Avenant relatif au traitement des données et à la sécurité

Cet avenant sur le traitement et la sécurité des données de Hopper, y compris les annexes 1, 2 et 3 ci-jointes, (« Avenant ») énonce les conditions essentielles requises par Hopper (USA), Inc., une société du Delaware dont le siège principal d'affaires situé au 265 Franklin Street, Suite 1702, Boston, MA 02110 USA et/ou ses sociétés affiliées (c'est-à-dire toute autre entité contrôlant directement ou indirectement ou contrôlée par, ou sous contrôle commun direct ou indirect avec Hopper (USA), Inc., y compris, sans s'y limiter, Hopper, Inc., une société fédérale canadienne dont le principal établissement est situé au 5795, avenue de Gaspé, Montréal, Québec, H2S 2X3, Canada et Hopper Travel (Ireland), Ltd., une société irlandaise dont le principal établissement business at Mespil Business Centre, Mespil House, Sussex Road, Dublin 4 (collectivement « Hopper »)), pour les vendeurs et prestataires de services (chacun étant un « Fournisseur ») qui collectent, traitent, reçoivent ou autrement avoir accès aux données Hopper (telles que définies ci-dessous). En ce qui concerne les données personnelles traitées par le fournisseur pour le compte de Hopper, Hopper est le responsable du traitement de ces données et le fournisseur agira en tant que sous-traitant de ces données. Cet addendum sera réputé incorporé dans les termes et conditions de tout accord (chacun, et « Accord ») entre Hopper et le fournisseur auquel il est attaché ou incorporé par référence, qu'il soit conclu avant ou après la date d'exécution des présentes. En cas de conflit entre les termes de tout accord et cet avenant, les termes de cet avenant prévaudront et prévaudront.

  1. Définitions. « Accord » désigne tout accord entre les parties en vertu duquel le fournisseur reçoit, collecte, accède ou traite les données de Hopper.

    « Données de Hopper » désigne toutes les données fournies par Hopper au fournisseur, directement ou indirectement (y compris via le service) ou autrement collectées, consultées ou traitées par le fournisseur au nom de Hopper, sur Hopper, les sites Web des applications Hopper et services, tout consommateur Hopper, utilisateur final, employé, partenaire, vendeur ou autre fournisseur, ou l'utilisation de tout service par l'un d'entre eux, y compris les données personnelles.

    « Données personnelles » désigne toutes les données de Hopper qui peuvent être utilisées pour identifier, localiser ou contacter un individu, y compris : (i) le prénom et le nom ; (ii) domicile ou autre adresse physique ; (iii) numéro de téléphone ; (iv) adresse e-mail ou identifiant en ligne associé à un individu ; (v) numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire ou identifiant similaire ; (vi) numéro de carte de crédit ou de débit ; (vii) des informations sur l'emploi, les finances ou la santé ; (viii) l'adresse IP ou l'identifiant de l'appareil, ou (ix) toute autre information relative à un individu, y compris les informations sur les cookies et les données ou profils d'utilisation et de trafic, qui sont combinées avec l'un des éléments précédents.

    « Service » désigne les services fournis par le fournisseur en vertu d'un accord.

