Conformément à l’article 28 du Règlement général sur la protection des données (RGPD), basé sur les clauses contractuelles standard de l’UE
(a) Ces clauses contractuelles standard (« les Clauses ») visent à garantir le respect des articles 28(3) et (4) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatant la protection des personnes physiques en matière de traitement des données personnelles et la libre circulation de ces données, ainsi que l’abrogation de la directive 95/46/CE (Règlement général sur la protection des données).
(b) Les responsables de contrôle et les prestataires de traitement énumérés à l’annexe I ont accepté ces clauses afin de garantir le respect des articles 28(3) et (4) du Règlement (UE) 2016/679 et/ou des articles 29(3) et (4) du Règlement (UE) 2018/1725.
c) Ces clauses s’appliquent au traitement des données personnelles telles qu’énoncées à l’annexe II.
d) Les annexes I à IV font partie intégrante des clauses.
e) Ces clauses sont sans préjudice des obligations auxquelles le Contrôleur est soumis en vertu du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725.
(f) Ces clauses ne garantissent pas en elles-mêmes la conformité aux obligations relatives aux transferts internationaux de données en vertu du chapitre V du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725.
a) Les parties s’engagent à ne pas modifier les Clauses sauf pour compléter ou mettre à jour les informations fournies dans les Annexes.
(b) Cela n’empêche pas les parties d’inclure les clauses contractuelles standard énoncées dans ces clauses dans un contrat plus étendu et d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas directement ou indirectement les clauses ni ne restreignent les droits ou libertés fondamentaux des personnes concernées.
(a) Lorsque ces clauses utilisent les termes définis dans le Règlement (UE) 2016/679 ou le Règlement (UE) 2018/1725, ces termes auront les mêmes significations que dans ce Règlement.
b) Ces clauses doivent être interprétées à la lumière des dispositions du Règlement (UE) 2016/679 et du Règlement (UE) 2018/1725 respectivement.
(c) ces clauses ne doivent pas être interprétées de manière contraire aux droits et obligations prévus par le Règlement (UE) 2016/679 ou le Règlement (UE) 2018/1725, ni portant atteinte aux droits ou libertés fondamentaux des personnes concernées ;
En cas de conflit entre ces clauses et les dispositions de tout accord connexe existant entre les parties ou concluant ou concluant par la suite, ces clauses prévalent.
(a) Une entité qui n’est pas partie à ces Clauses peut, avec le consentement de toutes les parties, adhérer à ces Clauses à tout moment en tant que contrôleur ou en tant que traiteur en complétant les Annexes et en signant l’Annexe I.
(b) Après avoir complété et signé les annexes mentionnées au point (a), l’entité accédant sera considérée comme partie à ces clauses et aura les droits et obligations d’un contrôleur ou d’un traiteur désignés à l’Annexe I.
(c) L’entité accédant ne découle d’aucun droit ou obligation découlant de ces clauses pour la période précédant son adhésion en tant que partie.
Les détails des opérations de traitement, en particulier les catégories de données personnelles et les finalités pour lesquelles ces données sont traitées au nom du responsable du mandat, sont exposés à l’annexe II.
a) Le prestataire traitera les données personnelles uniquement sur instruction documentée du contrôleur, sauf s’il est tenu de traiter en vertu du droit de l’Union ou en vertu de la loi d’un État membre auquel il est soumis. Dans ce cas, le prestataire doit communiquer ces exigences légales au contrôleur avant le traitement, sauf si la loi applicable l’interdit pour des raisons d’intérêt public important. Le Responsable du mandat peut donner des instructions supplémentaires tout au long de la période de traitement des données personnelles. Ces instructions doivent toujours être consignées.
(b) Le prestataire doit informer le responsable sans délai s’il estime que les instructions données par le responsable constituent une violation du Règlement (UE) 2016/679, du Règlement (UE) 2018/1725 ou de la législation applicable sur la protection des données de l’Union ou des États membres.
Le Traiteur ne traitera les Données Personnelles que pour l’ou les objectifs spécifiques définis à l’Annexe II, sauf s’il reçoit d’autres instructions du Contrôleur.
