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Equinix prendra les mesures de sécurité techniques et organisationnelles appropriées qu'Equinix, à sa seule discrétion, considère comme raisonnablement nécessaires pour protéger l'infrastructure Metal d'Equinix et l'environnement physique dans lequel elle se trouve. Les contrôles de sécurité d'Equinix à la date du DPA sont décrits à l'annexe 2.

3.2 Le Client est responsable de l'élaboration, de la mise en œuvre, de la maintenance et de l'utilisation de mesures de protection administratives et techniques appropriées qui, à la seule discrétion du Client, sont raisonnablement et convenablement conçues pour protéger la sécurité des Données Client, y compris, sans s'y limiter : (i) le cryptage des Données Client qui sont stockées et traitées sur Equinix Metal ; (ii) l'utilisation de logiciels de détection et de surveillance des intrusions, de pare-feu et de protection antivirus ; et d'autres mesures de sécurité connexes conformes aux normes industrielles alors en vigueur ; (iii) la sauvegarde et le stockage réguliers des sauvegardes des Données Client ; (iv) la mise en œuvre de mesures correctives appropriées afin d'atténuer la perte, l'interruption, la suppression, la corruption ou la modification des Données Client ; et (v) le retrait des Données Client d'Equinix Metal avant l'expiration ou la résiliation d'une Commande.

3.3 Equinix informe le client dans les meilleurs délais dès qu'il a connaissance d'une violation de données à caractère personnel. Dans la mesure où Equinix dispose des informations nécessaires, Equinix fournit au client des informations sur la nature et les conséquences probables de la violation de données à caractère personnel, les mesures qui ont été ou seront prises pour remédier à la violation de données à caractère personnel, ainsi que toute autre information que le client exige en vertu des lois sur la protection des données.

3.4 Equinix veille à ce que les personnes qu'elle autorise à traiter les données à caractère personnel des clients dans le cadre d'Equinix Metal se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

3.5 Les parties conviennent que leur traitement des données à caractère personnel des clients, y compris leurs obligations respectives de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel des clients, doit à tout moment être aligné sur le modèle de responsabilité partagée d'Equinix, tel qu'il s'applique à Equinix Metal.

4. AUDITS

4.1 Programme d'audit d'Equinix. Equinix fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité en ce qui concerne le traitement des données personnelles des clients. Ces audits sont réalisés au moins une fois par an, aux frais d'Equinix, par des professionnels de la sécurité tiers indépendants choisis par Equinix, et donnent lieu à la rédaction d'un résumé d'audit confidentiel (" rapport d'audit "). Equinix met à la disposition du client le rapport d'audit et toutes les informations supplémentaires qui sont raisonnablement nécessaires pour démontrer qu'Equinix respecte ses obligations énoncées dans le présent DPA. Dans la mesure où le client peut démontrer que le rapport d'audit ne fournit pas suffisamment d'informations pour vérifier le respect par Equinix du présent addendum, ou si le client est tenu d'organiser un audit supplémentaire par une autorité de surveillance, les parties conviennent d'un commun accord d'un plan et d'une portée d'audit.

5. RETOUR OU SUPPRESSION DU CONTENU DU CLIENT

5.1 Equinix fournira au client les outils techniques appropriés qui lui permettront de supprimer ou de récupérer toutes les données personnelles du client qui sont stockées dans Equinix Metal. Le client supprimera toutes les données le concernant conformément à l'article 3.2. Avant de réutiliser les serveurs Equinix Metal pour un autre client, Equinix prendra des mesures pour déprovisionner les serveurs Equinix Metal, ce qui nettoie le matériel et le ramène à un état connu, et pour assainir les supports de stockage, ce qui entraîne l'effacement de toutes les données qui se trouvaient auparavant sur les serveurs Equinix Metal, mais pour éviter toute ambiguïté, Equinix décline toute responsabilité si le client n'efface pas ou ne retire pas les Données personnelles du client d'Equinix Metal.

6. TRANSFERTS INTERNATIONAUX

6.1 Dans le cadre du Traitement envisagé par le déprovisionnement d'un serveur Equinix Metal, les Parties reconnaissent et conviennent qu'il n'y aura aucune forme de transfert international des Données à caractère personnel des Clients. Si les parties conviennent que cette position change, elles conviendront de mettre en place des garanties supplémentaires pour ce transfert, conformément à la législation applicable, par exemple le module approprié des Clauses contractuelles types de l'UE.

