FR EN

CPSDP (Contrat relatif à la Protection et la Sécurité des Données Personnelles)

Sécurité des Données

Le CPSDP (Contrat relatif à la Protection et la Sécurité des Données Personnelles) fait partie intégrante du Marché signé avec ses Clients. NewGen s’engage à traiter les Données Personnelles Client (ci-après les « DPC ») selon les spécifications ci-dessous. Dans la mesure où il y aurait une contradiction entre les termes du présent CPSDP et le Contrat, le présent CPSDP prévaudra.

Définitions :

  • « Données Personnelles (DP) ou Données Personnelles du Client » (DPC) désigne toute information liée à une personne physique identifiée ou identifiable, ou autrement définie par la Réglementation sur la Protection des Données Personnelles en vigueur.
  • « Données de Contact Professionnelles » (DCP) désigne (I) les informations de contact des représentants du Client pour facturation, et autres requêtes du business, (II) informations sur les usages du client des services, et (III) autres informations que NewGen collecte et qu’il a besoin de communiquer au Client.
  • « Règlementation sur la Protection des Données Personnelles » désigne toute loi et toute réglementation en vigueur applicable concernant le Traitement et la Protection des Données Personnelles pouvant exister dans la juridiction concernée.
  • « Responsable de Traitement » désigne toute personne morale ou physique, autorité publique, agence, ou autres entités qui seul ou conjointement déterminent les finalités et les moyens du traitement des Données Personnelles en application de la Règlementation sur la Protection des Données Personnelles.
  • « Sous-traitant » désigne toute personne physique ou morale, autorité publique, agence ou autres entités qui traitent des Données Personnelles pour le compte du Responsable de Traitement ou suivant les instructions d’un autre Sous-traitant agissant pour le compte du Responsable de Traitement.
  • « Traitement » désigne toute opération ou tout ensemble d’opérations effectués sur ou avec des Données Personnelles avec ou sans moyens automatiques (incluant sans se limiter à, l’accès, la collecte, l’enregistrement, l’organisation, la conservation, le stockage, l’adaptation ou la modification,

l’extraction, la consultation, l’utilisation, la communication par transmission, la mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de Données Personnelles) et toute définition équivalente en conformité avec la Règlementation sur la Protection des Données Personnelles dans la mesure où une telle définition devrait modifier la présente définition.

  • « Catégorie Spéciale de Données » désigne les Données Personnelles du Client portant sur des données telles que l’origine racial/ethnique, opinions politiques, religieuses ou croyance, appartenance syndicale, ou données relatives à la santé mentale ou physique, à la vie sexuelle ou données biométriques (si utilisées pour le seul but d’identifier un individu) ou données génétiques.

Nominations et Instructions

  • NewGen s’engage à Traiter les DPC lorsque cela est nécessaire pour fournir les Services prévus, en conformité avec le Contrat et la loi applicable, en tant que fournisseur de services et Sous-traitant des DPC. Les détails du traitement incluant l’objet, les finalités du Traitement et la durée du Traitement, les types et catégories de DPC pour le compte de l’entité pour laquelle le Traitement est réalisé sont précisés au sein de l’Annexe 1 aux présentes.
  • NewGen s’engage à Traiter les DPC conformément aux instructions du Client, telles que précisées au sein du présent CPSDP, du Contrat ou de tout autre document signé d’un commun accord entre les Parties. Des éventuels coûts et charges pouvant y être associés doivent avoir été approuvés par les Parties dans le cadre du Contrat.
  • En dehors de toute instruction de la part du Client, NewGen peut avoir à Traiter les DPC lorsque cela est imposé par la loi en vigueur. Dans une telle situation, NewGen informera le Client avant tout Traitement, sauf lorsque la loi requière – pour des motifs d’intérêt général - qu’une telle information ne soit pas transmise au Client. Si NewGen n’est pas en mesure de se conformer aux instructions du Client ou aux obligations édictées au sein du présent CPSDP, du fait de changements législatifs ou, si NewGen présume que les instructions du Client pourraient violer la loi applicable, ou pour toute autre raison, NewGen en avertira immédiatement le Client par écrit.
  • NewGen reconnaît n’avoir ni droit, ni titre, ni intérêt quelconque dans les DPC (incluant tout droit de propriété intellectuelle). NewGen ne saurait, pour quelque raison que ce soit, vendre, louer ou céder les DPC.
  • Dans le cas où le Client utilise les services pour Traiter toute catégorie de données non expressément couverte par le présent CPSDP, le Client agit alors à ses propres risques et périls, NewGen ne saurait, en aucun cas, être considéré comme responsable d’une telle utilisation.