Les données seront traitées par le Processeur uniquement pour la période spécifiée à l’Annexe II.
a) Le prestataire doit prendre au moins les mesures techniques et organisationnelles énumérées à l’Annexe III afin d’assurer la sécurité des données personnelles. Cela inclut la protection des données contre une faille de sécurité qui entraînerait la destruction, la perte, la modification ou la divulgation ou l’accès non autorisé aux données, qu’elles soient accidentelles ou illégales (ci-après « violation de données personnelles »). En évaluant le niveau adéquat de protection, les parties doivent prendre en compte l’état de la technologie, les coûts de mise en œuvre, la nature, la portée, les circonstances et les objectifs du traitement, ainsi que les risques associés aux personnes concernées.
b) Le Traiteur accordera à son personnel l’accès aux données personnelles faisant l’objet du traitement uniquement dans la mesure strictement nécessaire à la performance, la gestion et le suivi de l’Accord. Le Prestataire garantit que les personnes autorisées à traiter les données personnelles reçues se sont engagées à la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
Si le traitement concerne des données personnelles révélant une origine raciale ou ethnique, des opinions politiques, des croyances religieuses ou philosophiques ou une appartenance syndicale, ou contenant des données génétiques ou biométriques dans le but d’identifier de manière unique une personne naturelle, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations et infractions pénales (ci-après « Données sensibles »), le Traiteur applique des limitations spécifiques et/ou des protections supplémentaires.
a) Les parties doivent être en mesure de prouver le respect de ces clauses.
b) Le Traiteur doit répondre rapidement et de manière appropriée aux demandes du Responsable concernant le traitement des données conformément aux ces Clauses.
c) Le Traiteur doit fournir au Contrôleur toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans ces Clauses et découlant directement du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725. À la demande du Contrôleur, le Prestataire doit également autoriser et contribuer à l’audit des activités de traitement couvertes par ces Clauses à des intervalles appropriés ou en cas d’indication de non-conformité. Lors de la décision d’un examen ou d’un audit, le contrôleur peut prendre en compte les certifications pertinentes du processeur.
d) Le contrôleur peut effectuer lui-même l’audit ou commander un auditeur indépendant. Les audits peuvent également inclure des inspections dans les locaux ou les installations physiques du Transformateur et, le cas échéant, doivent être effectués avec un préavis raisonnable.
e) Les parties doivent fournir à l’autorité de surveillance compétente les informations mentionnées dans cette clause, y compris les résultats des audits, sur demande.
a) Le processeur a l’autorisation générale du contrôleur pour engager les sous-traiteurs inclus dans une liste convenue. Le Traiteur doit spécifiquement informer le Contrôleur par écrit au moins un mois à l’avance de toute modification prévue à cette liste en ajoutant ou en remplaçant des Sous-Traiteurs, laissant ainsi au Contrôleur suffisamment de temps pour s’opposer à ces changements avant d’engager le(s) Sous-Traiteur(s) concerné(s). Le responsable doit fournir au contrôleur les informations nécessaires pour lui permettre d’exercer son droit d’objection.
(b) Lorsque le Prestataire engage un Sous-traitant pour effectuer certaines activités de traitement (au nom du Contrôleur), cet engagement doit être effectué par le biais d’un contrat imposant au Sous-Traiteur des obligations substantiellement identiques à la protection des données que celles applicables au Traiteur en vertu de ces clauses. Le Prestataire doit veiller à ce que le Sous-traiteur respecte les obligations auxquelles il est soumis en vertu des ces Clauses et du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725.
c) Le Traité doit fournir au Contrôleur une copie de cet accord de sous-traitance et de toute modification ultérieure à la demande du Contrôleur. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, le Prestataire peut expurger la formulation de l’Accord avant de divulguer une copie.
d) Le Prestataire est pleinement responsable devant le Contrôleur du respect par le sous-traitant de ses obligations en vertu du contrat conclu avec le Prestataire. Le Traiteur doit informer le Contrôleur si le Sous-Traiteur ne respecte pas ses obligations contractuelles.
(e) Le Traiteur conclura une clause bénéficiaire tiers avec le Sous-Traiteur, selon laquelle, dans le cas où le Traitant cesserait d’exister en fait ou en droit ou serait insolvable, le Responsable du traitement aura le droit de résilier le contrat de sous-traitance et d’ordonner au Sous-traitant de supprimer ou de retourner les données personnelles.
(a) Tout transfert de données par le prestataire vers un pays tiers ou une organisation internationale doit être effectué uniquement sur la base d’instructions documentées du responsable ou afin de se conformer à une disposition spécifique du droit de l’Union ou de la loi d’un État membre auquel le prestataire est soumis, et doit se conformer au chapitre V du Règlement (UE) 2016/679 ou au Règlement (UE) 2018/1725.
b) Le Responsable de traitement accepte que, dans les cas où le Traiteur utilise un Sous-traitant conformément à la clause 7.7 pour l’exécution de certaines activités de traitement (au nom du Contrôleur) et que ces activités impliquent un transfert de données personnelles au sens du Chapitre V du Règlement (UE) 2016/679, le Traiteur et le Sous-traitant doivent veiller au respect du Chapitre V de la Le Règlement (UE) 2016/679, en utilisant des clauses contractuelles standard adoptées par la Commission conformément à l’article 46(2) du Règlement (UE) 2016/679, prévoyait que les conditions d’application de ces clauses contractuelles standard étaient remplies.