7. DEMANDES D'INFORMATION

7.1 Equinix doit, sur demande et compte tenu de la nature du traitement et des informations dont dispose Equinix, aider le client à se conformer à ses obligations en matière de protection des données ou d'évaluation de l'impact sur la vie privée en vertu des lois sur la protection des données.

8. DIVERS

8.1 Sous réserve de la section 8.2, les parties conviennent par écrit de toute modification du présent DPA.

8.2 Equinix peut, moyennant préavis, apporter à la présente DPA toute modification qui, à son avis raisonnable, est nécessaire pour garantir le respect continu par les parties des lois sur la protection des données.

8.3 Le présent DPA : (a) fait partie des termes de l'Accord et les complète et (b) prévaut sur tout terme contradictoire de l'Accord. La présente DPA remplace tout autre accord conclu par Equinix en sa qualité de responsable du traitement des données personnelles des clients.

Annexe 1 à l'accord sur le traitement des données

TierTier NameProduct examplesProcessing activityEquinix RoleCustomer RoleCategories of Personal DataFrequency of Transfer
Tier 1Co-location Bare Metal as a Service [BMaaS]IBX Equinix MetalStandard hard disk erasure on the ServerData ProcessorData ControllerAs determined by customerAs determined by customer

Annexe 2 : Mesures techniques et organisationnelles

Description des mesures techniques et organisationnelles mises en œuvre par Equinix Metal (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

  1. Mesures de pseudonymisation et de cryptage des données à caractère personnel

En ce qui concerne l'activité de traitement entreprise par Equinix, cela n'est pas pertinent car l'activité de traitement implique la suppression de toutes les données, y compris les données à caractère personnel, du serveur Equinix Metal.

Dans le cadre d'Equinix Metal, les mesures de pseudonymisation et de chiffrement des données à caractère personnel restent de la responsabilité du client, car Equinix ne peut pas effectuer ces mesures dans le cadre d'Equinix Metal.

  1. Mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement

En ce qui concerne le traitement effectué par Equinix, Equinix Metal lance une opération logicielle qui efface le serveur Equinix Metal, ce qui ne libère pas les données restées sur le serveur Equinix Metal, mais supprime les données comme décrit plus en détail au paragraphe 7 ci-dessous.

  1. Mesures visant à garantir la capacité de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci en temps utile en cas d'incident physique ou technique

En ce qui concerne le traitement entrepris par Equinix, l'intention est de supprimer et de retirer toutes les données client résiduelles du serveur Equinix Metal, y compris toutes les données personnelles du client, et en conséquence, il ne sera pas possible de restaurer et d'accéder aux données client une fois que l'activité de traitement d'Equinix aura commencé. La conception d'une architecture informatique avec résilience et réplication appropriée reste de la responsabilité du client. Les serveurs Equinix Metal ne sont pas vendus dans une architecture redondante.

Equinix tient à jour une page d'état publique pour Equinix Metal située à l'adresse https://status.equinixmetal.com/ afin de communiquer rapidement et efficacement à ses clients les pannes de système ou les incidents de dégradation du service. Equinix informe tout client touché par une faille de sécurité.

  1. Procédures permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement.

Equinix évalue régulièrement la plate-forme Equinix Metal par le biais d'audits de conformité, par exemple SOC-2 ou ISO 27001. Ces audits couvrent l'évaluation des processus et du code utilisés pour maintenir une posture sécurisée en ce qui concerne les contrôles spécifiés dans chaque audit.

En ce qui concerne le Metal d'Equinix, des analyses de vulnérabilité sont effectuées à tous les niveaux pour les produits d'Equinix. Afin de réduire les risques pour l'infrastructure d'Equinix et de compléter les pratiques de sécurité existantes, des analyses de vulnérabilité de routine sont effectuées sur tous les systèmes d'infrastructure critiques. Tous les problèmes de sécurité découverts sont résolus conformément à la politique de remédiation d'Equinix. Les niveaux de risque sont basés sur la méthodologie d'évaluation des risques de l'OWASP.

