Accord sur le traitement des données - Managed Solutions
Le présent accord de traitement des données (" ATD ") complète et fait partie de l'accord entre le client et Equinix (" Accord ") qui régit la fourniture des Managed Solutions au client (" Services "), dans la mesure où les lois sur la protection des données s'appliquent au traitement par Equinix des données à caractère personnel du client.
En conséquence, les parties ont convenu et conclu le présent DPA pour régir cette activité de traitement.
Définitions. Tous les termes en majuscules qui ne sont pas définis ci-dessous ont la signification qui leur est donnée dans l'accord.
"CCPA" : la loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), section 1798.100 et suivantes du code civil (Civil Code section 1798.100 et seq).
Le "contrôleur" est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.
La "publicité comportementale cross-contextuelle" a la signification qui lui est donnée par la CCPA.
Les "données du client" comprennent toutes les données chargées, stockées, reçues, récupérées, transmises par l'intermédiaire des services ou traitées d'une autre manière par le client dans le cadre de son utilisation des services.
"Données personnelles du client" : toutes les données personnelles qui font partie des données du client.
"Accord SCC client " : l'accord entre le client et Equinix, incorporant les clauses contractuelles types, qui fait partie du présent DPA, qui prend effet au début de tout transfert restreint et qui figure à l'adresse Equinix - Customer SCC Agreement.
"Lois sur la protection des données " : toutes les lois régissant le traitement des données personnelles qui sont applicables au traitement des données des clients par Equinix dans le cadre des services.
La "personne concernée" est la personne vivante identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
"GDPR" désigne le règlement général sur la protection des données, le règlement (UE) 2016/679.
"Données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable et dont la collecte, l'utilisation, la divulgation, le stockage ou tout autre traitement est régi par les lois sur la protection des données.
"violation de données à caractère personnel" : une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès à ces données.
Le terme "sous-traitant" désigne l'entité qui traite les données à caractère personnel pour le compte du contrôleur.
Le terme "traitement" (y compris "traité" et "processus") désigne toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que l'accès, la collecte, l'enregistrement, l'organisation, le stockage, l'extraction, la consultation, l'utilisation, et tel que ce terme peut être défini ultérieurement en vertu des lois sur la protection des données.
"Transfert restreint" : tout transfert international ou transfrontalier de données à caractère personnel du client qui, en l'absence de Clauses contractuelles types ou de tout autre mécanisme juridique applicable, serait illégal en vertu des lois sur la protection des données.
"Incident de sécurité" Événement susceptible d'enfreindre les politiques d'Equinix en matière de sécurité ou de confidentialité ou de menacer d'une autre manière la capacité d'Equinix à maintenir une sécurité, une confidentialité ou une disponibilité adéquates des données, du personnel ou d'autres ressources d'Equinix.
Le terme "vendre" a la signification qui lui est donnée par l'ACCP.
"Clauses contractuelles types" ou "CCS" désigne, selon qu'elles s'appliquent à un transfert restreint entre les parties, les clauses contractuelles types pertinentes pour le transfert international de données à caractère personnel (i) énoncées dans la décision d'exécution européenne (UE) 2021/914 ("CCS UE") ; (ii) énoncées dans l'addendum britannique ; ou (iii) émises par une autorité compétente en vertu de toute autre loi applicable en matière de protection des données.
La "publicité ciblée" a la signification qui lui est donnée par la CCPA.
"Addendum britannique" : l'addendum sur le transfert international de données aux clauses contractuelles types publié par le commissaire à l'information du Royaume-Uni en vertu de l'article 119A(1) de la loi sur la protection des données (Data Protection Act) de 2018.
1. EXÉCUTION DU TRAITEMENT
1.1 Si Equinix traite les données personnelles du client dans le cadre de la fourniture des services, le client agit en tant que contrôleur et Equinix en tant que sous-traitant, et les dispositions de la présente DPA s'appliquent et doivent être lues conformément aux conditions des politiques de produit pour les services et du modèle de responsabilité partagée qui décrivent les responsabilités des parties et peuvent être consultés ici : Modèle de responsabilité partagée
1.2 Chaque partie se conformera à ses obligations respectives en vertu des lois sur la protection des données et fournira au moins le niveau de protection des données personnelles du client requis par les lois sur la protection des données.
1.3 La portée et la nature du traitement par Equinix des données personnelles des clients sont définies dans l'annexe 1 de la présente DPA.