  2. Utilisation des données personnelles. Sauf si expressément autorisé par écrit par Hopper, y compris tel qu'expressément stipulé dans tout accord dûment signé entre Hopper et le fournisseur, le fournisseur ne divulguera, ne vendra, ne distribuera ou ne transmettra pas directement ou indirectement (1) les données personnelles à un tiers, ou ( 2) utiliser les données personnelles à d'autres fins que pour fournir à Hopper le service ci-dessous selon les instructions et conformément aux instructions de Hopper, et conformément à toutes les lois applicables en matière de confidentialité et de protection des données. Le fournisseur informera Hopper par écrit immédiatement après avoir déterminé qu'il n'a pas rempli, ou ne peut plus remplir, ses obligations en vertu de la présente section 2 du présent addenda, et, dans ce cas, se conformera aux instructions écrites de Hopper, y compris les instructions de cesser traitement ultérieur des Données personnelles et prendre toutes les mesures nécessaires pour remédier à tout traitement de ces Données personnelles non conforme à la présente Section 2 du présent Addendum.
  3. Données personnelles de l'UE. Si les données de la trémie que le fournisseur traite contiennent des données personnelles de résidents de l'Union européenne (**« UE »**), le fournisseur accepte alors que cet addendum incorpore par référence les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément à Règlement (UE) 2016/679 du Parlement européen et du Conseil, tel que modifié conformément à la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 (**« Modèle de clauses de l'UE relatives aux pays tiers »**) incorporant spécifiquement Module Deux de celui-ci en ce qui concerne les dispositions de chacune des Clauses 8, 9 et 10 (**« Module Deux »**), et le langage facultatif de la Clause 7 et de la Clause 11(a). Aux fins des clauses du modèle de pays tiers de l'UE (y compris le module deux), chacune des filiales de Hopper établies dans l'UE doit être **« contrôleur »** et **« exportateur de données »** et le fournisseur est **« importateur de données » ** et **« processeur de données ».** Le présent Addendum incorporera en outre par référence : (1) l'Annexe 1 ci-jointe, qui définit l'identité de l'importateur et de l'exportateur de données, les détails du ou des transferts, y compris en particulier les catégories de données personnelles qui sont transférées et la ou les finalités et la durée pour lesquelles elles sont transférées, et toutes restrictions spécifiques et/ou garanties supplémentaires applicables au traitement des « données sensibles », telles que référencées dans les clauses 6, 8.2, 8.5, 8.7 et 13(a) des clauses modèles de l'UE relatives aux pays tiers ; (2) l'annexe 2 ci-jointe, qui énonce les garanties techniques et organisationnelles devant être énoncées à l'annexe II du modèle de clauses de l'UE relatives aux pays tiers, telles que référencées dans les clauses 8.3, 8.6 et 10 ; et (3) l'Appendice 3 ci-joint, qui énonce la liste des sous-traitants agréés tel que référencé à la Clause 9(a). La clause 9(a) des clauses modèles de l'UE relatives aux pays tiers sera le paragraphe suivant, qui remplacera et remplacera la section 4 du présent addendum en ce qui concerne toutes les données soumises aux dispositions de la présente section 3 (la référence à l'annexe III doit se référer à l'Annexe 3 du présent Addendum) : L'importateur de données ne doit sous-traiter aucune de ses activités de traitement effectuées au nom de l'exportateur de données en vertu des présentes clauses à un sous-traitant ultérieur sans l'autorisation écrite spécifique préalable de l'exportateur de données. L'importateur de données soumet la demande d'autorisation spécifique au moins trente (30) jours avant l'engagement du sous-traitant ultérieur, accompagnée des informations nécessaires pour permettre à l'exportateur de données de se prononcer sur l'autorisation. La liste des sous-traitants déjà autorisés par l'exportateur de données figure à l'annexe III. Les parties tiennent l'annexe III à jour.

La clause 13(a) des clauses modèles de l'UE relatives aux pays tiers sera le paragraphe suivant :

L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

Les clauses 17 et 18 (b) des clauses modèles de l'UE relatives aux pays tiers seront les paragraphes suivants, qui remplaceront et remplaceront la section 11 du présent addendum en ce qui concerne toutes les données soumises aux dispositions de la présente section 3 :

Clause 17. Les présentes clauses sont régies par le droit de l'un des États membres de l'UE, à condition que ce droit autorise les droits des tiers bénéficiaires. Les Parties conviennent que ce sera la loi de la République d'Irlande.

Clause 18(b) Les Parties conviennent que ceux-ci seront les tribunaux d'Irlande.