Respect de la loi

  • Les Parties doivent à tout moment respecter leurs obligations respectives prévues au sein du présent CPSDP, et la loi applicable à leur traitement respectif de Données Personnelles. En outre, si NewGen interagit avec des informations de santé protégées telles que définies par le Heal
  • NewGen doit également se conformer à la législation applicable et les politiques du client applicables en matière de Traitement et usage des Données Contact Professionnelles et s’engage à utiliser lesdites Données Contact Professionnelles uniquement pour des besoins professionnels légitimes incluant notamment la facturation, la collecte, la surveillance de l’utilisation du service, l’amélioration du service, la maintenance, le support, les services professionnels, les communications relatives au renouvellement des contrats (directement ou via le sous-traitant agissant pour le compte de NewGen

ou un revendeur de NewGen approuvé pour des objectifs de renouvellement de contrat) et l’information concernant les nouveaux services et/ou services additionnels.

  • Lorsque Le client divulgue les Données Personnelles de ses employés à NewGen ou que les employés du client fournissent leurs Données Personnelles directement à NewGen, NewGen s’engage alors à traiter lesdites données conformément à la législation en vigueur. De telles divulgations ne sauraient être effectuées par NewGen, seulement dans la mesure où elles sont légitimes au regard de la gestion des contrats, des services, ou à des fins de vérification raisonnable et légale par le Client ou de sécurité.

Sécurité

  • NewGen se doit de mettre en œuvre et de maintenir des mesures physiques, techniques et organisationnelles de sécurité, telles que précisées au sein de l’Annexe 1, ci-après, afin de protéger les Données Personnelles du Client et les Données Contact Professionnelles contre une destruction accidentelle ou illégale, ou en cas de perte, de modification, d’accès non autorisé ou de divulgation non autorisée.
  • Le Client consent que NewGen puisse changer les mesures de sécurité suite à l’adoption de nouvelles technologies de Sécurité ou technologies améliorées de sécurité et autorise NewGen à procéder à de tels changements, dans la mesure où le niveau de protection est au moins équivalent à celui précédemment fourni. NewGen informera régulièrement le Client sur les mesures de sécurité les plus récentes s’appliquant dans le cadre des Services fournis au Client à sa demande ou via le site auquel le Client a accès.

Annexe 1 - Traitement des Données de Services Professionnels et de

Support

Dans la présente Annexe, NewGen décrit les conditions spécifiques des Services, incluant son engagement relatif aux mesures de sécurité techniques et organisationnelles pour protéger les Données Personnelles du Client.

NewGen réalise le Traitement suivant des Données Personnelles au titre des services fournis Dans le cadre de la fourniture de services professionnels et de support de maintenance des Equipements et logiciels sur site ou à distance, NewGen peut avoir accès à des Données enregistrées sur les applications professionnelles (incluant des metadata), les outils informatiques ou l’infrastructure réseau du Client. Ces Données peuvent inclure des Données Personnelles Client.
Type des Données Personnelles Client traitées Le type des Données Personnelles traitées dépendra des Données que le Client a enregistrées sur ses applications professionnelles (incluant des metadata), outils informatiques ou son infrastructure réseau et peut inclure des Données Personnelles sensibles ou Catégorie Spéciale de Données.
Catégories de Sujets de données Tous sujets de données dont les Données Personnelles du Client sont enregistrées par le Client sur ses applications professionnelles (incluant des metadata), outils informatiques ou son infrastructure réseau incluant sans se limiter à, les clients du Client, les utilisateurs finaux, les employés, contractants et les employés temporaires.
Durée du Traitement NewGen ne doit traiter les Données Personnelles Client que pendant la durée du Contrat.
Mesures de sécurité NewGen doit maintenir les informations suivantes et le programme physique de sécurité pour la protection des Données Personnelles Client (ci-après « Programme de Sécurité NewGen »).
  • Comme partie intégrante de son Programme de Sécurité, NewGen conduit des revues périodiques des pratiques de sécurité en comparaison avec les standards de l’industrie, tels que NIST, ISO 27001 etc. NewGen réévalue et met à jour régulièrement le Programme de Sécurité NewGen au fur et à mesure que l’Industrie évolue, de nouvelles technologies apparaissent ou de nouvelles menaces sont identifiées.
  • Le Programme de Sécurité NewGen consiste à minima en ce qui suit :
  • NewGen maintient les standards de sécurité physiques désignés pour interdire les accès physiques non autorisés aux installations et aux équipements NewGen en utilisant les pratiques suivantes : o Les accès physiques aux sites sont limités aux employés NewGen, sous-traitants et visiteurs autorisés ; o Des cartes d’identification sont délivrées aux employés NewGen, sous-traitants et visiteurs qui doivent être portées dans les locaux ; o Surveillance des accès aux locaux, installations NewGen, incluant les zones restreintes et les équipements dans lesdits locaux ; o L’accès au Centre de Données où les Données Personnelles du Client sont hébergées, connectées, surveillées et traquées ; o Les Centres de Données sont sécurisés avec des systèmes d’alarme et des caméras vidéos.
  • NewGen maintient les standards suivants pour le contrôle des accès et la gestion des environnements informatiques concernés. o Les comptes des administrateurs doivent seulement être utilisés afin de remplir des tâches administratives ; o Chaque compte avec des privilèges administratifs doit pouvoir être attribuable à un individu identifiable de manière unique ; o Tous les accès aux ordinateurs et serveurs doivent être authentifiés et ce dans le cadre du champ des fonctions de l’employé ; o Les mots de passe initiaux doivent être changés par l’utilisateur dès sa première utilisation ; o L’affichage et l’impression des mots de passe doit être masquée, supprimée, ou autrement cachée de telle sorte que les Parties non autorisées ne puissent pas les voir ou les récupérer ; o Les mots de passe doivent être attribuable à un individu identifiable de manière unique ; o La complexité des mots de passe ne doit jamais être inférieure à 3 sur 4 classes de caractères et doit avoir des choix de classes de caractères tels que les lettres majuscules, les lettres minuscules, des chiffres, ou caractères spéciaux ;