1.4 Le client détermine les finalités et les moyens du traitement des données personnelles du client. Sans préjudice des obligations d'Equinix en vertu de l'accord et du présent DPA, et sans limitation de ses obligations en vertu des lois sur la protection des données, le client prend toutes les mesures nécessaires pour que les données personnelles du client puissent être légalement mises à la disposition d'Equinix et traitées par celle-ci aux fins indiquées par le client en vertu de l'accord et du présent DPA.
1.5 Equinix ne traitera les données personnelles du client que dans le but commercial spécifique d'exécuter ses obligations au titre de l'accord et de la présente DPA. L'accord et la présente DPA constituent les instructions écrites complètes du client à Equinix concernant le traitement des données personnelles du client. Nonobstant ce qui précède, Equinix peut traiter les données personnelles des clients pour se conformer aux lois applicables en matière de protection des données, mais elle informera le client de cette exigence légale avant le traitement, à moins que la loi en question n'interdise cette information. Le client a le droit, après notification, de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des données personnelles du client par Equinix et y remédier.
1.6 Sauf autorisation expresse des lois sur la protection des données, Equinix ne vendra pas, ne conservera pas, n'utilisera pas, ne partagera pas, ne divulguera pas ou ne traitera pas d'une autre manière les données personnelles des clients, que ce soit sous forme agrégée ou individuelle :
-
1.6.1 à des fins commerciales ou à toute autre fin, y compris la gestion d'une activité différente de l'objectif spécifique décrit à la section 1.5
-
1.6.2 en dehors de la relation commerciale directe entre Equinix et le client ; ou
-
1.6.3 pour la publicité comportementale cross-contextuelle ou la publicité ciblée.
1.7 Equinix convient que les données personnelles agrégées, anonymes, dépersonnalisées ou pseudonymes qu'elle reçoit du client ou en son nom, ou qu'elle génère en fournissant les services, ne peuvent pas être réassociées ou réidentifiées à une personne. Equinix s'engage publiquement à ne pas tenter de réidentifier ces informations. Equinix ne combinera pas les données personnelles des clients avec les données personnelles qu'elle reçoit d'une ou plusieurs autres personnes ou en leur nom, ou qu'elle recueille dans le cadre de ses propres interactions avec les personnes concernées, sauf si les lois sur la protection des données l'y autorisent.
1.8 En tant que responsable du traitement, le client est tenu d'informer les personnes concernées du traitement des données personnelles du client et de répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données. Le client reconnaît qu'Equinix a configuré les services et mis en œuvre des mesures techniques et organisationnelles appropriées conçues pour permettre au client d'accéder aux données personnelles du client, de les modifier et de les supprimer sans autre assistance de la part d'Equinix. Compte tenu de la nature du traitement et de l'étendue limitée de l'accès d'Equinix aux données personnelles du client, Equinix fournira au client, sur demande, toute assistance supplémentaire raisonnablement nécessaire pour permettre au client de respecter les droits des personnes concernées.
1.9 Le client autorise Equinix à engager toute société affiliée ou tout tiers en tant que sous-traitant supplémentaire (" sous-traitant secondaire "), sous réserve qu'Equinix :
-
1.9.1 conclure avec le client un accord sur le traitement des données qui soit conforme aux lois sur la protection des données ;
-
1.9.2 notifier à l'avance au client toute modification de son utilisation des sous-traitants secondaires, en lui donnant ainsi la possibilité de s'y opposer ; et
-
1.9.3 rester responsable vis-à-vis du Client de tout manquement d'un Sous-Traitant à ses obligations relatives au Traitement des Données Personnelles du Client.
Les sous-traitants secondaires engagés par Equinix à la date de l'accord sont ceux qui figurent à l'annexe 2 de la présente DPA.
2. SÉCURITÉ
2.1 En sa qualité de responsable du traitement des données personnelles des clients, et compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Equinix prend les mesures de sécurité techniques et organisationnelles appropriées qu'elle juge raisonnablement nécessaires pour protéger les données personnelles des clients, et aide le client, dans la mesure où cela est raisonnablement possible, à s'acquitter des obligations de sécurité qui lui incombent en vertu des lois relatives à la protection des données. Les parties reconnaissent que, dans certains cas, Equinix peut proposer des mesures de sécurité techniques et organisationnelles supplémentaires sous forme de produits et services commerciaux distincts, dont le choix incombe entièrement au client. Les contrôles de sécurité d'Equinix, qui, avec l'engagement pris dans la présente section 2.1, constituent la seule responsabilité d'Equinix en ce qui concerne la sécurité des données du client. Les contrôles de sécurité d'Equinix sont décrits à l'annexe 3. En outre, ces mesures sont également conformes aux exigences énoncées dans la norme ISO 27001. Une description des contrôles de sécurité relatifs à ces exigences est mise à la disposition du client sur demande.
