Addendum relatif au traitement des données

Last updated

Le présent Addendum relatif au traitement des données (« DPA ») régit le traitement par Anysphere, Inc. (« Anysphere » ou le « Prestataire ») des Données à caractère personnel fournies par le Client par l’intermédiaire du Service, conformément au Contrat-cadre de services conclu entre Anysphere et le Client (le « Contrat »). Le présent DPA définit les instructions du Client concernant le traitement des Données à caractère personnel, ainsi que les droits et obligations des deux Parties. Sauf disposition contraire prévue dans le présent DPA, le Contrat demeure inchangé et reste pleinement en vigueur. En cas de conflit entre le présent DPA et le Contrat, le présent DPA prévaudra dans la mesure dudit conflit.

  1. Définitions. Aux fins du présent DPA, les termes suivants auront la signification indiquée ci-dessous. Les termes commençant par une majuscule qui sont utilisés mais non définis dans le présent DPA auront la signification qui leur est donnée dans le Contrat. Tous les autres termes du présent DPA qui ne sont pas par ailleurs définis dans le Contrat auront la signification correspondante qui leur est donnée dans les Lois sur la protection des données personnelles.

    1. « Controller to Processor Clauses » désigne : (a) en ce qui concerne les transferts de Données à caractère personnel soumis au RGPD, les clauses contractuelles types relatives au transfert de Données à caractère personnel vers des pays tiers énoncées dans la Décision de la Commission 2021/914 du 4 juin 2021, incluant spécifiquement le Module 2 (Controller to Processor) (« EU SCCs ») ; et (b) en ce qui concerne les transferts de Données à caractère personnel soumis au RGPD du Royaume‑Uni, l’« International Data Transfer Addendum to the EU Commission Standard Contractual Clauses » (version B.1.0) publié par le UK Information Commissioner (« UK Addendum »), dans chaque cas tel que modifié, mis à jour ou remplacé de temps à autre.

    2. « EU/UK Privacy Laws » désigne : (a) le Règlement général sur la protection des données 2016/679 (le « RGPD ») ; (b) la directive 2002/58/CE sur la vie privée et les communications électroniques ; (c) le UK Data Protection Act 2018, le UK General Data Protection Regulation tel que défini par le UK Data Protection Act 2018 tel que modifié par les Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (ensemble avec le UK Data Protection Act 2018, le « UK GDPR »), et les Privacy and Electronic Communications Regulations 2003 ; et (d) toute loi, directive, ordonnance, règle, réglementation ou tout autre instrument contraignant pertinent mettant en œuvre l’un quelconque de ce qui précède, dans chaque cas, selon ce qui est applicable et en vigueur de temps à autre, et tel que modifié, consolidé, réadopté ou remplacé de temps à autre.

    3. « Personal Data » désigne toute information que le Fournisseur traite pour le compte du Client afin de fournir le Service et qui est définie comme « personal data » ou « personal information » en vertu de toute Privacy Laws.

    4. « Privacy Laws » désigne, selon le cas, les EU/UK Privacy Laws, les US Privacy Laws et toute loi similaire de toute juridiction relative à la protection des données, à la vie privée ou à l’utilisation de Données à caractère personnel, dans chaque cas, selon ce qui est applicable et en vigueur de temps à autre, et tel que modifié, consolidé, réadopté ou remplacé de temps à autre.

    5. « Processor to Processor Clauses » désigne : (a) en ce qui concerne les transferts de Données à caractère personnel soumis au RGPD, les clauses contractuelles types relatives au transfert de Données à caractère personnel vers des pays tiers énoncées dans la Décision de la Commission 2021/914 du 4 juin 2021, incluant spécifiquement le Module 3 (Processor to Processor) ; et (b) en ce qui concerne les transferts de Données à caractère personnel soumis au RGPD du Royaume‑Uni, l’« International Data Transfer Addendum to the EU Commission Standard Contractual Clauses » (version B.1.0) publié par le UK Information Commissioner, dans chaque cas tel que modifié, mis à jour ou remplacé de temps à autre.

