Skip to main content

Accord de traitement des données - métal

Le présent Contrat de traitement des données (« APD ») complète et fait partie intégrante du contrat de services entre le Client et Equinix régissant l'utilisation d'Equinix Metal par le Client (le « Contrat »), dans la mesure où les lois sur la protection des données s'appliquent au traitement des données personnelles du Client par Equinix.

Le Client est responsable de la suppression de toutes les données Client du ou des serveurs Equinix Metal au plus tard à la fin de la durée du Contrat. Si les données client ne sont pas supprimées du ou des serveurs Equinix Metal par le Client, Equinix supprimera les données client dans le cadre de ses activités de désapprovisionnement. Si la suppression du ou des serveurs Equinix Metal par Equinix entraîne la suppression des données personnelles du Client, une telle action peut être considérée comme un acte de traitement.

En conséquence, les Parties ont convenu et conclu le présent DPA pour régir ces activités de traitement.

1. DÉFINITIONS

Tous les termes non définis dans les présentes auront le sens qui leur est donné dans le Contrat.

1,1 "contrôleur" désigne l'entité qui détermine les finalités et les moyens du traitement des données personnelles.

1,2 « données client » désigne toutes les données chargées, stockées, reçues, récupérées, transmises par, ou autrement traitées par le Client dans le cadre de son utilisation d'Equinix Metal.

1,3 « données personnelles du client » désigne toutes les données personnelles qui font partie des données du client.

1,4 « lois sur la protection des données » désigne toutes les lois de la juridiction appropriée, y compris l'État de Californie, l'Union européenne, l'espace économique européen et/ou ses états membres, la Suisse et/ou le Royaume-Uni régissant le traitement des données personnelles applicables au traitement des données personnelles des clients par Equinix dans le cadre des services numériques.

1,5 « Equinix Metal » désigne les services numériques comprenant la fourniture de serveurs nus Metal (appelés Equinix Metal), fournis à la demande ou dans le cadre d'un abonnement, par Equinix dans le cadre du Contrat.

« Données à caractère personnel » — Désigne toute information concernant une personne physique identifiée ou identifiable et dont la collecte, l’utilisation, la divulgation, le stockage ou autre Traitement est régi par les lois ou réglementations applicables en matière de protection des données et de la vie privée.

1,7 « violation de données personnelles » désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à, données personnelles du client transmises, stockées ou autrement traitées.

« Traitement » — Désigne toute opération ou ensemble d’opérations effectuées sur des Données à caractère personnel : accès, collecte, enregistrement, organisation, stockage, récupération, consultation, utilisation, et toute opération pouvant être définie dans les lois ou réglementations applicables en matière de protection des données et de la vie privée.

1,9 "processeur" désigne l'entité qui traite les données personnelles pour le compte du responsable du traitement.

1,10 « modèle de responsabilité partagée » désigne la répartition des responsabilités entre un client et Equinix pour les différents services Equinix, qui peut être consultée sur : modèle de responsabilité partagée

2. TRAITEMENT DES DONNÉES

2,1 si Equinix traite des données personnelles à la suite du retrait d'Equinix Metal, le Client agit en tant que contrôleur et Equinix agit en tant que sous-traitant, et le présent DPA s'applique. Les Parties respecteront leurs obligations respectives en vertu des lois sur la protection des données. La portée et la nature du traitement des données personnelles des clients par Equinix sont définies dans l'Annexe 1 du présent DPA.

2,2 dans la mesure où le Client n'utilise pas lui-même les contrôles dont il dispose pour supprimer les données du Client d'un serveur Equinix Metal avant l'expiration ou la résiliation d'une commande applicable, le Client en tant que responsable du traitement donne instruction à Equinix en tant que sous-traitant de supprimer toutes les données du Client, y compris les données personnelles du Client, d'Equinix Metal à l'expiration ou à la résiliation de la commande applicable, conformément à la section 5,1 du présent DPA. Le Client prendra toutes les mesures nécessaires pour s'assurer que les données personnelles du Client seront légalement mises à la disposition d'Equinix et traitées par celle-ci aux fins indiquées par le Client dans le cadre du présent DPA.

2,3 Equinix ne traitera que les données personnelles du Client énoncées à la section 2,2 du présent DPA, qui constituent les instructions écrites complètes du Client à Equinix concernant le traitement des données personnelles du Client.