2.2 Equinix informe le client dans les meilleurs délais dès qu'elle a connaissance d'une violation de données à caractère personnel. Dans la mesure où Equinix dispose des informations nécessaires, elle fournit au client des informations sur la nature et les conséquences probables de la violation de données à caractère personnel et sur les mesures qui ont été ou seront prises pour remédier à la violation de données à caractère personnel, ainsi que toute autre information à laquelle le client a droit en vertu des lois sur la protection des données.
2.3 Equinix veille à ce que les personnes autorisées à traiter les données personnelles des clients se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.
3. AUDITS
3.1 Programme d'audit d'Equinix. Equinix fait appel à des auditeurs externes pour évaluer l'adéquation de ses mesures de sécurité en ce qui concerne le traitement des données personnelles des clients. Ces audits sont réalisés au moins une fois par an aux frais d'Equinix. Les audits sont réalisés par des professionnels de la sécurité tiers qualifiés et indépendants, choisis par Equinix, et donnent lieu à un résumé d'audit confidentiel (" rapport d'audit "). Equinix fournira au client, sur demande écrite de ce dernier et à intervalles raisonnables, une copie de son rapport d'audit le plus récent. Tous ces rapports d'audit sont des informations confidentielles d'Equinix et sont fournis à l'usage exclusif du client.
3.2 Audit du client. Le client accepte que tous les droits d'audit accordés par les lois sur la protection des données soient satisfaits par la production de ce rapport d'audit. Dans la mesure où le client peut démontrer que le rapport d'audit ne fournit pas suffisamment d'informations pour vérifier la conformité d'Equinix à la présente DPA, ou si le client est tenu d'organiser un audit supplémentaire par une autorité de contrôle, les parties conviendront mutuellement de la portée du plan d'audit du client qui : (a) garantit le recours à un tiers indépendant ; (b) donne à Equinix un préavis raisonnable, par écrit, du début de l'audit ; (c) exige l'accès au personnel et à l'infrastructure d'Equinix uniquement pendant les heures normales de bureau ; (d) accepte la facturation au client, aux tarifs alors en vigueur d'Equinix, du temps consacré par le personnel d'Equinix à l'audit ; (g) oblige le client et son auditeur tiers, dans la mesure où la loi ou la réglementation l'autorise, à préserver la confidentialité de toute information divulguée ou recueillie au cours de l'audit du client.
4. RETOUR OU SUPPRESSION DU CONTENU DU CLIENT
4.1 Equinix fournira au client, sur demande écrite de celui-ci, toute assistance supplémentaire raisonnablement nécessaire pour lui permettre de supprimer ou de restituer ses données personnelles, aux frais du client.
4.2 Conservation exigée par la loi. Nonobstant toute disposition contraire de la présente section 4, Equinix peut conserver les Données personnelles du Client, ou toute partie de celles-ci, si la loi ou la réglementation applicable l'exige, y compris la Loi sur la protection des données, à condition que ces Données personnelles du Client restent protégées conformément aux dispositions de l'Accord, de la présente DPA et de la Loi sur la protection des données.
5. TRANSFERTS INTERNATIONAUX
5.1 En cas de transfert restreint entre les parties, celles-ci conviennent de conclure les Clauses contractuelles standard sous la forme indiquée dans le Customer SCC Agreement d'Equinix, disponible à l'adresse suivante : [Equinix - Customer SCC Agreement] : Equinix - Customer SCC Agreement, ou tout autre mécanisme juridique applicable. L'Accord SCC client est incorporé au présent DPA, dont il fait partie, et prend effet dès le début d'un transfert restreint entre les parties.
6. DEMANDES D'INFORMATION
6.1 Equinix, sur demande et compte tenu de la nature du traitement et des informations dont dispose Equinix, aidera raisonnablement le client à s'acquitter de ses obligations en matière de protection des données ou d'évaluation de l'impact sur la vie privée exigée par les lois sur la protection des données.
7. DIVERS
7.1 Le client reconnaît et accepte qu'Equinix peut, à sa seule discrétion, modifier la présente DPA de temps à autre, ce qui, à son avis raisonnable, est nécessaire pour assurer la conformité continue des parties avec les lois sur la protection des données, et que les conditions modifiées de la DPA entreront en vigueur dès leur publication.
