Traitement des commandes

préambule

Le présent accord régit les droits et obligations des parties dans le cadre du traitement des contrats, conformément à l'article 28 du RGPD. Le sous-traitant fournit au responsable du traitement un service d'analyse externe de la vulnérabilité des systèmes informatiques. Selon la configuration du système, cette analyse peut également impliquer la collecte et le traitement de données personnelles (par exemple, adresses IP, adresses e-mail ou identifiants de connexion visibles publiquement).

Le traitement est effectué exclusivement dans le cadre des services convenus et sur la base des dispositions suivantes

§1 Objet du traitement

Le prestataire effectue pour le compte du client des analyses techniques automatisées des systèmes informatiques accessibles au public. Ces analyses sont basées sur une adresse cible (adresse IP ou domaine) spécifiée par le responsable du traitement.

Le prestataire traite les données personnelles via les systèmes informatiques spécifiés par le client (par exemple, adresses IP, domaines). Les résultats sont mis à disposition sous forme de rapports. L'accès n'est accordé qu'après authentification réussie.

§2 Type de traitement

Le traitement comprend notamment :

  • Collecte d'informations accessibles au public (par exemple, sous-domaines, configuration de messagerie)
  • Vérification des vulnérabilités des services accessibles (par exemple, via des analyses de ports, la détection CVE)
  • Stockage des métadonnées et des résultats sous forme de rapport
  • Mise à disposition de rapports dans l'espace client protégé
  • Gestion des comptes utilisateurs (nom, adresse email, identifiants de connexion, token 2FA)
  • Envoi de notifications aux adresses e-mail enregistrées (facultatif)

§3 Finalité du traitement

Le traitement est effectué aux fins de :

  • Identification des risques et vulnérabilités techniques,
  • Améliorer la situation sécuritaire de la partie responsable,
  • Conformité aux exigences légales et réglementaires (par exemple ISO 27001, NIS2),
  • Accompagnement des processus de sécurité interne et de gestion des risques,
  • Fournir un espace client sécurisé pour la gestion des analyses et des droits d'accès.

§4 Catégories de personnes concernées

Dans le cadre des prestations commandées, les données des groupes de personnes suivants peuvent être concernées :

  • Employés du responsable du traitement, par exemple les administrateurs informatiques ou les utilisateurs des systèmes analysés
  • Contacts externesdont les adresses e-mail ou les coordonnées apparaissent publiquement dans les zones analysées
  • Utilisateurs ayant accès à l'espace client (par exemple, le titulaire du compte, les personnes autorisées à consulter les rapports)

§5 Droits et obligations du client

  • Responsabilité du traitement des données
    Le responsable du traitement est responsable du traitement licite des données personnelles au sens du RGPD. Il est tenu de s'assurer que le traitement effectué par le sous-traitant repose sur une base juridique valable (par exemple, consentement, contrat, obligation légale).
  • Droit de donner des instructions
    Le client ne peut fournir au prestataire des données à des fins de traitement que si ce traitement est licite. Le prestataire traite les données personnelles conformément aux procédures automatisées de cette plateforme. Aucune instruction du client n'est requise pour le traitement des données.
  • Obligations de coopérer
    Le client est tenu de respecter de manière autonome ses propres obligations légales (par exemple, obligations d'information, droits des personnes concernées).
  • Obligations de confidentialité envers les tiers
    Le client s'engage à traiter les données d'accès et le contenu du compte client de manière confidentielle et à ne pas accorder d'accès non autorisé à des tiers.

§7 Obligations du sous-traitant

  • confidentialité
    Le contractant s'engage à traiter les données personnelles de manière confidentielle. Les personnes ayant accès aux données sont tenues de préserver la confidentialité des données conformément à l'article 28 (3) (b) du RGPD ; ceci s'applique également aux entreprises individuelles (auto-contraignantes).
  • Mesures techniques et organisationnelles (MTO)
    Le contractant s'engage à mettre en œuvre des mesures techniques et organisationnelles appropriées conformément à l'art. 32 RGPD pour garantir un niveau de protection approprié.
    Un aperçu des mesures actuellement en vigueur est disponible à l'adresse suivante :
    https://threatemy.com/transparency/
  • Assistance relative aux droits des personnes concernées
    Le contractant doit aider le responsable du traitement – dans la mesure du possible – à répondre aux demandes des personnes concernées (par exemple, informations, suppression, correction) conformément aux articles 12 à 23 du RGPD.
  • Signaler les violations de la protection des données
    Le contractant doit informer immédiatement le responsable du traitement de toute violation de la protection des données, notamment en cas d'accès non autorisé aux données stockées ou de compromission du système.

§8 Recours à des sous-traitants

  • Le Contractant est autorisé à faire appel à des sous-traitants pour le traitement des données personnelles. Ce faisant, il s'assurera que ces sous-traitants sont contractuellement soumis aux mêmes obligations en matière de protection des données que celles prévues par le présent Contrat.
  • Une liste actualisée des sous-traitants utilisés est disponible à l'URL suivante :
    https://threatemy.com/transparency/
  • Le Prestataire informera le Client de toute modification prévue concernant l'engagement ou le remplacement de sous-traitants dans un délai raisonnable. Le Client peut s'opposer à cette modification pour des raisons importantes de protection des données.

§9 Restitution et suppression des données

  • Une fois le traitement des données contractuellement convenu terminé ou sur instruction du client, le contractant supprimera toutes les données personnelles en sa possession, sauf s'il existe une obligation légale de conserver les données.
  • Les données personnelles seront supprimées conformément à la réglementation applicable en matière de protection des données.

§10 Dispositions finales

Le contrat est conclu électroniquement. Une signature manuscrite n'est pas requise si le consentement est documenté électroniquement.

Ce contrat est soumis au droit de la République fédérale d’Allemagne.

Si une disposition du présent Contrat est ou devient invalide, la validité des dispositions restantes n'en sera pas affectée.