Le présent Accord de traitement des données (« APD » ou « Accord ») est conclu entre :
| Champ | DÉTAILS |
|---|---|
| Nom de l’entreprise | [NOM LÉGAL COMPLET DU CLIENT] |
| Adresse enregistrée | [ADRESSE] |
| N° de TVA / Numéro d'entreprise | [NUMÉRO DE TVA] |
| Contact pour la protection des données | [ADRESSE E-MAIL / CONTACT DU DPO] |
| Représentant signataire | [NOM, TITRE] |
| Champ | DÉTAILS |
|---|---|
| Nom de l’entreprise | Xygeni Security, SL |
| Adresse enregistrée | C/Pasión 4, 2 Planta, 47001 Valladolid, Espagne |
| T.V.A. | B09620287 |
| Contact pour la protection des données | info@xygeni.io |
| Représentant signataire | [NOM, TITRE] |
Le contrôleur et le sous-traitant sont désignés ci-après individuellement comme une « Partie » et collectivement comme les « Parties ».
Le présent accord de protection des données (DPA) fait partie intégrante du contrat-cadre de services ou des conditions d'utilisation (« Contrat principal ») conclus entre les parties et régissant la fourniture par Xygeni de ses services de sécurité applicative et software supply chain security services (les « Services »). En cas de conflit entre le présent accord de protection des données et le contrat principal, le présent accord prévaudra en matière de protection des données.
Aux fins du présent ATD :
Les Parties reconnaissent et conviennent que :
Lorsque Xygeni traite des données personnelles pour ses propres besoins (par exemple, gestion de comptes, facturation, analyse des données pour l'amélioration des services), elle agit en tant que responsable du traitement indépendant. Ce traitement est régi par la politique de confidentialité de Xygeni et n'entre pas dans le champ d'application du présent accord de protection des données.
L’objet, la nature, la durée et la finalité du traitement, ainsi que les types de données personnelles traitées et les catégories de personnes concernées, sont précisés dans l’annexe 1 (Détails du traitement) du présent accord de protection des données.
Le Sous-traitant ne traitera les Données Client que dans la mesure nécessaire à la fourniture des Services décrits dans le Contrat Principal et conformément aux instructions documentées du Responsable du traitement, sauf obligation légale contraire. Dans ce cas, le Sous-traitant informera le Responsable du traitement de cette obligation légale avant tout traitement, sauf si la loi l'interdit pour des motifs importants d'intérêt public.
Le responsable du traitement demande au sous-traitant de traiter les données du client comme nécessaire pour : (a) fournir les services conformément au contrat principal ; (b) se conformer aux instructions du responsable du traitement communiquées par écrit de temps à autre ; et (c) remplir les obligations du sous-traitant en vertu du présent accord de protection des données.
Le Sous-traitant informera sans délai le Responsable du traitement si, de son point de vue raisonnable, une instruction de ce dernier enfreint la législation applicable en matière de protection des données. Dans ce cas, le Sous-traitant sera en droit de suspendre le traitement conformément à cette instruction jusqu'à ce que le Responsable du traitement l'ait clarifiée ou modifiée.
Le responsable du traitement garantit et déclare que : (a) il dispose d'une base légale valable au sens de l'article 6 du RGPD (et, le cas échéant, de l'article 9) pour le traitement des données personnelles concernées ; (b) il a fourni toutes les notifications requises et obtenu tous les consentements requis ; et (c) le transfert des données client au sous-traitant ne viole aucune loi applicable.
Le Sous-traitant ne traitera les Données Client que sur instruction documentée du Responsable du traitement, sauf si la législation applicable de l'UE ou d'un État membre l'exige. Le Sous-traitant ne traitera pas les Données Client à ses propres fins ni ne les divulguera à des tiers, sauf si cela est nécessaire à la fourniture des Services ou si la loi l'exige.