a) Le traiteur doit immédiatement informer le responsable de la question reçue de la personne concernée. Il ne répond pas lui-même à la demande, sauf s’il a été autorisé à le faire par le contrôleur.
b) En tenant compte de la nature du traitement, le traiteur aide le responsable de traitement à remplir son obligation de répondre aux demandes des personnes concernées d’exercer leurs droits. Dans le respect de ses obligations en vertu des points (a) et (b), le prestataire doit se conformer aux instructions du contrôleur.
c) En plus de l’obligation du Traiteur d’assister le Responsable conformément à la clause 8(b), le Traiteur doit également assister le Responsable dans le respect des obligations suivantes, en tenant compte de la nature du traitement des données et des informations dont il dispose :
l’obligation de procéder à une évaluation de l’impact des opérations de traitement envisagées sur la protection des données personnelles (ci-après dénommée « Évaluation d’impact sur la protection des données ») si une forme de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
Obligation de consulter l’autorité compétente avant le traitement si une évaluation d’impact sur la protection des données montre que le traitement entraînerait un risque élevé, à moins que le responsable ne prenne des mesures pour atténuer ce risque ;
l’obligation de garantir que les données personnelles sont exactes et à jour, en informant le responsable sans délai s’il découvre que les données personnelles traitées sont inexactes ou obsolètes ;
obligations en vertu de l’article 32 du Règlement (UE) 2016/679.
(d) Les parties doivent exposer dans l’annexe III les mesures techniques et organisationnelles appropriées pour assister le contrôleur par le prestataire dans l’application de cette clause, ainsi que la portée et le périmètre de l’assistance requise.
En cas de violation de données personnelles, le Responsable de traitement doit coopérer et lui fournir une assistance appropriée afin de permettre à ce dernier de se conformer à ses obligations en vertu des articles 33 et 34 du Règlement (UE) 2016/679 ou, le cas échéant, des articles 34 et 35 du Règlement (UE) 2018/1725, en tenant compte de la nature du traitement et des informations dont il dispose le traitement.
En cas de violation de données personnelles liée aux données traitées par le Contrôleur, le Traiteur doit assister le Responsable comme suit :
a) lors de la notification de la violation de données personnelles à l’autorité compétente de surveillance sans délai injustifié après que le responsable de la communication a pris connaissance de la violation, si pertinent (sauf si la violation de données personnelles ne risque pas de présenter un risque pour les droits et libertés individuels des personnes physiques) ;
(b) lors de l’obtention des informations suivantes à fournir dans la notification du contrôleur conformément à l’article 33(3) du Règlement (UE) 2016/679, informations qui incluent au minimum :
le type de données personnelles, lorsque possible, avec une indication des catégories et du nombre approximatif de sujets de données, ainsi que des catégories et du nombre approximatif d’ensembles de données personnelles ;
les conséquences probables de la violation de données personnelles ;
les mesures prises ou proposées par le Contrôleur pour remédier à la violation des données personnelles et, le cas échéant, les mesures visant à atténuer leurs effets indésirables potentiels.
Si, et dans la mesure où toutes ces informations ne peuvent pas être fournies simultanément, la notification originale contiendra les informations disponibles à ce moment-là et d’autres informations seront fournies dès qu’elles seront disponibles, sans délai injustifié ;
(c) lors du respect de l’obligation prévue à l’article 34 du Règlement (UE) 2016/679 de notifier sans délai injustifié la personne concernée de la violation des données personnelles, lorsque cette violation est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques.
En cas de violation de données personnelles liée aux données traitées par le Traiteur, ce dernier doit la signaler au Responsable sans délai injustifié après avoir pris connaissance de la violation. Cette notification doit contenir au moins les informations suivantes :
(a) une description de la nature de la violation (indiquant, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que le nombre approximatif de jeux de données concernés) ;
b) les coordonnées d’un point de contact d’où l’on peut obtenir des informations supplémentaires sur la violation de données personnelles ;
c) les conséquences probables et les mesures prises ou proposées pour remédier à la violation de données personnelles, y compris des mesures visant à atténuer leurs effets indésirables possibles.
Si et dans la mesure où toutes ces informations ne peuvent pas être fournies en même temps, la notification initiale contiendra les informations disponibles à ce moment-là et d’autres informations seront fournies sans délai injustifié dès qu’elles seront disponibles.