En cas de conflit entre le présent Addendum ou l'Accord et les Clauses modèles de l'UE relatives aux pays tiers incorporées dans les présentes, les Modèles des Clauses européennes relatives aux pays tiers prévaudront.

  1. Sous-traitants. Dans la mesure où des sous-traitants, des fournisseurs ou d'autres tiers du fournisseur sont tenus d'avoir accès aux données de la trémie afin de permettre au fournisseur de fournir le service (« sous-traitants »), le fournisseur doit (i) fournir à la trémie avec une liste précise et complète de tous les sous-traitants du fournisseur qui accéderont aux données de la trémie au moins trente (30) jours avant d'accorder un tel accès ; (ii) obtenir le consentement écrit de Hopper pour permettre l'accès par ce sous-traitant ; (iii) imposer par un accord écrit les mêmes exigences en matière de confidentialité, de sécurité et autres à tout sous-traitant auquel le fournisseur est soumis en vertu du présent addenda ; et (iv) rester responsable des actions de tout sous-traitant en ce qui concerne les données de la trémie. Une liste des sous-traitants agréés est jointe en annexe 3.
  2. Sécurité. Le fournisseur a mis en œuvre et maintiendra un programme écrit complet de sécurité de l'information (« Programme de sécurité de l'information ») qui comprend des mesures de protection administratives, techniques, opérationnelles, organisationnelles et physiques pour assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des les données de la trémie et pour protéger contre l'accès, l'utilisation, la divulgation ou l'accès non autorisés, et contre l'altération, la perte ou la destruction illégales ou accidentelles des données de la trémie. En particulier, le programme de sécurité de l'information doit inclure, mais sans s'y limiter, les garanties techniques et organisationnelles, le cas échéant ou nécessaires pour assurer la protection des données de la trémie, comme indiqué à l'annexe 2.
  3. Conformité, rapports et demandes de renseignements. À la demande de Hopper, le fournisseur fournira à Hopper des informations démontrant qu'il maintient des contrôles de sécurité des informations alignés sur les exigences du présent addenda. Le fournisseur conservera, au minimum, la documentation d'audit de conformité des rapports SOC-2 de type I et de type II, ou son équivalent, pendant la durée et fournira une copie (sans frais) à Hopper au moins une fois par an pendant la durée sur demande écrite par Hopper. Si le fournisseur traite des données de titulaire de carte telles que définies dans l'industrie des cartes de paiement – norme de sécurité des données (« PCI-DSS »), le fournisseur maintiendra, au minimum, la conformité avec la dernière norme PCI-DSS applicable au fournisseur et/ou Hopper et conservera une documentation d'audit indépendante comprenant au moins une Attestation de conformité, pendant la Durée et fournira une copie (sans frais) à Hopper à la date des présentes et au moins une fois par an pendant la Durée sur demande écrite de Hopper. Si le fournisseur ne conserve pas la documentation d'audit de conformité des rapports SOC-2 de type I et de type II comme spécifié ci-dessus, alors le fournisseur doit conserver (pendant trois (3) ans après la fin du contrat) des enregistrements complets et précis relatifs à son traitement de la trémie en vertu des présentes et à ses conformité avec le présent addenda. Hopper peut vérifier ces enregistrements pendant les heures ouvrables normales, avec un préavis raisonnable et sous réserve de procédures de confidentialité raisonnables. Hopper ne peut pas auditer le fournisseur plus d'une fois par an, à moins qu'un audit ne révèle une non-conformité ou soit nécessaire pour satisfaire les propres obligations légales de Hopper en matière de conformité.

Le fournisseur fournira à Hopper les coordonnées du responsable mondial de la confidentialité des données, du responsable de la confidentialité, du responsable de la protection des données ou de tout autre employé nommé par le fournisseur pour résoudre les problèmes de confidentialité des données.