L'équipe interne d'Equinix chargée de la sécurité des produits effectue chaque année des tests de pénétration pour chacun de ses produits. En outre, Equinix Metal passe un contrat avec un fournisseur externe pour identifier les vulnérabilités exploitables par le biais de tests de pénétration de ses applications Web, de ses API et des services de dorsale réseau utilisés pour faire fonctionner les produits d'Equinix Metal. Des tests de pénétration externes sont effectués chaque année.

  1. Mesures d'identification et d'autorisation des utilisateurs

L'accès aux services Equinix Metal est géré par un composant Identity and Access Management qui prend en charge le MFA pour l'authentification des utilisateurs, ainsi que la fédération qui permet aux clients d'utiliser leur propre IDP (fournisseur d'identité). Tous les journaux d'accès sont enregistrés en toute sécurité et conservés à des fins de dépannage et d'analyse judiciaire. Les mots de passe ne sont jamais stockés en texte clair et sont protégés par un mécanisme de hachage conforme aux normes de l'industrie.

  1. Mesures de protection des données lors de leur transmission

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne prendra pas l'initiative d'un quelconque transfert de Données Client sur Equinix Metal. Il incombe au client de veiller à ce que des mesures soient mises en œuvre pour protéger les données le concernant pendant leur transmission.

  1. Mesures de protection des données pendant le stockage

Equinix Metal utilise un logiciel pour offrir aux clients la possibilité de provisionner et de déprovisionner leur matériel de manière sécurisée. Lorsque des actions physiques sont nécessaires pour la réparation et la maintenance des serveurs contenant les données du client, plusieurs mesures sont prises pour suivre les activités et traiter les données en toute sécurité.

Avant qu'une activité ou des données du client ne soient stockées sur les serveurs d'Equinix Metal, les serveurs sont mis dans un état où les disques et la mémoire sont débarrassés des données ou des formats stockés antérieurement. Les clients choisissent le système d'exploitation à installer et fournissent les détails de la configuration qui sera appliquée par Equinix, puis le client reçoit les moyens d'accéder à son serveur. Le client est entièrement responsable de la sécurisation de ses données stockées sur le serveur.

Une fois le serveur provisionné, Equinix Metal n'a pas accès aux données du client et ne s'engage pas dans des activités qui permettraient d'accéder à ces données. S'il est nécessaire d'accéder physiquement à un dispositif de stockage de données en cas de panne ou de mise à niveau, le lecteur retiré est effacé avant d'être éliminé ou réutilisé. Lorsqu'un serveur Equinix Metal est déprovisionné, le processus automatisé exécute des routines de destruction de données sur les périphériques de stockage pour supprimer toutes les données client et tente de vérifier si des données client existent encore après la destruction. Si l'un de ces processus de destruction automatique échoue, le client en est informé et le processus est relancé jusqu'à ce qu'il soit terminé ou qu'une maintenance physique soit effectuée pour remplacer et détruire le périphérique défaillant.

  1. Mesures visant à assurer la sécurité physique des lieux où sont traitées les données à caractère personnel

Equinix utilise des périmètres de sécurité pour protéger les zones qui contiennent des informations critiques sur les clients, des installations de traitement de l'information ou d'autres points d'entrée de données critiques pour ses systèmes. Les zones sécurisées sont protégées par des contrôles d'entrée appropriés, tels que des portes à trappe, des cages verrouillées et des dispositifs d'accès par carte, afin de s'assurer que seul le personnel autorisé peut y accéder. Equinix ne fournit un accès et des informations qu'aux employés ou aux sous-traitants qui ont un besoin professionnel légitime de ces privilèges. Tout visiteur non employé qui est autorisé à accéder aux installations d'Equinix est autorisé et escorté par un employé d'Equinix. Les visiteurs sont clairement distingués des employés à l'aide d'un badge visiteur et doivent rendre leur badge visiteur à la sortie de l'établissement. Un registre des visiteurs est tenu pour enregistrer l'accès physique à l'installation ainsi qu'aux salles d'ordinateurs et aux centres de données où les données des clients sont stockées ou transmises. Les registres sont conservés pendant au moins trois mois. L'accès physique aux prises de réseau, aux points d'accès sans fil, aux passerelles et aux appareils portables est limité. Les points d'accès, tels que les zones de livraison et de chargement, et les autres points où des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés et isolés afin d'éviter tout accès non autorisé aux installations du centre de données. Le sous-système de contrôle d'accès permet aux utilisateurs autorisés de pénétrer dans le bâtiment et de franchir les différentes portes de l'installation. Des lecteurs biométriques de géométrie de la main ou d'empreintes digitales, des cartes de proximité et d'autres technologies permettent aux utilisateurs de s'identifier auprès du système et, après authentification, d'obtenir l'accès à des zones spécifiques.