    6. « Third Country » désigne tout pays ou territoire situé en dehors du champ d’application des lois sur la protection des données de l’Espace économique européen ou du Royaume‑Uni, selon le cas, à l’exclusion des pays ou territoires approuvés comme offrant une protection adéquate pour les Données à caractère personnel par l’autorité compétente concernée de temps à autre.

    7. « US Privacy Laws » désigne, selon le cas, le California Consumer Privacy Act, tel que modifié par le California Privacy Rights Act, le Virginia Consumer Data Protection Act, le Colorado Privacy Act, le Connecticut Data Privacy Act, l’Utah Consumer Privacy Act, ainsi que toute loi similaire de tout État relative à la protection des données, à la vie privée ou à l’utilisation de Données à caractère personnel.

  2. Modifications. Les Parties conviennent de négocier de bonne foi des modifications au présent DPA si des changements sont nécessaires pour que le Fournisseur puisse continuer à traiter les Données personnelles, comme prévu par l’Accord ou par le présent DPA, en conformité avec les Lois sur la protection de la vie privée, ou pour tenir compte de l’interprétation juridique de ces Lois sur la protection de la vie privée. Le Fournisseur se réserve le droit de mettre à jour le présent DPA dans la mesure nécessaire pour se conformer aux Lois sur la protection de la vie privée ou à l’évolution des exigences légales, à condition que ces mises à jour ne diminuent pas de manière significative les droits du Client et n’augmentent pas de manière significative les obligations du Client en vertu du présent DPA. Le Fournisseur notifiera par écrit au Client toute mise à jour au moins trente (30) jours avant sa date d’effet, sauf si un délai de préavis plus court est requis par la loi.

  3. Rôles des Parties. Les Parties reconnaissent qu’aux fins des Lois sur la protection des données personnelles, le Client est le « bénéficiaire du service », le « responsable du traitement », « l’entreprise » ou tout terme similaire prévu par les Lois sur la protection des données personnelles, et le Prestataire est le « prestataire de services », le « sous-traitant », le « contractant » ou tout terme similaire prévu par les Lois sur la protection des données personnelles.

  4. Détails du traitement. Les Parties conviennent que les détails du traitement sont décrits dans l’Annexe 1 jointe aux présentes.

  5. Obligations du Client. Le Client respecte toutes les Lois sur la Protection des Données Personnelles lorsqu’il fournit des Données Personnelles au Fournisseur dans le cadre du Service. Le Client déclare et garantit que : (a) les Lois sur la Protection des Données Personnelles applicables au Client n’empêchent pas le Fournisseur d’exécuter les instructions reçues du Client et de remplir les obligations du Fournisseur en vertu du présent DPA ; (b) toutes les Données Personnelles ont été collectées et, à tout moment, traitées et conservées par le Client ou pour son compte en conformité avec toutes les Lois sur la Protection des Données Personnelles, y compris en ce qui concerne toute obligation d’informer les personnes concernées et/ou d’obtenir leur consentement ; et (c) le Client dispose d’une base juridique pour divulguer les Données Personnelles au Fournisseur et permettre au Fournisseur de traiter les Données Personnelles tel que prévu dans le présent DPA. Le Client informe le Fournisseur sans délai injustifié s’il détermine que le traitement des Données Personnelles en vertu de l’Accord n’est pas ou ne sera pas conforme aux Lois sur la Protection des Données Personnelles, auquel cas le Fournisseur ne sera pas tenu de continuer à traiter ces Données Personnelles.

