Annexe relative au traitement des données personnelles

1. Objet

La présente annexe encadre les traitements de données personnelles réalisés par CYDEN en qualité de sous-traitant pour le compte d’un Client agissant en qualité de responsable de traitement.

Elle s’applique lorsque CYDEN traite des données personnelles sur instruction documentée du Client dans le cadre de la fourniture du Service.

2. Qualification des parties

Le Client agit en qualité de responsable de traitement lorsqu’il détermine les finalités et moyens essentiels du traitement.

CYDEN agit en qualité de sous-traitant lorsqu’elle traite des données personnelles pour le compte du Client et sur ses instructions documentées.

Pour certains traitements réalisés pour son propre compte, CYDEN agit en qualité de responsable de traitement indépendant. Ces traitements sont décrits dans la Politique de confidentialité.

3. Description des traitements sous-traités

Les traitements réalisés par CYDEN en qualité de sous-traitant peuvent inclure :

• hébergement de données transmises par le Client ;
• gestion des comptes utilisateurs ;
• analyse d’informations cyber fournies par le Client ;
• génération de scores, indicateurs, rapports et recommandations ;
• journalisation et sécurité du Service ;
• support technique ;
• maintenance ;
• restitution ou suppression des données en fin de contrat.

4. Finalités

Les données sont traitées pour les finalités suivantes :

• fournir le Service CYDEN ;
• permettre l’analyse d’exposition cyber du Client ;
• produire des recommandations de cybersécurité ;
• assurer la sécurité, la maintenance et le support du Service ;
• respecter les instructions documentées du Client.

5. Catégories de données

Les données traitées peuvent inclure :

• données d’identification professionnelle ;
• coordonnées professionnelles ;
• données de compte ;
• données de connexion ;
• informations techniques ou cyber transmises par le Client ;
• informations relatives aux actifs numériques du Client ;
• données nécessaires aux rapports et recommandations ;
• journaux de sécurité.

6. Catégories de personnes concernées

Les personnes concernées peuvent être :

• utilisateurs du Service ;
• salariés, dirigeants, prestataires ou contacts professionnels du Client ;
• administrateurs du compte Client ;
• personnes autorisées par le Client ;
• personnes dont les données sont fournies par le Client dans le cadre du Service.

7. Instructions du Client

CYDEN traite les données personnelles uniquement sur instruction documentée du Client, sauf obligation légale contraire.

Les instructions du Client sont constituées par le contrat, les CGV, les CGU, la présente annexe et les paramètres configurés dans le Service.

Si CYDEN estime qu’une instruction constitue une violation du RGPD ou d’une règle applicable, CYDEN en informe le Client dans la mesure permise par la loi.

8. Confidentialité

CYDEN veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée.

9. Sécurité

CYDEN met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

• contrôle des accès ;
• authentification ;
• gestion des habilitations ;
• journalisation ;
• segmentation ou cloisonnement lorsque pertinent ;
• sauvegardes ;
• protection contre les accès non autorisés ;
• surveillance de sécurité ;
• procédures de gestion des incidents ;
• suppression ou anonymisation lorsque nécessaire.

10. Sous-traitants ultérieurs

Le Client autorise CYDEN à recourir à des sous-traitants ultérieurs pour fournir le Service, notamment pour l’hébergement, la maintenance, la sécurité, le paiement, le support ou les outils techniques nécessaires.

CYDEN s’engage à imposer à ses sous-traitants ultérieurs des obligations de protection des données au moins équivalentes à celles prévues dans la présente annexe.

Liste des sous-traitants ultérieurs

Liste à compléter

11. Transferts hors Union européenne

Lorsque des transferts hors Union européenne sont nécessaires, CYDEN met en œuvre des garanties appropriées conformément à la réglementation applicable.

12. Assistance au Client

Dans la mesure du possible et compte tenu de la nature du traitement, CYDEN assiste le Client pour :

• répondre aux demandes d’exercice de droits des personnes concernées ;
• assurer la sécurité des traitements ;
• notifier les violations de données personnelles ;
• réaliser, lorsque nécessaire, une analyse d’impact relative à la protection des données ;
• démontrer la conformité des traitements sous-traités.

13. Exercice des droits

Lorsque CYDEN reçoit directement une demande d’exercice de droits relative à un traitement réalisé pour le compte du Client, CYDEN transmet la demande au Client ou invite la personne concernée à contacter le Client, sauf instruction contraire ou obligation légale.

14. Violation de données personnelles

CYDEN informe le Client dans les meilleurs délais après avoir pris connaissance d’une violation de données personnelles affectant les traitements réalisés en qualité de sous-traitant.

La notification comprend, lorsque disponibles :

• la nature de la violation ;
• les catégories et volumes de données concernés ;
• les conséquences probables ;
• les mesures prises ou proposées ;
• les coordonnées de contact utiles.

15. Audit

CYDEN met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations.

Tout audit doit être raisonnable, proportionné, planifié à l’avance, ne pas compromettre la sécurité du Service ni les données d’autres clients, et respecter les obligations de confidentialité de CYDEN.

16. Sort des données en fin de contrat

À la fin du contrat, selon le choix du Client et sauf obligation légale contraire, CYDEN supprime, anonymise ou restitue les données personnelles traitées en qualité de sous-traitant.

17. Durée

La présente annexe s’applique pendant toute la durée pendant laquelle CYDEN traite des données personnelles pour le compte du Client.

18. Contact

Pour toute question relative à la présente annexe : contact@cyden.io.