o La longueur des mots de passe doit être configurée avec au moins 8 caractères ; o Les mots de passe doivent expirer tous les 90 jours ; o Expiration automatique de l’accès aux ordinateurs et aux serveurs si inutilisé avec exigence d’authentification par mot de passe pour y accéder de nouveau ; o Les comptes doivent être programmés pour se bloquer suite à de multiples tentatives erronées d’accès échoué. o Les ordinateurs et serveurs doivent être raisonnablement mis à jour avec les versions de logiciels de système de sécurité incluant des pare-feu hébergés, une protection anti-virus, des patchs à jour et des définitions de virus. Le logiciel est configuré pour scanner et aussitôt enlever ou fixer les résultats identifiés. NewGen maintient l’historique des différents composants de l’infrastructure et un système de détection des intrusions pour surveiller, détecter et reporter les échantillons de mauvaise utilisation, activités suspicieuses, utilisateurs non-autorisés, et autres risques de menaces de sécurité actuels.

  • A la demande du Client, NewGen examinera avec le Client le résumé des analyses de vulnérabilité. Les analyses de vulnérabilité n’autorisent pas le Client à voir ou en aucun cas à accéder aux enregistrements et/ou aux procédés de traitement : (a) non directement liés aux services ; (b) en violation de la législation ; et/ou (c) en violation des obligations de sécurité et de confidentialité de NewGen dues aux tiers.
  • Les employés et les contractants sont formés sur les règles de sécurité et de protection des Données Personnelles et sont informés de leur responsabilité au regard de la Règlementation sur la Protection des Données Personnelles et en matière de sécurité. Les employés et contractants de NewGen sont contractuellement tenus de maintenir la confidentialité des Données Personnelles du Client et de se conformer aux règles NewGen, standards ou exigences relatives au Traitement des Données Personnelles du Client. Le non-respect de ces règles, standards ou exigences donnera lieu à une enquête pouvant se solder par une action disciplinaire allant jusqu’au licenciement ou la résiliation des engagements par NewGen.
  • Dans le cas où NewGen confirme une violation de la sécurité ayant pour conséquence une destruction illicite ou accidentelle, des pertes, altérations, ou divulgations non autorisées, ou un accès non autorisé aux Données Personnelles du Client (« incident de sécurité »), NewGen devra : o Sans délai, notifier au Client l’incident de sécurité. NewGen fournira au Client des mises à jour sur le statut de l’incident de sécurité jusqu’à ce que le sujet soit résolu. Les rapports devront contenir, sans limitation, une description de l’incident de sécurité, les actions prises, et les plans de remédiation. Si le Client est informé d’un incident de sécurité affectant les Services, le Client doit aussitôt en notifier NewGen et l’informer de l’étendue de l’incident. La notification doit être envoyée au Support desk de NewGen via le protyail de services o A la demande du Client et à ses frais, (I) fournir une assistance raisonnable au Client en notifiant les violations de sécurité à l’autorité compétente de contrôle conformément aux lois de la protection et la sécurité des Données Personnelles s’appliquant à lui ; et (II) fournir une assistance raisonnable au Client en communiquant les violations de données aux Sujets de données dans les cas où la violation de données peut conduire à un haut risque d’infraction aux droits et libertés des individus.