Le fournisseur coopérera selon les instructions de Hopper dans tous les audits ou enquêtes menés par ou au nom de Hopper, ses filiales et opérations dans le monde entier, et/ou toutes les autorités de protection des données, tribunaux et/ou autres autorités liées au traitement des données personnelles, y compris en fournissant un soutien à Hopper en ce qui concerne (i) l'assistance à Hopper pour répondre aux demandes des personnes concernées pour l'exercice des droits des personnes concernées en vertu de la loi applicable, y compris l'effacement ou le blocage des données personnelles sans délai sur instruction de Hopper ; (ii) aider Hopper à répondre à l'autorité de protection des données ou à d'autres demandes réglementaires d'informations relatives au traitement du fournisseur ; et (iii) fournir toutes les informations nécessaires liées au traitement par le fournisseur pour que Hopper démontre la conformité avec les lois applicables en matière de protection des données.

Le fournisseur doit informer rapidement Hopper s'il reçoit une demande d'accès, de rectification, d'annulation, d'objection ou toute autre demande liée à la protection des données, et, si un tribunal, un organisme gouvernemental ou un organisme chargé de l'application de la loi contacte le fournisseur avec une demande de données de Hopper, le fournisseur demander à l'organisme d'application de la loi de demander ces informations directement à Hopper. Dans le cadre de cet effort, le fournisseur peut fournir les coordonnées de base de Hopper à l'agence. S'il est contraint de divulguer les données de Hopper aux forces de l'ordre, le fournisseur en informera rapidement Hopper et sans délai injustifié et lui remettra une copie de la demande (sauf lorsque le fournisseur en est légalement interdit) pour permettre à Hopper de demander une ordonnance de protection ou tout autre recours approprié.