  6. Traitement des Données personnelles. Le Client conserve la propriété de toutes les Données personnelles traitées en vertu du présent DPA. Le Fournisseur ne traitera les Données personnelles : (i) que pour exécuter le Service tel que décrit plus en détail à l’Annexe 1, conformément aux instructions documentées du Client, telles que mises à jour de temps à autre, et pour les finalités qui y sont énoncées, y compris les consentements et autorisations fournis par l’intermédiaire du Service ; (ii) pour se conformer aux obligations légales applicables au Fournisseur ; et (iii) conformément à toute autre instruction du Client donnée par écrit. Le Fournisseur informera le Client sans retard injustifié s’il détermine qu’il ne peut plus respecter ses obligations en vertu des Lois applicables en matière de protection de la vie privée ou ne peut pas se conformer à une instruction du Client concernant l’utilisation des Données personnelles. Dans la mesure requise par les Lois applicables en matière de protection de la vie privée, et sur remise d’un préavis écrit raisonnable indiquant que le Client estime raisonnablement que le Fournisseur utilise les Données personnelles en violation desdites Lois ou du présent DPA, le Fournisseur accordera au Client le droit de prendre des mesures raisonnables et appropriées afin de contribuer à garantir que le Fournisseur utilise les Données personnelles d’une manière conforme aux obligations du Client en vertu des Lois applicables en matière de protection de la vie privée, et de faire cesser et de remédier à toute utilisation non autorisée des Données personnelles. Le Fournisseur exigera que chaque employé ou autre personne traitant des Données personnelles soit tenu à une obligation appropriée de confidentialité à l’égard de ces Données personnelles conformément aux dispositions du présent Contrat.

  7. Interdictions. Dans la mesure requise par les Lois sur la protection de la vie privée applicables, le Fournisseur n’est pas autorisé à : (a) vendre les Données personnelles, sauf sous une forme désidentifiée, agrégée ou anonymisée ; (b) partager les Données personnelles à des fins de publicité comportementale intercontextuelle ; (c) conserver, utiliser ou divulguer les Données personnelles à toute autre fin que (i) la fourniture spécifique du Service, (ii) le développement, l’amélioration ou l’optimisation du Service grâce à l’utilisation de données désidentifiées, agrégées ou anonymisées, ou (iii) dans la mesure autrement autorisée par les Lois sur la protection de la vie privée ; (d) conserver, utiliser ou divulguer les Données personnelles en dehors de la relation commerciale directe entre le Fournisseur et le Client, sauf comme décrit ci‑dessus ; et (e) combiner les Données personnelles reçues de la part du Client, ou pour son compte, avec toute Donnée personnelle susceptible d’être collectée lors d’interactions distinctes du Fournisseur avec la ou les personne(s) concernée(s) par les Données personnelles ou à partir de toute autre source, sauf pour remplir une finalité commerciale ou dans la mesure autrement autorisée par les Lois sur la protection de la vie privée.

  8. Utilisation de sous-traitants. Dans la mesure où le Fournisseur recourt à des sous-traitants pour traiter des Données à caractère personnel pour son compte :

    1. Le Client accorde par les présentes au Fournisseur une autorisation écrite générale pour faire appel aux sous-traitants énumérés à l’Annexe 2, sous réserve du respect des exigences de la présente Section 8.

    2. Si le Fournisseur désigne un nouveau sous-traitant ou a l’intention d’apporter des modifications concernant l’ajout ou le remplacement d’un sous-traitant, il fournira au Client un préavis écrit de trente (30) jours ouvrables en publiant des mises à jour sur trust.cursor.com/subprocessors, période durant laquelle le Client pourra s’opposer à cette désignation ou à ce remplacement pour des motifs raisonnables et documentés liés à la confidentialité ou à la sécurité des Données à caractère personnel ou au respect par le sous-traitant des Lois sur la protection des données personnelles (et si le Client ne s’y oppose pas, le Fournisseur pourra procéder à la désignation ou au remplacement). Dans des circonstances urgentes nécessitant des changements immédiats de sous-traitant (par exemple, incidents de sécurité, interruptions de service), le Fournisseur pourra procéder aux changements et notifier le Client dans un délai de dix (10) jours ouvrables à compter de ceux-ci. Si le Client s’oppose à la désignation ou au remplacement d’un sous-traitant comme décrit aux présentes, le Fournisseur fera des efforts commercialement raisonnables pour répondre aux préoccupations du Client, ce qui pourra inclure la proposition d’un autre sous-traitant ou la mise en œuvre de garanties supplémentaires afin d’atténuer les risques identifiés. Si les Parties ne parviennent pas à résoudre l’objection dans les trente (30) jours suivant la notification écrite de l’objection par le Client, ce dernier pourra résilier la partie du Service concernée par notification écrite adressée au Fournisseur. En cas d’une telle résiliation, le Fournisseur fournira au Client un remboursement au prorata des frais prépayés correspondant à la partie restante et inutilisée du Service résilié.