2,4 en tant que responsable du traitement, le Client est responsable d'informer les personnes concernées du traitement des données personnelles du Client et de répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données. Le Client reconnaît également qu'Equinix a configuré Equinix Metal et mis en œuvre des mesures techniques et organisationnelles appropriées conçues pour permettre au Client d'accéder, de modifier et de supprimer les données Client sans l'aide d'Equinix, et qui empêchent Equinix d'accéder, de modifier ou de supprimer les données Client pendant la durée d'une commande. Compte tenu de ce qui précède, ainsi que de la nature du traitement et de l'étendue limitée du traitement des données personnelles des clients par Equinix, Equinix n'est pas en mesure de fournir au Client toute assistance supplémentaire raisonnablement nécessaire pour lui permettre de se conformer aux droits des personnes concernées.

2,5 Equinix n'utilise pas de sous-traitants pour le traitement décrit ici. Si cette position change, Equinix en informera le Client.

3. SÉCURITÉ

3,1 compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Equinix prendra les mesures de sécurité techniques et organisationnelles appropriées qu'Equinix, à sa seule discrétion, considère raisonnablement nécessaires pour protéger l'infrastructure d'Equinix Metal et l'environnement physique dans lequel elle se trouve. Les contrôles de sécurité d'Equinix à la date de l'APD sont décrits dans l'Annexe 2.

3,2 le Client est responsable du développement, de la mise en œuvre, de la maintenance et de l'utilisation de mesures de sécurité administratives et techniques appropriées, à sa seule discrétion, conçues de manière raisonnable et appropriée pour protéger la sécurité des données Client, y compris, sans s'y limiter : (i) le chiffrement des données Client stockées et traitées sur Equinix Metal ; (ii) l'utilisation de la détection et de la surveillance des intrusions, de pare-feu et de logiciels de protection antivirus ; et autres mesures de sécurité connexes conformes aux normes industrielles en vigueur ; (iii) la sauvegarde régulière des données Client ; (iv) mettre en œuvre des mesures correctives appropriées afin de limiter la perte, l'interruption, la suppression, la corruption ou la modification des données client ; et (v) supprimer les données client d'Equinix Metal avant l'expiration ou la résiliation d'une commande.

3,3 Equinix informera le Client sans retard injustifié de toute violation de données personnelles. Dans la mesure où les informations sont à la disposition d'Equinix, fournissez au Client des informations sur la nature et les conséquences probables des mesures de violation des données personnelles qui ont été ou seront prises pour remédier à la violation des données personnelles, ainsi que toute autre information requise par le Client en vertu des lois sur la protection des données.

3,4 Equinix veillera à ce que les personnes autorisées par elle à traiter les données personnelles des clients dans le cadre d'Equinix Metal se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

3,5 les Parties conviennent que leur traitement des données personnelles des clients, y compris leurs obligations respectives de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles des clients, doit à tout moment être aligné sur le modèle de responsabilité partagée d'Equinix, tel qu'il s'applique à Equinix métal.

4. AUDITS

4,1 Programme d'audit d'Equinix. Equinix fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité par rapport au traitement des données personnelles des clients. Ces audits sont effectués au moins une fois par an aux frais d'Equinix par des professionnels de la sécurité tiers indépendants au choix d'Equinix et donnent lieu à la génération d'un résumé d'audit confidentiel (« rapport d'audit »). Equinix mettra à la disposition du Client le rapport d'audit et toutes les informations supplémentaires raisonnablement nécessaires pour démontrer le respect par Equinix de ses obligations énoncées dans le présent DPA. Dans la mesure où le Client peut démontrer que le rapport d'audit ne fournit pas suffisamment d'informations pour vérifier la conformité d'Equinix avec le présent Addendum, ou lorsque le Client est tenu d'organiser un audit supplémentaire par une autorité de surveillance, les parties doivent convenir d'un plan d'audit et d'une portée.

5. RETOUR OU SUPPRESSION DU CONTENU DU CLIENT

5,1 Equinix fournira au Client les outils techniques appropriés qui lui permettront de supprimer ou de récupérer les données personnelles du Client stockées dans Equinix Metal. Le Client supprimera toutes les données du Client conformément à la section 3,2. Avant de réutiliser les serveurs Equinix Metal pour un autre client, Equinix entreprendra des mesures pour mettre hors service les serveurs Equinix Metal, ce qui nettoiera le matériel et le ramènera à un état connu et désinfectera les supports de stockage, ce qui entraînera l'effacement de toutes les données précédemment restées sur les serveurs Equinix Metal. Toutefois, pour éviter tout doute, Equinix décline toute responsabilité en cas où le Client n'aura pas effacé ou supprimé les données Client d'Equinix Metal.