  1. Mesures visant à garantir la journalisation des événements

Tous les événements de déprovisionnement sont suivis dans notre base de données et les enregistrements sont gérés et conservés conformément à nos politiques Equinix Metal.

En règle générale, Equinix utilise un système global pour surveiller la santé des serveurs et de l'infrastructure de l'entreprise. Des alertes sont automatiquement générées et introduites dans un système de journalisation et d'alerte. Ce système comprend des journaux d'accès, des journaux de traitement, ainsi que des journaux indiquant les opérations des services critiques nécessaires au fonctionnement des produits. Les journaux sont stockés de manière sécurisée et leur accès est limité aux personnes autorisées.

  1. Mesures visant à garantir la configuration du système, y compris la configuration par défaut

Equinix n'est pas responsable de la surveillance de la santé ou de la disponibilité du matériel déployé ou utilisé par le client dans les centres de données IBX d'Equinix. Equinix recommande plutôt aux clients de mettre en place des mécanismes de surveillance appropriés et d'alerter le personnel d'Equinix, par courriel ou par téléphone, de tout problème lié au matériel ou aux services de réseau partagé. Equinix travaillera alors avec le client pour résoudre le problème.

  1. Mesures relatives à la gouvernance et à la gestion internes de l'informatique et de la sécurité informatique

L'environnement de production utilisé pour fournir des services aux clients d'Equinix est distinct de l'environnement utilisé par les employés d'Equinix pour mener leurs activités quotidiennes. L'environnement d'entreprise utilisé pour les opérations quotidiennes est protégé par les mécanismes suivants.

Durcissement : Les directives et les normes de durcissement d'Equinix sont documentées et appliquées lors de la construction des systèmes.

Accès à distance VPN : lorsque le personnel d'Equinix Metal accède à distance aux réseaux ou systèmes d'entreprise d'Equinix Metal, il est tenu d'utiliser des solutions d'accès à distance et de VPN fournies par l'entreprise et une authentification à deux facteurs est requise.

  1. Mesures de certification/assurance des processus et des produits

Le processus de déprovisionnement suit les lignes directrices du NIST 800-53 et ces processus sont régulièrement audités.

Equinix possède des certifications et des attestations de sécurité (SOC2, ISO 27001 et CSA). L'état de ces certifications et attestations est indiqué et mis à jour régulièrement. Des auditeurs externes tiers sont chargés d'effectuer des évaluations et des audits annuels pour valider le niveau de sécurité. L'évaluation CSA Star Level 1 d'Equinix est accessible au public sur le site Web de la Cloud Security Alliance. Notre certificat ISO 27001 et le résumé du rapport d'évaluation SOC2 Type 2 peuvent être demandés à Equinix sous NDA. La liste des certifications obtenues pour chacun de nos centres de données peut être consultée en ligne sur IBX® Certifications, Standards and Compliance.

  1. Mesures visant à garantir la minimisation des données

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas en mesure de garantir la minimisation des données, étant donné que le client détermine seul les données le concernant placées sur le serveur d'Equinix Metal qui seraient supprimées dans le cadre du traitement effectué par Equinix.

  1. Mesures visant à garantir une conservation limitée des données

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne conserve aucune donnée client, et il incombe au client de s'assurer qu'il conserve toutes les données client nécessaires.

  1. Mesures visant à garantir l'obligation de rendre compte

En ce qui concerne le traitement effectué par Equinix, Equinix Metal n'est pas responsable de la détermination de l'accès aux données du client, et le client est responsable des mesures visant à garantir l'imputabilité de toutes les données du client sur Equinix Metal.

  1. Mesures visant à permettre la portabilité des données et à garantir leur effacement

En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas en mesure de prendre en charge la portabilité des données et le client reste responsable de s'assurer qu'il peut extraire toutes les données client d'Equinix Metal et les transférer vers d'autres systèmes.

Cette page vous a-t-elle été utile ?