Le sous-traitant doit s'assurer que les personnes autorisées à traiter les données client ont commitLes personnes concernées se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité. L'accès aux données client est limité aux employés, sous-traitants et prestataires qui en ont besoin pour la prestation des services.
Le Sous-traitant doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger les Données Client contre tout traitement non autorisé ou illicite et contre toute perte, destruction, dommage, altération ou divulgation accidentelle, en tenant compte des éléments suivants :
Ces mesures doivent inclure, au minimum, celles énoncées à l'annexe 2 (Mesures techniques et organisationnelles de sécurité) du présent accord de protection des données. La certification ISO 27001 du sous-traitant atteste de l'existence d'un système de gestion de la sécurité de l'information de base. Le sous-traitant doit maintenir sa certification ISO 27001 ou une certification équivalente pendant toute la durée du présent accord.
Le sous-traitant, compte tenu de la nature du traitement, assiste le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de lui permettre de remplir son obligation de répondre aux demandes d'exercice de ses droits.cisrespect des droits des personnes concernées en vertu de la loi applicable en matière de protection des données (y compris les droits d’accès, de rectification, d’effacement, de limitation du risque, de portabilité et d’opposition en vertu des articles 15 à 22 du RGPD).
Le Sous-traitant doit : (a) informer rapidement le Responsable du traitement s’il reçoit une demande d’une Personne concernée concernant les Données Client ; (b) ne pas répondre à ces demandes, sauf sur instructions écrites du Responsable du traitement ou conformément à la loi applicable ; et (c) fournir au Responsable du traitement une assistance raisonnable pour répondre à ces demandes dans les délais légaux applicables (30 jours en vertu de l’article 12 du RGPD).
Le sous-traitant aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont il dispose, notamment en ce qui concerne :
À la résiliation ou à l'expiration du Contrat principal, ou à la demande du Responsable du traitement, le Sous-traitant, au choix de ce dernier, supprimera ou restituera au Responsable du traitement toutes les Données client en sa possession et supprimera les copies existantes, sauf si la législation applicable de l'UE ou d'un État membre exige la conservation des Données personnelles. Le Sous-traitant confirmera par écrit la suppression des Données dans un délai de 30 jours à compter de la date de l'événement déclencheur.
Processeur standard Le calendrier de conservation des données (défini à l'annexe 1) s'applique, sauf si le responsable du traitement fait une demande de suppression antérieure.
Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent accord de protection des données, et doit permettre et contribuer aux audits, y compris les inspections, menés par le responsable du traitement ou un auditeur mandaté par celui-ci.
Le sous-traitant peut satisfaire à cette obligation en fournissant :
Le Sous-traitant doit informer le Responsable du traitement sans délai indu, et en tout état de cause dans les 48 heures suivant la découverte d'une violation de données à caractère personnel affectant les données client. Cette notification doit comprendre, dans la mesure où ces informations sont disponibles à ce moment-là :
S’il est impossible de fournir simultanément toutes les informations susmentionnées, celles-ci pourront être communiquées par étapes sans délai indu. Le sous-traitant coopérera avec le responsable du traitement et prendra toutes les mesures raisonnables que ce dernier pourra exiger pour faciliter l’enquête, l’atténuation et la résolution de la violation.
Les Parties reconnaissent que l'obligation, en vertu de l'article 33 du RGPD, de notifier l'autorité de contrôle compétente (l'Agence espagnole de protection des données – AEPD, ou toute autre autorité compétente) dans un délai de 72 heures à compter de la connaissance d'une violation de données à caractère personnel incombe au Responsable du traitement. La notification effectuée par le Sous-traitant au Responsable du traitement en vertu de la présente clause vise à permettre à ce dernier de satisfaire à cette obligation réglementaire. Cette notification ne saurait constituer une reconnaissance de faute ou de responsabilité.