  1. Violation de la sécurité. Le fournisseur informera Hopper immédiatement par écrit en cas de découverte de toute violation suspectée ou réelle, de compromission ou d'accès non autorisé à la sécurité ou à la confidentialité des données de Hopper (chacun, un « Incident de sécurité »). L'avis décrira l'incident de sécurité, l'état de l'enquête du fournisseur et, le cas échéant, le nombre potentiel de personnes affectées. Le fournisseur coopérera pleinement avec Hopper dans l'enquête sur l'incident de sécurité. Nonobstant toute disposition contraire dans le Contrat ou le présent Addenda, le Fournisseur doit indemniser et rembourser Hopper pour tous les dommages, pertes, frais ou coûts (directs, indirects, spéciaux ou consécutifs) encourus par Hopper à la suite d'un tel incident de sécurité, et remédier à tout préjudice ou préjudice potentiel causé par un tel incident de sécurité. Dans la mesure où un incident de sécurité rend nécessaire, à la seule discrétion de Hopper (i) de notifier les autorités publiques, les particuliers ou d'autres personnes, ou (ii) de prendre d'autres mesures correctives (y compris, sans s'y limiter, un avis, un crédit des services de surveillance et la mise en place d'un centre d'appels pour répondre aux demandes de renseignements (chacun de ce qui précède étant une « Action corrective »), à la demande de Hopper, le Fournisseur devra, à ses frais, entreprendre ces Actions correctives. Le fournisseur ne communiquera avec aucun tiers concernant un incident de sécurité, sauf selon les directives de Hopper à sa seule discrétion.
  2. Assurance. Le fournisseur maintiendra (i) la responsabilité commerciale générale, l'indemnisation des accidents du travail, la responsabilité des employeurs et toute autre assurance requise par la loi ou appropriée à l'exploitation de son entreprise et (ii) une assurance erreurs et omissions/responsabilité professionnelle et cyber-responsabilité/criminalité informatique qui expressément ( a) couvre la violation, la perte ou l'accès non autorisé aux données ou aux systèmes et autres délits informatiques ou commis par des employés et (b) s'applique aux données de Hopper et à toute autre propriété de Hopper sous le contrôle du fournisseur. Toutes les assurances seront cotées A-VII ou plus et auront des limites adéquates proportionnelles aux pratiques de l'industrie (mais en tout état de cause pas moins de deux millions de dollars (2 000 000 $) par réclamation et cinq millions de dollars (5 000 000 $) au total pour les polices d'assurance responsabilité civile). Le fournisseur fournira des certificats d'assurance et ajoutera Hopper en tant qu'assuré supplémentaire sur demande.
  3. Accords supplémentaires. Le fournisseur doit, à la demande de Hopper, exécuter rapidement et faire exécuter à tout tiers auquel il divulgue des données personnelles ou autorise l'accès aux données personnelles, des accords de traitement de données supplémentaires avec Hopper ou l'une de ses sociétés affiliées ou prendre d'autres mesures appropriées pour répondre au transfert transfrontalier ou à d'autres exigences en matière de protection des données si Hopper conclut, à son seul jugement raisonnable, que de telles mesures sont nécessaires pour répondre aux lois applicables en matière de protection des données ou de confidentialité concernant les données personnelles. Ces accords de traitement de données supplémentaires peuvent inclure, sans s'y limiter, les clauses contractuelles types de la Commission européenne pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers (2010/87/UE) et d'autres conditions de protection des données.
  4. Durée et résiliation. Le présent Avenant restera pleinement en vigueur jusqu'à ce que le dernier des (i) Contrat(s) reste en vigueur et (ii) le Fournisseur conserve des copies des Données de la trémie. Hopper peut résilier le présent Avenant et/ou Contrat immédiatement, sans notification judiciaire ni résolution et sans préjudice de tout autre recours, dans le cas où (i) le Fournisseur enfreint de manière substantielle toute déclaration ou garantie donnée en vertu du présent Avenant, et ne parvient pas à remédier une telle violation dans un délai de 30 jours de la part de Hopper, (ii) le Fournisseur notifie Hopper conformément à la Section 2 du présent Addendum, (iii) une autorité de protection des données ou une autre autorité de régulation ou un autre tribunal ou tribunal dans les pays dans lesquels Hopper ou sa filiale entités exploite constate qu'il y a eu une violation de toute loi pertinente dans cette juridiction en vertu du traitement des données personnelles par le fournisseur ou Hopper, (iv) le respect des termes de cet addenda par le fournisseur mettrait le fournisseur en violation de ses obligations légales ; ou (v) si l'une des parties effectue une cession au profit de créanciers, fait l'objet d'une procédure de faillite, est soumise à la nomination d'un séquestre ou admet par écrit son incapacité à payer ses dettes à mesure qu'elles deviennent exigibles. En cas de résiliation du présent Addendum pour quelque raison que ce soit, le Fournisseur devra, et obligera tous les sous-traitants à, immédiatement à la demande de Hopper : (i) retourner toutes les Données de Hopper et toutes les copies des Données de Hopper faisant l'objet du présent Addendum à Hopper ; ou (ii) détruire toutes les copies de ces données Hopper d'une manière sécurisée qui est raisonnablement conçue pour rendre les informations illisibles en permanence et non reconstructibles dans un format utilisable (c'est-à-dire, conformément au département américain de la Défense alors en vigueur, ou des données similaires norme de destruction ou normes de la SCEE, selon le cas). Le Fournisseur certifiera également rapidement à Hopper que lui-même et ses sous-traitants ont exécuté les instructions du Fournisseur conformément à la présente Section 10. Les Sections 6d et 10 de cet Addendum survivront à toute résiliation ou expiration du Contrat.
  5. Droit applicable. Le présent Avenant sera régi et interprété conformément à la loi applicable désignée dans l'Accord dans lequel il est incorporé.