    3. Le Fournisseur ne fera appel à des sous-traitants qu’en vertu d’un accord écrit imposant au sous-traitant des obligations lui conférant au moins le même niveau de protection des données que celui prévu dans le présent DPA. Le Fournisseur sera responsable envers le Client de la performance de ces sous-traitants et de tout manquement de leur part à remplir leurs obligations respectives.

  9. Assistance. Dans la mesure requise par les Lois sur la protection de la vie privée et compte tenu de la nature du traitement, le Fournisseur doit, dans le cadre du traitement des Données personnelles et afin de permettre au Client de se conformer aux obligations qui en découlent, fournir une assistance raisonnable au Client, au moyen de mesures techniques et organisationnelles appropriées, pour : (a) répondre aux demandes des personnes exerçant leurs droits en vertu des Lois sur la protection de la vie privée, notamment en fournissant, en supprimant ou en rectifiant les Données personnelles concernées, ou en permettant au Client de le faire, dans la mesure où cela est possible ; (b) mettre en œuvre des procédures et pratiques de sécurité raisonnables, adaptées à la nature des Données personnelles, afin de protéger les Données personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés ou illicites ; (c) notifier aux autorités compétentes concernées et/ou aux personnes concernées les violations de Données personnelles ; (d) réaliser des analyses d’impact relatives à la protection des données et, si nécessaire, procéder à des consultations préalables avec les autorités compétentes concernées ; et (e) conclure le présent DPA.

  10. Mesures de sécurité. Le Fournisseur doit, en tenant compte de l’état de l’art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et de la finalité du traitement, mettre en œuvre, et veiller à ce que son personnel autorisé respecte, des mesures techniques et organisationnelles appropriées destinées à assurer un niveau de sécurité adapté au risque, telles qu’énoncées à l’Annexe 3, ou autrement convenues et documentées de temps à autre entre le Client et le Fournisseur. Le Fournisseur ne réduira pas de manière significative la sécurité globale des services pendant la durée du traitement. Dans la mesure requise par les Lois sur la protection de la vie privée, le Fournisseur doit, sans retard injustifié et, en tout état de cause, dans un délai de quarante-huit (48) heures, notifier par écrit au Client toute violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des Données personnelles, des informations supplémentaires sur la violation étant fournies par phases au fur et à mesure que davantage de détails deviennent disponibles. Le Client reconnaît que, sans limiter ce qui précède, il est seul responsable de sa propre utilisation du Service, y compris : (a) la sécurisation des identifiants d’authentification de compte, des systèmes et des appareils que le Client utilise pour accéder au Service ; (b) la sécurisation des systèmes et appareils du Client qu’il utilise avec le Service ; et (c) le maintien de ses propres sauvegardes des Données du Client.