6. TRANSFERTS INTERNATIONAUX

6,1 dans le cadre du traitement envisagé par le désapprovisionnement d'un serveur Equinix Metal, les Parties reconnaissent et conviennent qu'il n'y aura aucune forme de transfert international des données personnelles du Client. Si les Parties conviennent que cette position change, elles accepteront de prendre des mesures de sauvegarde supplémentaires pour ce transfert, comme le prévoit la loi applicable, telles que le module approprié des clauses contractuelles types de l'UE.

7. DEMANDES D'INFORMATION

7,1 Equinix aidera le Client, sur demande et en tenant compte de la nature du traitement et des informations dont il dispose, à s'assurer du respect de ses obligations en matière de protection des données ou d'évaluation de l'impact sur la vie privée en vertu des lois sur la protection des données.

8. DIVERS

8,1 sous réserve de la section 8,2, toute modification apportée au présent APD sera convenue par écrit par les Parties.

8,2 Equinix peut, sur préavis, apporter toute modification au présent DPA qui, à son avis raisonnable, est nécessaire pour garantir le respect continu par les parties des lois sur la protection des données.

8,3 le présent APD : (a) fait partie intégrante des termes de l'Accord et les complète et (b) prévaut sur toute disposition contradictoire de l'Accord. Le présent DPA remplace tout autre accord conclu par Equinix en sa qualité de sous-traitant des données personnelles des clients.

Annexe 1 de l'Accord sur le traitement des données

NiveauNom du niveauExemples de produitsActivité de traitementRôle EquinixRôle du clientCatégories de données personnellesFréquence du transfert
Niveau 1Co-implantation Bare Metal as a Service [BMaaS]IBX Equinix métalEffacement standard du disque dur sur le serveurProcesseur de donnéesContrôleur de donnéesTel que déterminé par le clientTel que déterminé par le client

Annexe 2 : mesures techniques et organisationnelles

Description des mesures techniques et organisationnelles mises en œuvre par Equinix Metal (y compris les éventuelles certifications pertinentes) pour garantir un niveau de sécurité approprié, en tenant compte de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

  1. Mesures de pseudonymisation et de cryptage des données personnelles

    En ce qui concerne l'activité de traitement entreprise par Equinix, cela n'est pas pertinent car l'activité de traitement implique la suppression de toutes les données, y compris les données personnelles, du serveur Equinix Metal.

    Dans le cadre d'Equinix Metal, les mesures de pseudonymisation et de cryptage des données personnelles restent de la responsabilité du client, Equinix ne pouvant pas effectuer ces mesures dans le cadre d'Equinix Metal.

  2. Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement

    En ce qui concerne le traitement effectué par Equinix, Equinix Metal lance une opération logicielle qui efface le serveur Equinix Metal, qui ne divulguera aucune donnée restante sur le serveur Equinix Metal, mais supprimera les données comme décrit plus en détail au paragraphe 7 ci-dessous.

  3. Les mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique

    En ce qui concerne le traitement effectué par Equinix, l'intention est de supprimer et de supprimer toutes les données clients résiduelles du serveur Equinix Metal, y compris les données personnelles du Client, et par conséquent, il ne sera plus possible de restaurer et d'accéder aux données clients une fois que les activités de traitement d'Equinix auront commencé. La conception d'une architecture INFORMATIQUE avec résilience et réplication appropriée reste la responsabilité du Client. Les serveurs Equinix Metal ne sont pas vendus dans une architecture redondante.

    Equinix gère une page d'état publique pour Equinix Metal située à https://status.equinixmetal.com/ afin de communiquer rapidement et efficacement à ses clients les pannes de système ou les incidents de dégradation de service. Equinix avertit tout Client concerné par une faille de sécurité.

  4. Processus de test, d'évaluation et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement

    Equinix évalue régulièrement la plate-forme Equinix Metal via des audits de conformité, par exemple SOC-2 ou ISO 27001. Ces audits portent sur l'évaluation des processus et du code utilisés pour maintenir une posture sécuritaire en ce qui concerne les contrôles spécifiés dans chaque audit.