ANNEXE 1
(Avenant relatif au traitement des données et à la sécurité de la trémie)

1.A - LISTE DES PARTIS Exportateur(s) de données:
Nom: Hopper Travel (Irlande), Ltd.
Adresse: Centre d'affaires Mespil, Mespil House, Sussex Road, Dublin 4
Nom, fonction et coordonnées de la personne de contact: Brian Carroll, General Counsel, legal@hopper.com
Activités relatives aux données transférées en vertu de ces clauses: Voir l'annexe 1.B

Rôle (contrôleur/processeur): Contrôleur

Importateur(s) de données:

Nom, adresse et contact : Tels qu'indiqués dans l'accord
Activités pertinentes pour les données transférées en vertu de ces clauses : Voir l'annexe 1.B

Rôle (contrôleur/processeur) : Processeur

La présente annexe 1.A est réputée signée au nom de chacun des importateurs et exportateurs de données par les signataires de tout accord dans lequel cet addendum est incorporé, lors de sa signature.

1.B - DÉTAILS DU(S) TRANSFERT(S)

  1. ObjetL'objet du traitement des données en vertu du présent Avenant est les Données de Hopper traitées par le Fournisseur au nom de Hopper.
  2. DuréeLa durée du traitement des données en vertu du présent Avenant est la période pendant laquelle le Fournisseur fournit des services à Hopper en vertu du Contrat ou autrement requis par la loi.
  3. ButLe but du traitement des données en vertu du présent Avenant est la fourniture du Service en vertu de l'Accord (tel que modifié de temps à autre).
  4. Nature du traitementLe traitement des données impliquera tout traitement nécessaire aux fins énoncées dans le Contrat, le présent Addendum et ci-dessous (le cas échéant).
  5. Type de données personnellesLes types de Données personnelles traitées sont tels que décrits dans le Contrat (tel que modifié de temps à autre), le présent Addendum et ci-dessous (le cas échéant).
  6. Catégories de personnes concernéesEn fournissant le service à Hopper, le fournisseur traite les données personnelles des personnes concernées référencées dans le contrat (tel que modifié de temps à autre), le présent addenda et ci-dessous (le cas échéant).
  7. Données sensibles Rien.

1.C - AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Commission irlandaise de protection des données (DPC) (An Coimisiún um Chosaint Sonrai)

ANNEXE 2 - Sauvegardes techniques et organisationnelles
(Avenant relatif au traitement des données et à la sécurité de la trémie)

a. Contrôles d'accès. Policies, procedures, and physical and technical controls: (i) to limit physical access to its information systems, data processing equipment, data processing systems, and the facility or facilities in which they are housed to properly authorized persons; (ii) to ensure that all members of its workforce who require access to the Hopper Data have appropriately controlled access and will maintain the confidentiality of the Hopper Data, and to prevent those workforce members and others who should not have access from obtaining access; (iii) to authenticate and permit access only to authorized individuals and to prevent members of its workforce from providing the Hopper Data or information relating thereto to unauthorized individuals; (iv) to encrypt and decrypt the Hopper Data where appropriate; (v) t provide for the use of pseudonymisation where appropriate; and (vi) to ensure that data collected for different purposes can be processed separately.

b. Sensibilisation à la sécurité et formation.Un programme de sensibilisation et de formation à la sécurité pour tous les membres du personnel du fournisseur (y compris la direction) qui ont accès aux données de la trémie, qui comprend une formation sur la façon de mettre en œuvre et de se conformer à son programme de sécurité des informations.

c. Procédures en cas d'incident de sécurité. Politiques et procédures pour détecter, répondre et résoudre les incidents de sécurité (tels que définis ici), y compris les procédures pour surveiller les systèmes et détecter les attaques ou les intrusions réelles et tentées dans les données de la trémie ou les systèmes d'information s'y rapportant, et les procédures pour identifier et répondre aux incidents de sécurité ou de confidentialité suspectés ou connus, atténuer les effets néfastes de tels incidents et documenter ces incidents et leurs résultats.

d. La planification d'urgence. Politiques et procédures pour répondre à une situation d'urgence ou autre (par exemple, incendie, vandalisme, défaillance du système et catastrophe naturelle) qui endommage les données de la trémie ou les systèmes qui contiennent les données de la trémie, y compris un plan de sauvegarde des données, un plan de continuité des activités ( BCP) et un plan de reprise après sinistre, y compris des mesures pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services du fournisseur, et pour garantir la capacité de restaurer la disponibilité et l'accès aux données de la trémie en temps opportun en cas de un incident physique ou technique.