Le responsable du traitement autorise le sous-traitant à faire appel aux sous-traitants ultérieurs (Sous-traitants agréés) figurant à l’annexe 3 du présent accord de protection des données. Le responsable du traitement impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles prévues par le présent accord, notamment en fournissant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
Le Sous-traitant informera le Responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement de Sous-traitants ultérieurs : (a) en mettant à jour la liste des Sous-traitants ultérieurs publiée à l'adresse https://xygeni.io/legal/subprocessors avec la date de « Dernière mise à jour » révisée ; et (b) en adressant au Responsable du traitement une notification écrite au moins dix (10) jours avant la prise d'effet de la modification. Le Responsable du traitement pourra s'opposer à la modification pour des motifs légitimes de protection des données dans un délai de sept (7) jours suivant cette notification. Si le Responsable du traitement s'y oppose et que les Parties ne parviennent pas à un accord, le Responsable du traitement pourra résilier le Contrat principal moyennant un préavis raisonnable, sans pénalité.
Si le Sous-traitant fait appel à un Sous-traitant secondaire, il reste pleinement responsable envers le Responsable du traitement de l'exécution des obligations de ce Sous-traitant dans la mesure où celui-ci manque à ses obligations en matière de protection des données.
Pour chaque sous-traitant, le sous-traitant doit :
Le sous-traitant ne transférera pas les données client vers un pays situé en dehors de l'Espace économique européen (EEE), sauf si :
Lorsque des clauses contractuelles types (CCT) sont requises, le sous-traitant doit, à la demande du responsable du traitement, signer les CCT applicables avec ce dernier et/ou avec le sous-traitant concerné. Le module applicable des CCT est le module 2 (responsable du traitement vers sous-traitant) pour les transferts du responsable du traitement vers le sous-traitant, et le module 3 (sous-traitant vers sous-traitant) pour les transferts ultérieurs du sous-traitant vers les sous-traitants.
L’autorité de surveillance compétente aux fins des CGU est l’Agence espagnole de protection des données (AEPD), sauf accord contraire écrit.
Le sous-traitant doit tenir à jour et mettre à la disposition du responsable du traitement, sur demande, un registre actualisé de tous les transferts internationaux de données client et du mécanisme de transfert applicable pour chacun d'eux.
9. Évaluations d'impact sur la protection des données
Lorsqu'une activité de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est tenu de réaliser une analyse d'impact relative à la protection des données (AIPD) en vertu de l'article 35 du RGPD, le sous-traitant apporte au responsable du traitement l'assistance et les informations raisonnables nécessaires à la réalisation de cette AIPD. Le sous-traitant répond aux demandes raisonnables du responsable du traitement relatives à l'AIPD dans un délai de 15 jours ouvrables.
Le sous-traitant doit tenir, à la demande du responsable du traitement, un registre des activités de traitement effectuées pour le compte de ce dernier conformément à l'article 30(2) du RGPD, comprenant : le nom et les coordonnées du sous-traitant et de tout sous-traitant secondaire ; les catégories de traitement effectuées pour le compte du responsable du traitement ; les transferts de données à caractère personnel vers un pays tiers ; et une description générale des mesures de sécurité techniques et organisationnelles.
La responsabilité de chaque Partie envers l'autre, au titre du présent Accord de Protection des Données (APD) ou en relation avec celui-ci, est soumise aux limitations et exclusions prévues dans l'Accord Principal. Lorsqu'une Personne Concernée subit un préjudice du fait d'un traitement qui enfreint la Législation Applicable en matière de Protection des Données, chaque Partie est responsable du préjudice causé par son traitement non conforme au RGPD, conformément aux articles 82 et 83 de ce dernier. Aucune disposition de la présente clause ne limite la responsabilité de chaque Partie envers les Personnes Concernées en vertu du droit applicable.
Le présent accord de protection des données (APD) prendra effet à la date du contrat principal (ou à la date de sa signature si celle-ci est postérieure) et restera en vigueur pendant toute la durée du contrat principal. La résiliation du contrat principal, pour quelque raison que ce soit, entraînera la résiliation automatique du présent APD.