    En ce qui concerne Equinix Metal, une analyse de vulnérabilité est effectuée à tous les niveaux pour les produits Equinix. Pour réduire les risques pour l'infrastructure Equinix et compléter les pratiques de sécurité existantes, des analyses de vulnérabilité de routine sont effectuées sur tous les systèmes d'infrastructure critiques. Tous les problèmes de sécurité découverts sont atténués conformément à la politique de correction d'Equinix. Les niveaux de risque sont basés sur la méthodologie d'évaluation des risques de l'OWASP.

    L'équipe de sécurité des produits interne d'Equinix effectue chaque année des tests d'intrusion sur chacun de ses produits. En outre, Equinix Metal fait appel à un fournisseur externe pour identifier les vulnérabilités exploitables par le biais de tests de pénétration sur ses applications Web, ses API et les services de backbone réseau utilisés pour exploiter les produits Equinix Metal. Des tests de pénétration externes tiers sont effectués annuellement.

  5. Mesures d'identification et d'autorisation des utilisateurs

    L'accès aux services Equinix Metal est géré via un composant de gestion des identités et des accès qui prend en charge le MFA pour l'authentification des utilisateurs, ainsi que la Fédération qui permet aux clients d'utiliser leur propre IDP (Identity Provider). Tous les journaux d'accès sont consignés de manière sécurisée et conservés pour le dépannage et les besoins d'analyse. Les mots de passe ne sont jamais stockés en texte brut et sont protégés à l'aide d'un mécanisme de hachage conforme aux normes de l'industrie.

  6. Mesures de protection des données pendant la transmission

    En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne procédera à aucun transfert de données clients sur Equinix Metal. Le Client reste responsable de veiller à ce que les mesures soient mises en œuvre pour la protection de toutes les données du Client pendant la transmission.

  7. Mesures de protection des données pendant le stockage

    Equinix Metal utilise des logiciels pour fournir à ses clients la possibilité d'approvisionner et de désapprovisionner leur matériel de manière sécurisée. Lorsque des actions physiques sont nécessaires pour la réparation et la maintenance des serveurs contenant les données du Client, plusieurs mesures sont prises pour suivre les activités et gérer les données en toute sécurité.

    Avant que l'activité ou les données du client ne soient stockées sur les serveurs Equinix Metal, les serveurs sont traités dans un état où les disques et la mémoire sont effacés des données ou formats stockés précédemment. Les clients choisissent le système d'exploitation à installer et fournissent les détails de configuration qui seront appliqués par Equinix, puis le client reçoit les moyens d'accéder à son serveur. Le Client est entièrement responsable de la sécurisation de ses données stockées sur le serveur.

    Une fois le serveur provisionné, Equinix Metal n'a plus accès aux données clients et ne s'engage plus dans des activités susceptibles d'y accéder. Si un accès physique à un périphérique de stockage de données en cas de panne ou de mise à niveau est requis, le lecteur retiré est effacé avant de le mettre au rebut ou de le réutiliser. Lorsqu'un serveur Equinix Metal est déprovisionné, le processus automatisé exécute des routines de destruction des données sur les périphériques de stockage afin de supprimer toutes les données client et tente de vérifier si des données client existent toujours après la destruction. Si l'un de ces processus de destruction automatisée échoue, le client en est averti et le processus est relancé jusqu'à ce qu'il soit terminé ou qu'une maintenance physique soit effectuée pour remplacer et détruire l'appareil défectueux.

  8. Mesures visant à garantir la sécurité physique des lieux où les données à caractère personnel sont traitées

    Equinix utilise des périmètres de sécurité pour protéger les zones contenant des informations critiques sur les clients, des installations de traitement de l'information ou d'autres points d'entrée de données critiques pour ses systèmes. Les zones sécurisées sont protégées par des contrôles d'entrée appropriés tels que des portes à pièges à hommes, des périmètres de cage verrouillés et des dispositifs d'accès par carte pour garantir que seul le personnel autorisé est autorisé à y accéder. Equinix ne fournit l'accès et les informations qu'aux employés ou sous-traitants qui ont un besoin professionnel légitime de tels privilèges. Tous les visiteurs non employés autorisés à accéder aux installations d'Equinix sont autorisés et accompagnés par un employé d'Equinix. Les visiteurs se distinguent clairement des employés qui utilisent un badge visiteur et doivent remettre leur identification de visiteur à la sortie de l'établissement. Un journal des visiteurs est tenu à jour pour enregistrer l'accès physique à l'installation ainsi que pour les salles informatiques et les centres de données où les données client sont stockées ou transmises. Les journaux sont conservés pendant au moins trois mois. L'accès physique aux prises réseau, aux points d'accès sans fil, aux passerelles et aux périphériques portables est restreint. Les points d'accès, tels que les zones de livraison et de chargement, et les autres points où des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés et isolés pour éviter tout accès non autorisé aux installations du centre de données. Le sous-système de contrôle d'accès permet aux utilisateurs autorisés à l'intérieur du bâtiment et à travers les différentes portes de l'installation. Les lecteurs biométriques de géométrie des mains ou d'empreintes digitales, les cartes de proximité et d'autres technologies permettent aux utilisateurs de s'identifier au système et, après authentification, d'accéder à des zones spécifiques.