e. Contrôles des appareils et des médias.Politiques et procédures qui régissent la réception et le retrait du matériel et des supports électroniques contenant les données de la trémie vers et hors d'une installation du fournisseur, et le mouvement de ces articles dans une installation du fournisseur, y compris les politiques et procédures pour traiter la disposition finale de la trémie Les données et/ou le matériel ou les supports électroniques sur lesquels elles sont stockées, et les procédures de suppression des données personnelles des supports électroniques avant que les supports ne soient disponibles pour réutilisation.

f. Contrôles d'audit. Hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic information, including appropriate logs and reports concerning these security requirements and compliance therewith, and measures to ensure that it is possible to check and establish whether and by whom data have been input into data processing systems or removed.

g. Intégrité des données. Politiques et procédures pour assurer la confidentialité, l'intégrité et la disponibilité des données de la trémie et les protéger contre la divulgation, l'altération inappropriée ou la destruction.

h. Sécurité du stockage et de la transmission. Mesures de sécurité techniques pour se prémunir contre l'accès non autorisé aux données de la trémie qui sont transmises sur un réseau de communications électroniques, y compris un mécanisme pour crypter les données personnelles sous forme électronique pendant le transit et au repos dans le stockage sur des réseaux ou des systèmes auxquels des personnes non autorisées peuvent avoir l'accès, et de s'assurer qu'il est possible de vérifier et d'établir à quels organismes le transfert de Données au moyen de moyens de transmission de données est envisagé.

i. Supports de stockage.Politiques et procédures garantissant qu'avant que tout support de stockage contenant des données de la trémie ne soit attribué, alloué ou réaffecté à un autre utilisateur, ou avant que ce support de stockage ne soit définitivement retiré d'une installation, le fournisseur supprimera de manière irréversible ces données de la trémie d'un perspective, de sorte que le support ne contienne aucune donnée résiduelle, ou si nécessaire détruire physiquement un tel support de stockage de telle sorte qu'il soit impossible de récupérer une partie des données sur le support qui a été détruit. Le fournisseur doit maintenir un programme vérifiable mettant en œuvre les exigences d'élimination et de destruction énoncées dans la présente section pour tous les supports de stockage contenant des données de trémie.

j. Responsabilité de sécurité assignée. Le fournisseur doit désigner un responsable de la sécurité responsable du développement, de la mise en œuvre et de la maintenance de son programme de sécurité de l'information. Le fournisseur informera le fournisseur de la personne responsable de la sécurité.

k. Essai. Le fournisseur doit régulièrement tester, évaluer et évaluer les contrôles, systèmes et procédures clés de son programme de sécurité de l'information pour s'assurer qu'ils sont correctement mis en œuvre et efficaces pour faire face aux menaces et aux risques identifiés et protéger les données de la trémie. Les tests doivent être effectués ou examinés par des tiers indépendants ou du personnel indépendant de ceux qui développent ou maintiennent les programmes de sécurité.

l. Ajuster le programme. Le fournisseur surveillera, évaluera et ajustera, le cas échéant, le programme de sécurité de l'information à la lumière de tout changement pertinent dans la technologie ou les normes de sécurité de l'industrie, la sensibilité des données personnelles, les menaces internes ou externes pour le fournisseur ou les données de la trémie, et le fournisseur ' l'évolution des accords commerciaux de , tels que les fusions et acquisitions, les alliances et les coentreprises, les accords d'externalisation et les modifications apportées aux systèmes d'information.

ANNEXE 3 - Sous-traitants
(Avenant relatif au traitement des données et à la sécurité de la trémie)

Le responsable du traitement a autorisé l'utilisation des sous-traitants suivants : Aucun.