Suite à la résiliation, les obligations du Sous-traitant au titre de la clause 5.6 (suppression ou restitution des données) demeurent en vigueur et le Sous-traitant doit procéder à la suppression ou à la restitution des Données Client dans un délai de 30 jours suivant la résiliation. Les clauses relatives à la confidentialité, à la responsabilité, au droit applicable et à l'audit demeurent également applicables après la résiliation.
Le présent accord de protection des données (APD) est régi par le droit espagnol et interprété conformément à celui-ci. Les parties se soumettent à la compétence non exclusive des tribunaux de Madrid pour tout litige découlant du présent APD ou s'y rapportant. En cas de conflit entre une disposition du présent APD et les clauses contractuelles types (CCT), ces dernières prévaudront.
Accord complet: Le présent accord de protection des données, ainsi que ses annexes et l'accord principal, constituent l'intégralité de l'accord entre les parties concernant son objet et remplacent tous les accords, ententes ou déclarations antérieurs relatifs au traitement des données.
Amendements: Le présent accord de protection des données ne peut être modifié que par un accord écrit signé par les représentants autorisés des deux parties.
Divisibilité : Si une disposition quelconque du présent accord de protection des données est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur.
Priorité: En cas de conflit entre le présent accord de protection des données et ses annexes, le texte de l’accord prévaudra, sauf disposition contraire expresse de l’annexe. En cas de conflit entre le présent accord et les clauses contractuelles types (le cas échéant), ce sont ces dernières qui prévaudront.
L'objet du traitement est la fourniture par Xygeni de application security posture management, software supply chain security analyse, détection des vulnérabilités, CI/CD surveillance de sécurité et services connexes tels que décrits dans l'accord principal.
Collecte, organisation, structuration, stockage, analyse, récupération, utilisation, divulgation par transmission, alignement ou combinaison, restriction, effacement ou destruction des données client.
Le traitement des données client est effectué dans le seul but de fournir les services au responsable du traitement, notamment : la détection et le signalement des vulnérabilités de sécurité ; l’analyse des risques liés à la chaîne d’approvisionnement des logiciels ; CI/CD pipeline security surveillance ; détection des anomalies ; et assistance clientèle.
Le Sous-traitant traitera les Données Client pendant toute la durée du Contrat Principal. À la résiliation, il conservera les Données Client pendant 3 mois après la date de fin de l'abonnement avant de les supprimer, sauf si le Responsable du traitement demande une suppression anticipée. Les données des comptes d'essai sont conservées pendant 1 mois après l'expiration de la période d'essai.
| Catégories | Exemples |
|---|---|
| données du compte utilisateur | Nom, adresse e-mail, nom d'utilisateur, hachage du mot de passe, rôle, organisation |
| Données d'activité et d'utilisation | Login événements, appels API, journaux d'activité d'analyse, horodatages, adresses IP |
| Métadonnées de sécurité | Noms des dépôts, chemins d'accès aux fichiers (où se trouvent les résultats), métadonnées de dépendance, pipeline références de configuration |
| Données de communication | Tickets d'assistance, correspondance par courriel relative aux services |
Les personnes concernées comprennent : les employés, les sous-traitants et les autres utilisateurs autorisés du responsable du traitement qui accèdent aux services ; les contributeurs (développeurs, comptes de bots, agents de compilation) aux référentiels et pipelines surveillés par les Services; et les représentants et personnes de contact du Contrôleur.
Les Services ne sont pas conçus pour traiter les données personnelles de catégorie spéciale telles que définies à l'article 9 du RGPD. Le responsable du traitement garantit qu'il ne soumettra pas de données personnelles de catégorie spéciale aux Services sans accord écrit préalable avec Xygeni et mise en œuvre de garanties supplémentaires appropriées.
Xygeni met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données des clients, conformément à son système de gestion de la sécurité de l'information certifié ISO 27001 :