7.2 Les dispositions du présent DPA font partie des dispositions de l'Accord et les complètent. En cas d'ambiguïté, de conflit ou d'incohérence entre les dispositions du présent DPA et celles de l'Accord, ce sont les dispositions du DPA qui prévalent. La présente DPA remplace tout autre accord conclu par Equinix en sa qualité de responsable du traitement des données personnelles des clients en ce qui concerne les services.
Annexe 1 à l'accord sur le traitement des données
Conformément à la clause 1.3, il s'agit de la portée et de la nature du traitement d'Equinix.
| Tier Name | Product examples | Purpose of Processing | Equinix Role | Customer Role | Categories of Personal Data |
|---|---|---|---|---|---|
| Infrastructure as a Service | Managed Private Cloud | (a) Backup, support, planning, and enabling migration, deployment, and development of Services; Encryption (enabled by default for data at rest in MPC Storage) (b) Infrastructure management (preventing, detecting, investigating, mitigating, and repairing problems, including security incidents and problems identified in the Services; and (c) Enhancing delivery, efficacy, quality, and security of our Services, including keeping Services up to date, and enhancing reliability, efficacy, quality, and security and fixing defects. | Data Processor | Data Controller | As determined by Customer |
| Enhanced Platform as a Service | Managed Private Backup | As above | Data Processor | Data Controller | As determined by Customer |
| Infrastructure as a Service | Managed Private Storage | As above | Data Processor | Data Controller | As determined by Customer |
Annexe 2 à l'accord sur le traitement des données
Conformément à la clause 1.9, il s'agit de la liste des sous-traitants :
Globally: Equinix Services Inc.
Equinix (US) Enterprises Inc.
Equinix (UK) Enterprises Ltd.
Equinix (Germany) Enterprises GmbH
Equinix (Netherlands) Enterprises BV
Virtu Secure Webservices BV
Equinix (Italy) Enterprises SRL
Equinix (Japan) Enterprises KK
Equinix (Japan) Technology Services KK
Equinix do Brasil Solucoes de Tecnologia en Informatica Ltda
Equinix do Brasil Telecommunicacoes Ltda
Equinix MX Services SA de CV
Equinix (Canada) Enterprises Ltd.
Equinix (Sweden) Enterprises AB
Equinix (France) Enterprises SAS
Equinix (Spain) Enterprises SAU
Equinix (Finland) Enterprises Oy
Equinix (Ireland) Enterprises Ltd
Annexe 3 - MESURES TECHNIQUES ET ORGANISATIONNELLES
Le tableau ci-dessous illustre les mesures techniques et organisationnelles mises en œuvre par Equinix pour la fourniture de services :
| Domain | Practices |
|---|---|
| Organization of Information Security Organizational Context Risk Management Strategy Roles, Responsibilities, and Authorities Policy Oversight | Equinix has organized governance of Information Security around the following teams and programs which review, evaluate and enhance Equinix security practices: Audit and compliance – Equinix formally complies with various industry standards, such as ISO 27001. Audit attestations and certificates are provided by qualified third-party auditors. These auditors coordinate activities with various business and technology teams like Business Assurance Services, Internal Audit, and Operations. Information Security team – Working closely with the legal organization, this team is charged to follow global and business unit guidelines to help ensure compliance with local and federal laws and regulations. Information Security Risk Management - Working closely with business representatives to establish Equinix' priorities, constraints, risk tolerance and appetite statements, and ensuring that assumptions are established, communicated, and used to support operational risk decisions. Information Security policies – The Equinix Information Security team administers and enforces a comprehensive set of confidential Information security policies that is reviewed and endorsed by senior management. This team ensures that the internal policies are global in scope, covering country-specific and region-specific laws, regulations, and business requirements. Areas covered by these internal security policies include, but are not limited to: acceptable use of technology, anti-virus and malware, data backup and retention, data classification, labeling and handling, logical access, passwords, patch management, mobile devices, personal computers, remote access and VPN, and social media. |
| Information Protection Human Resource Security | Equinix has implemented and maintains employee security training programs regarding information security risks and requirements. The security awareness training programs are reviewed and updated at least annually. Where permitted by law, and to the extent available from applicable governmental authorities, Equinix requires each employee to undergo a background check. |
| Asset Management | Asset Inventory - Equinix has implemented processes that focus on identifying and cataloging all assets used to deliver services. This process includes physical assets, virtual assets and intangible assets like software licenses. By maintaining an accurate up to date inventory, Equinix can effectively track its assets, monitor their usage, and plan for maintenance. Asset Handling - This involves implementing technical and organizational measures to protect assets from damage, theft, or unauthorized access. Technical measures may include implementing security systems to safeguard physical assets, such as surveillance cameras and access control systems. Equinix may employ encryption and authentication protocols to protect customer data stored on digital assets. Organizational measures involve establishing policies and procedures for asset handling, including guidelines for asset maintenance, usage, and disposal. |