  11. Accès et audits. Sur demande raisonnable du Client, le Prestataire mettra à la disposition du Client les informations en sa possession qui sont raisonnablement nécessaires pour démontrer le respect par le Prestataire de ses obligations au titre du présent DPA, et permettra et contribuera à des audits, y compris des inspections, menés par le Client ou un autre auditeur mandaté par le Client et raisonnablement accepté par le Prestataire, aux frais exclusifs du Client, sauf en cas de violation substantielle constatée. Le Client sera autorisé à effectuer une telle évaluation au maximum une fois tous les douze (12) mois, moyennant un préavis écrit de trente (30) jours au Prestataire, et uniquement après que les Parties se seront mises d’accord sur le périmètre de l’audit et que l’auditeur sera lié par une obligation de confidentialité. En outre, le Client pourra effectuer un audit supplémentaire s’il existe des préoccupations raisonnables concernant la conformité du Prestataire en matière de protection des données à la suite d’une violation de données à caractère personnel ou d’une demande d’un régulateur ou d’une autorité de protection des données. En lieu et place d’un audit réalisé par le Client ou sous sa direction, dans la mesure permise par les Lois sur la protection des données, le Prestataire pourra faire réaliser, à ses frais, par un auditeur qualifié et indépendant, une évaluation des politiques ainsi que des mesures techniques et organisationnelles du Prestataire à l’appui de ses obligations au titre des Lois sur la protection des données, en utilisant une norme ou un cadre de contrôle approprié et accepté ainsi qu’une procédure d’évaluation adéquate à cette fin, et fournira un rapport de cette évaluation au Client sur demande raisonnable. Nonobstant ce qui précède, en aucun cas le Prestataire ne sera tenu de donner au Client accès à des informations, installations ou systèmes dans la mesure où cela placerait le Prestataire en violation des obligations de confidentialité qu’il doit à d’autres clients ou de ses obligations légales.

  12. Suppression des données à caractère personnel. À la demande écrite du Client, le Fournisseur supprime ou restitue au Client toutes les données à caractère personnel, comme demandé, au terme de la fourniture du Service, dans un délai de trente (30) jours suivant cette demande, sauf si la loi impose la conservation des données à caractère personnel, et fournit, sur demande, une attestation écrite à cet effet.

  13. Transferts de données. Dans la mesure où le Fournisseur traite des Données personnelles soumises aux lois sur la protection de la vie privée de l’UE et du Royaume-Uni dans un pays tiers, et qu’il agit en tant qu’importateur de données, le Fournisseur doit respecter les obligations de l’importateur de données et le Client doit respecter les obligations de l’exportateur de données énoncées dans les Clauses Responsable du traitement-Sous-traitant, qui sont par les présentes intégrées au présent DPA et en font partie intégrante, et :

    1. aux fins de l’Annexe I ou de la Partie 1 (selon le cas) de ces Clauses Responsable du traitement–Sous-traitant, le Client est un responsable du traitement et le Fournisseur est un sous-traitant, et les parties, les coordonnées de la personne à contacter et les détails du traitement énoncés dans le Contrat, le présent DPA et l’Annexe 1 s’appliquent, la Date de début étant la date de prise d’effet du Contrat, et les signatures (sous quelque forme que ce soit) fournies dans le cadre de la conclusion du présent Contrat par une partie, ainsi que les dates de ces signatures, valent comme signature datée requise de cette partie ;

    2. le cas échéant, aux fins de la Partie 1 de l’UK Addendum, les « Addendum EU SCCs » pertinents (au sens défini dans l’UK Addendum) sont les EU SCCs telles qu’incorporées dans le présent DPA en vertu de la présente Section 13. En cas de conflit ou d’ambiguïté entre le présent DPA et les SCCs, les SCCs prévaudront ;

    3. aux fins de l’Annexe II ou de la Partie 1 (selon le cas) de ces Clauses Responsable du traitement–Sous-traitant, les mesures techniques et organisationnelles de sécurité, ainsi que les mesures techniques et organisationnelles prises par le Fournisseur pour assister le Client, telles qu’énoncées dans l’Annexe 3, s’appliquent ; et

    4. le cas échéant, aux fins de l’Annexe III ou de la Partie 1 (selon le cas) de ces Clauses Responsable du traitement–Sous-traitant, la liste des sous-traitants autorisés figurant à l’Annexe 4 (Sous-traitants autorisés) s’applique ;