  9. Mesures pour garantir la consignation des événements

    Tous les événements de désapprovisionnement sont suivis dans notre base de données et les enregistrements sont gérés et conservés conformément à nos politiques Equinix Metal.

    En règle générale, Equinix utilise un système global pour surveiller la santé des serveurs et de l'infrastructure de l'entreprise. Les alertes sont automatiquement générées et introduites dans un système de consignation et d'alerte. Cela inclut les journaux d'accès, les journaux de traitement, ainsi que les journaux indiquant les opérations des services critiques requis pour le fonctionnement des produits. Les journaux sont stockés de manière sécurisée et l'accès est limité à une personne autorisée.

  10. Mesures pour garantir la configuration du système, y compris la configuration par défaut

    Equinix n'est pas responsable de la surveillance de l'intégrité ou de la disponibilité du matériel déployé ou utilisé par le Client dans les datacenters IBX d'Equinix. Au lieu de cela, Equinix recommande aux clients de mettre en place des mécanismes de surveillance appropriés et d'alerter le personnel d'Equinix, par e-mail ou par téléphone, de tout problème lié au matériel ou aux services réseau partagés. Equinix travaillera ensuite avec le client pour résoudre le problème.

  11. Mesures pour la gouvernance et la gestion internes DES TI et de la sécurité DES TI

    L'environnement de production utilisé pour fournir des services aux clients d'Equinix est distinct de l'environnement utilisé par les employés d'Equinix pour effectuer leurs opérations quotidiennes. L'environnement de l'entreprise pour la conduite des opérations quotidiennes est protégé à l'aide des mécanismes suivants.

    Durcissement : les directives et les normes de durcissement d'Equinix sont documentées et appliquées lors de la construction du système.

    VPN d'accès à distance : lorsque le personnel d'Equinix Metal accède à distance aux réseaux ou systèmes d'entreprise d'Equinix Metal, il doit utiliser des solutions VPN et d'accès à distance fournies par l'entreprise et une authentification à deux facteurs est requise.

  12. Mesures de certification/assurance des procédés et des produits

    Le processus de désapprovisionnement suit les directives du NIST 800-53 et ces processus sont régulièrement audités.

    Equinix maintient les certifications et attestations de sécurité (SOC2, ISO 27001 et CSA). Leur statut est répertorié et mis à jour régulièrement. Les auditeurs tierces parties externes sont mis à profit pour effectuer des évaluations et des audits annuels afin de valider la posture de sécurité. L'évaluation CSA Star Level 1 d'Equinix est disponible publiquement sur le site Web de Cloud Security Alliance. Notre certificat ISO 27001 et le résumé du rapport d'évaluation SOC2 type 2 peuvent être demandés à Equinix sous NDA. La liste des certifications obtenues pour chacun de nos centres de données est disponible en ligne sur IBX® certifications, Standards and Compliance.

  13. Mesures visant à garantir la minimisation des données

    En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas en mesure d'assurer la minimisation des données, car seul le Client détermine les données Client placées sur le serveur Equinix Metal qui seraient supprimées dans le cadre du traitement effectué par Equinix.

  14. Mesures visant à garantir une conservation limitée des données

    En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne conservera aucune donnée client, et le Client sera responsable de veiller à ce que le Client conserve toutes les données client nécessaires.

  15. Mesures visant à garantir la responsabilisation

    En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas responsable de la détermination de l'accès aux données du Client, et le Client sera responsable des mesures visant à garantir la responsabilité de toute donnée du Client sur Equinix Metal.

  16. Mesures permettant la portabilité des données et assurant leur effacement

    En ce qui concerne le traitement effectué par Equinix, Equinix Metal ne sera pas en mesure de prendre en charge la portabilité des données et le Client reste responsable de s'assurer qu'il peut extraire toutes les données du Client d'Equinix Metal et les transférer vers d'autres systèmes.

Cette page vous a-t-elle été utile ?