| Physical and Environmental Security | Safeguarding physical security of every IBX Center where information systems processing and storing customer data are located is a high operational priority. Each IBX Center uses an array of security equipment, techniques and procedures to monitor the facility and to control and record access. Access – The access control subsystem allows authorized users inside the building and within the facility. Biometric security devices, proximity cards and other technologies identify users to the access control system, and upon authentication allow contacts to navigate the IBX as permitted. Alarm Monitoring and Intrusion Detection – The alarm monitoring and intrusion detection subsystem monitor the status of various devices associated with the security system. Monitoring devices include door position switches, glass break detectors, motion detectors, and tamper switches. If the status of any device changes from their secure state, an alarm is activated, the event is recorded, and appropriate measure is taken. CCTV – The closed-circuit television subsystem provides the display, control, recording and playback of live video from cameras throughout the facility, as well as outside the facility where legally permitted. This system is integrated with the alarm monitoring and intrusion detection subsystem, so in the event of an alarm, cameras are displayed automatically to view the event in real time. |
| Communications and Operations Management | Vulnerability Assessments - Equinix performs regular internal and external vulnerability assessments and penetration testing of the Equinix EMS information systems and will investigate identified issues and track them to resolution in a timely manner. Malicious Software - Equinix has anti-malware controls to help avoid malicious software gaining unauthorized access to customer data including malicious software originating from public networks. Change Management - Equinix maintains controls designed to log, authorize, test, approve and document changes to existing resources and will document change details within its change management or deployment tools. Equinix will test changes according to its change management standards prior to migration to production. Equinix will maintain processes designed to detect unauthorized changes to the Equinix information systems and track identified issues to a resolution. Data Integrity - Equinix maintains controls designed to provide data integrity during transmission, storage, and processing within the Equinix Services information systems. Event Logging - Equinix logs, or enables Customer to log, access and use information systems containing customer data -specific to that customer- registering the access ID, time, authorization granted or denied, and relevant activity. Backup/Restore – Customer Data is backed up where applicable via backup tooling. Equinix employees managing these backups have no access to the Customer Data. In case a restore is required, Customer can request this restore. |
| Access Control | Equinix makes the Customer Data accessible only to authorized personnel, and only as necessary to maintain and provide the Equinix Services. Equinix maintains access policies and controls to manage authorizations for access to the customer data from each network connection and user through the use of firewalls, controlled access connectivity or functionally equivalent technology and authentication controls. Data Segregation - Equinix maintains access controls designed to restrict unauthorized access to Customer Data and segregate each Customer's Data from other Customers' Data. User access controls - Relates to access to Equinix information include, but are not limited to: - least privilege principles based on personnel job functions - review and approval prior to provisioning access - at least quarterly review of access privileges - when necessary, revoke access privileges in a timely manner - two-factor authentication for access to the Customer Data - monitoring by Equinix (or enabled Customers) for anomalies in access activity such as for example (but not limited to) repeated attempts to gain access to the information system using an invalid password. |
| Information Security | Incident Management Incident Response Process - Equinix maintains incident response plans (runbooks) to respond to potential security threats to the Managed Solution Services. Equinix runbooks will have defined processes to detect, mitigate, investigate, and report security incidents. The Equinix runbooks include incident verification, attack analysis, containment, data collection, and problem remediation. For each Security Breach that is a Security Incident, appropriate notification by Equinix EMS will be made in compliance with local regulations. Service Monitoring - Equinix monitors on a continuous basis, or enables Customer to monitor, for anomalies related to security events (for example but not limited to repeated attempts to gain access to the information system using an invalid password). |
| Business Continuity Management | Emergency and Contingency plans - Equinix maintains emergency and contingency plans for the facilities in which Equinix information systems that process Customer Data are located. These plans will be tested annually. Data recovery - Equinix redundant storage and its procedures for recovering data are designed to attempt to reconstruct Customer Data in its original or last-replicated state. |