    5. le cas échéant, aux fins de : (i) la Clause 9, l’Option 2 (« Autorisation générale écrite ») est réputée sélectionnée et le délai de préavis spécifié à la Section 8 s’applique ; (ii) la Clause 11(a), la formulation facultative relative au règlement indépendant des litiges est réputée supprimée ; (iii) la Clause 13 et l’Annexe I.C, l’autorité de contrôle compétente est la Data Protection Commission d’Irlande ; (iv) les Clauses 17 et 18, l’Option 1 est réputée sélectionnée et la loi applicable ainsi que les tribunaux compétents sont ceux de la République d’Irlande ; (vi) la Partie 1, le Fournisseur en tant qu’importateur peut résilier l’UK Addendum conformément à la Section 19 dudit UK Addendum ;

    6. le Fournisseur peut désigner une société affiliée ou un sous-traitant tiers pour traiter les Données personnelles dans un Pays tiers, auquel cas le Fournisseur conclura les Clauses Sous-traitant–Sous-traitant avec tout sous-traitant concerné (y compris les sociétés affiliées) qu’il désigne pour le compte du Client ; et

    7. le Fournisseur peut s’appuyer sur une décision d’adéquation, le EU-US Data Privacy Framework, des dérogations pour des situations particulières en vertu des Lois sur la confidentialité, ou tout autre mécanisme légal de transferts de données pour assurer la conformité aux Lois sur la confidentialité.

Tout litige relatif aux transferts transfrontaliers ou au respect des Lois sur la protection de la vie privée applicables à ces transferts sera résolu conformément au droit applicable et à la juridiction prévus dans le Contrat.


ANNEXE 1

Détails du Traitement

1. Nature du traitement

  • Accès, utilisation, divulgation, stockage, suppression et/ou autre traitement de Données à caractère personnel par le Fournisseur dans le cadre de la fourniture du Service du Fournisseur au Client, telle que prévue dans le Contrat.

2. Finalité(s) du traitement

  • Fourniture du Service par le Fournisseur au Client, telle que prévue dans le Contrat.

3. Catégories de personnes concernées dont les Données à caractère personnel sont traitées

  • Utilisateurs autorisés du Client.

4. Catégories de Données à caractère personnel traitées

  • Données relatives aux personnes collectées par le Fournisseur pour le compte du Client ou autrement fournies au Fournisseur par le Client.

5. Types de Données à caractère personnel faisant l’objet du traitement qui sont considérées comme « sensibles » ou « catégories particulières » au titre des Lois sur la protection de la vie privée

  • Le Client et/ou son personnel ne fourniront aucune donnée sensible ou relevant d’une catégorie particulière dans le cadre du présent Contrat, et le Fournisseur n’est pas responsable du traitement de données sensibles fournies par le Client. Le Fournisseur ne collecte ni ne traite intentionnellement de catégories particulières de Données à caractère personnel.

6. Fréquence (par exemple ponctuelle ou continue) et durée du traitement

  • Les Données à caractère personnel pertinentes sont traitées de manière continue, pendant toute la durée du Contrat et toute période de conservation postérieure à sa résiliation, telles que prévues dans le Contrat.

7. Objet, nature et durée du traitement effectué par tout sous-traitant ultérieur autorisé conformément à la Section 8

  • Comme indiqué dans la présente Annexe 1 et dans l’Annexe 2.

ANNEXE 2

Sous-traitants ultérieurs autorisés

La liste des sous-traitants ultérieurs autorisés du Fournisseur est tenue et mise à jour à l’adresse suivante : https://trust.cursor.com/subprocessors.