Les Parties doivent spécifier à l’annexe III toute autre information que le prestataire doit fournir afin d’aider le contrôleur à remplir ses obligations en vertu des articles 33 et 34 du Règlement (UE) 2016/679.
a) Dans le cas où le Traiteur ne respecterait pas ses obligations en vertu de ces Clauses, le Responsable de Traite peut, sans préjudice des dispositions du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725, ordonner au Traiteur de suspendre le traitement des Données Personnelles jusqu’à ce qu’il se conforme à ces Clauses ou que l’Accord soit résilié. Le Processeur doit informer le Contrôleur sans délai s’il est incapable de se conformer à ces Clauses.
b) Le Responsable de l’Autorité a le droit de résilier l’Accord dans la mesure où il concerne le traitement des données personnelles conformément aux présentes Clauses si :
c) Le Prestataire a le droit de résilier l’Accord dans la mesure où il concerne le traitement des données personnelles conformément aux ces Clauses, si le Responsable de traitement insiste pour se conformer à ses instructions après avoir été informé par le Traiteur que ses instructions violent les exigences légales applicables conformément à la clause 7.1(b).
(d) À la fin de l’Accord, le Prestataire doit, à la discrétion du Mandataire, effacer toutes les données personnelles traitées au nom du Responsable et certifier auprès du Responsable que cela a été fait, ou retourner toutes les données personnelles au Responsable et supprimer les copies existantes, sauf obligation de conserver les données personnelles en vertu de la loi de l’Union ou de l’État membre. Jusqu’à ce que les données soient supprimées ou retournées, le processeur continuera à veiller à la conformité avec ces clauses.
Manette(s) :
Le contrôleur est le client au sens des Conditions générales (GTC) de Perseus Technologies GmbH, qui a mandaté Perseus Technologies GmbH le(s) service(s) (c’est-à-dire « réservé » au sens de la GTC) qui (le cas échéant) inclut également le traitement des commandes. Le nom, l’adresse et les coordonnées du client et donc de la ou des personnes responsables font partie de sa réservation et donc du contrat conclu entre le client et Perseus Technologies GmbH pour les services concernés à la suite de la réservation.
Si, en plus du client lui-même, d’autres utilisateurs, au sens des termes et conditions générales de Perseus Technologies GmbH, sont également autorisés à obtenir des services incluant le traitement des commandes, ces clauses s’appliquent également à ces utilisateurs s’ils sont spécifiquement nommés comme destinataires légitimes dans la réservation du client concerné, par lequel le client (au sens de la clause 5 – clause de couplage) déclare son consentement à leur adhésion à ces clauses en tant que contrôleurs. . Ainsi, ces utilisateurs sont également des contrôleurs au sens de ces clauses au sens de la GTC de Perseus Technologies GmbH.
Processeurs :
Nom : Perseus Technologies GmbH
Adresse : Hagelberger Straße 53-54, 10965 Berlin
Description du traitement
La description du traitement des données ne s’applique qu’à la relation contractuelle dans la mesure où ce service a également été commandé et utilisé.
I. Perseus Cyber Security Services (PCSS) y compris l’envoi d’emails de phishing simulés
A) SUJETS DE DONNÉES
–> Les sujets de données sont des employés du client.
B) CATÉGORIES DE DONNÉES PERSONNELLES
–> Les données système et d’application suivantes (en partie personnelles) sont traitées :
C) OBJECTIF DU TRAITEMENT DES DONNÉES
–> Les données seront traitées aux fins suivantes :
II. Gestion de la réponse aux incidents (IRM)
A) SUJETS DE DONNÉES
–> Les personnes concernées peuvent régulièrement être des employés des clients et destinataires autorisés, les employés de leurs clients et fournisseurs ainsi que d’autres personnes physiques dont les données personnelles sont traitées par les clients et les destinataires autorisés et traitées dans le cadre de la prestation de services par PERSEUS ou auxquelles PERSEUS a accès en occasion de la prestation du service (par exemple, les clients du client ou leurs employés, fournisseurs du client ou de leurs employés, autres personnes physiques).
B) CATÉGORIES DE DONNÉES PERSONNELLES
–> Dans le cas de la gestion des incidents, il existe un accès potentiel à toutes les données (personnelles) contenues dans les dossiers de données du client qui doivent être consultées par le contractant et ses sous-traitants dans le cadre de la gestion des incidents. Celles-ci peuvent être :
C) OBJECTIF DU TRAITEMENT DES DONNÉES
–> Il n’existe pas d’accès ciblé à ces données, mais un accès peut parfois avoir lieu dans le cadre de la fourniture de services.
Les données seront traitées aux fins suivantes :
III. Campagnes individuelles de phishing de Perseus :
A) SUJETS DE DONNÉES
–> Les sujets de données sont des employés du client.
B) CATÉGORIES DE DONNÉES PERSONNELLES
–> Les données système et d’application suivantes (en partie personnelles) sont traitées :
C) OBJECTIF DU TRAITEMENT DES DONNÉES
–> Les données seront traitées aux fins suivantes :
L’annexe « Mesures techniques et organisationnelles, y compris pour garantir la sécurité des données » est disponible ici .
L’annexe « Liste des sous-processeurs » est disponible ici .
Au jour : juin 2026