ANNEXE 3

Mesures techniques et organisationnelles

La présente Annexe 3 définit les mesures de sécurité techniques et organisationnelles mises en œuvre par Anysphere, Inc. (« Anysphere ») dans le cadre du Contrat de traitement des données (« DPA »). Anysphere est certifiée SOC 2 de type II, et vous pouvez obtenir une copie de notre certification via notre Trust Center, https://trust.cursor.comTrust Center »). En outre, les pratiques de sécurité d’Anysphere sont décrites plus en détail sur notre page de sécurité, disponible à l’adresse https://www.cursor.com/security. Les mesures de sécurité techniques et organisationnelles d’Anysphere comprennent :

  1. Contrôles d’accès : L’accès aux données personnelles est limité au seul personnel autorisé, avec des contrôles d’accès basés sur les rôles et de solides mécanismes d’authentification, tels que l’authentification multifacteur, afin de sécuriser l’accès.

  2. Formation et sensibilisation des employés : Les employés suivent régulièrement des formations sur la protection des données, la confidentialité et les bonnes pratiques de sécurité.

  3. Chiffrement des données : Anysphere utilise des protocoles de chiffrement conformes aux normes du secteur pour garantir que les données personnelles sont chiffrées au repos et en transit. Les clés de chiffrement sont gérées de manière sécurisée et sont régulièrement renouvelées.

  4. Sécurité de l’infrastructure : Le cadre d’infrastructure et les protocoles de sécurité d’Anysphere sont décrits dans notre Trust Center.

  5. Sécurité du réseau : La sécurité du réseau est assurée par le déploiement de pare-feu, de systèmes de détection et de prévention des intrusions, ainsi que par des analyses régulières de vulnérabilités et des tests d’intrusion. Vous pouvez demander une copie de notre rapport de test d’intrusion via notre Trust Center.

  6. Sécurité applicative : Des pratiques sécurisées de développement logiciel, incluant des revues de code et des tests de sécurité, sont appliquées, et des pare-feu applicatifs web sont utilisés pour se protéger contre les attaques web courantes.

  7. Sauvegarde et restauration des données : Des sauvegardes régulières des données personnelles sont effectuées et stockées de manière sécurisée, avec des plans de reprise après sinistre et de continuité d’activité en place et testés périodiquement.

  8. Sécurité des centres de données : Les centres de données sont protégés par des contrôles de sécurité physique, incluant des contrôles d’accès, des systèmes de surveillance et du personnel de sécurité. L’accès aux centres de données est réservé au seul personnel autorisé.

  9. Sécurité des bureaux : Les locaux de l’entreprise sont sécurisés par des contrôles d’accès, des systèmes d’alarme et des caméras de surveillance, et les visiteurs doivent s’enregistrer et sont accompagnés par du personnel autorisé.

  10. Surveillance de la sécurité : Anysphere assure une surveillance continue de ses systèmes et réseaux afin de détecter et de traiter les incidents de sécurité. Des systèmes de gestion des informations et des événements de sécurité sont utilisés pour corréler et analyser les événements de sécurité.

  11. Réponse aux incidents : Un plan de réponse aux incidents est en place pour traiter les incidents de sécurité rapidement et efficacement, et les procédures de notification des violations de données sont conformes aux lois et réglementations applicables.

  12. Protection des données dès la conception : Les principes de protection des données sont intégrés dans la conception et le développement des systèmes et des processus grâce à la mise en œuvre du principe de protection des données dès la conception. Des analyses d’impact sur la vie privée sont régulièrement réalisées pour identifier et atténuer les risques.

  13. Minimisation des données : La collecte et le traitement des données personnelles sont limités à ce qui est nécessaire aux finalités spécifiées, et des techniques d’anonymisation et de pseudonymisation des données sont utilisées lorsque cela est approprié.

  14. Surveillance et amélioration continues : Anysphere surveille en continu ses politiques de confidentialité et de sécurité des données, en mettant en œuvre des améliorations et des mises à jour en fonction des besoins afin d’assurer le plus haut niveau de protection des données de nos utilisateurs. Nous nous efforçons de rester à la pointe des meilleures pratiques du secteur et de l’évolution des exigences légales afin de maintenir la confiance de nos clients.

En mettant en œuvre ces mesures, Anysphere s’engage à maintenir des normes élevées en matière de confidentialité et de sécurité des données, permettant à nos utilisateurs de bénéficier du Service.