Sinch Email
Accord sur le traitement des données personnelles
Le présent Accord sur le Traitement des Données Personnelles (« Data Processing Agreement » ou « DPA ») fait partie intégrante des Conditions Générales de Service de Sinch Email (le « Contrat principal ») conclues par et entre Sinch Email et le Client, et est sujet au Contrat principal. Sinch Email est l'unité commerciale Developer & Email de Sinch et comprend les marques Mailgun, Mailjet, Email on Acid et InboxReady.
1. Définitions.
Aux fins du présent Accord, les termes commençant par une majuscule auront la signification suivante. Les termes commençant par une majuscule qui ne sont pas définis dans les présentes auront la signification qui leur est conférée dans le Contrat principal.
(a) « Données à caractère personnel du Client » désigne toutes les données à caractère personnel traitées par Sinch Email pour le compte du Client afin de fournir les Services en vertu du Contrat principal.
(b) « Lois relatives à la protection des données » désigne le RGPD, tel qu’il a été transposé dans le droit national de chaque État membre (et du Royaume-Uni) et tel qu’il a été modifié, annulé ou remplacé à tout moment, et les lois le mettant en œuvre, le remplaçant ou le complétant, ainsi que toute loi relative à la collecte, au stockage, au traitement et à l'utilisation des données à caractère personnel du Client, notamment le California Consumer Privacy Act de 2018, Cal. Civ. Code § 1798.100 et seq.
(c) « RGPD » désigne le Règlement Général sur la Protection des Données 2016/679 de l’Union européenne.
(d) « Infrastructure de Sinch Email » désigne (i) les installations physiques de Sinch Email ; (ii) les infrastructures hébergées dans le cloud ; (iii) le réseau d’entreprise de Sinch Email et son réseau interne non public, les logiciels et le matériel nécessaires à la fourniture des Services et qui sont sous le contrôle de Sinch Email ; dans chaque cas, dans la mesure où ils sont utilisés pour fournir les Services.
(e) « Transfert restreint » désigne un transfert de Données à caractère personnel de Sinch Email à un Sous-traitant ultérieur, si ce transfert était interdit par les Lois relatives à la protection des données (ou par les modalit és des accords de transfert de données mis en place pour répondre à des restrictions de transfert de données imposées par les Lois relatives à la protection des données) en l’absence de garanties appropriées imposées au regard de transferts de ce type en vertu des Lois relatives à la protection des données.
(f) « Services » désigne les services fournis au Client par Sinch Email en vertu du Contrat principal.
(g) « Clauses contractuelles types » désigne la dernière version des clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu du GDPR (la version en vigueur à la date du présent Accord figure en annexe de la décision 2021/914/UE de la Commission européenne en date du 4 juin 2021.
(h) « Addendum RU » désigne l'Addendum du Royaume-Uni (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) défini dans https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf
(i) Les termes « consentement », « responsable du traitement », « personne concernée », « État membre », « données à caractère personnel », « violation de données à caractère personnel », « sous-traitant », « sous-traitant ultérieur », « traitement », « autorité de contrôle » et « tiers » auront la signification qui leur est attribuée dans l’article 4 du RGPD.
2. Respect des Lois relatives à la protection des données
(a) Sinch Email et le Client se conformeront chacun aux dispositions et obligations imposées par les Lois relatives à la protection des données et s’assureront que leurs employés, mandataires et sous-traitants respectent les dispositions des Lois relatives à la protection des données.
3. Détails et finalités du Traitement
(a) Le Traitement des Données à caractère personnel du Client dans le cadre du Contrat sera réalisé conformément aux stipulations suivantes et tel que l’impose l’article 28, paragraphe 3, du RGPD. Les parties peuvent modifier ces informations à tout moment dans la mesure où elles considèrent que cela est raisonnablement nécessaire pour satisfaire à ces exigences.
(i) Objet et durée du Traitement des Données à caractère personnel : l’objet et la durée du traitement des Données à caractère personnel sont définis dans le Contrat principal.
(ii) Nature et finalité du Traitement des Données à caractère personnel : en vertu du Contrat principal, Sinch Email fournit certains services d’emails et de SMS au Client, ce qui implique le traitement de données à caractère personnel. Ces activités de traitement incluent (a) la fourniture des Services ; (b) la détection, la prévention et la résolution de problèmes de sécurité et techniques ; et (c) la réponse aux demandes d’assistance du Client.
(iii) Types de Données à caractère personnel traitées : les données à caractère personnel transmises, dont l’étendue est déterminée et contrôlée par le Responsable du traitement à son entière discrétion, incluent des noms, adresses email, numéros de téléphone, adresses IP et autres données à caractère personnel figurant dans la liste de contacts et le contenu des messages.
(iv) Catégories de personnes concernées auxquelles les données à caractère personnel se rapportent : expéditeurs et destinataires des messages email et SMS.
(b) Sinch Email ne traitera les Données à caractère personnel du Client (i) qu’aux fins de l’exécution de ses obligations en vertu du Contrat principal et (ii) conformément aux instructions documentées décrites dans le présent Accord ou conformément aux instructions transmises, de quelque manière que ce soit, par le Client à tout moment. Toutes instructions de ce type du Client devront être documentées dans la commande, la description des services ou le ticket d’assistance applicable ou dans toute autre communication écrite ou de la manière indiquée par le Client utilisant les Services (notamment via une API ou un panneau de contrôle).
(c) Si Sinch Email estime raisonnablement qu’une instruction du Client est contraire aux dispositions du Contrat principal ou du présent Accord, ou qu’elle contrevient au RGPD ou à d’autres dispositions applicables en matière de protection des données, elle en informera le Client sans délai. Dans les deux cas, Sinch Email sera autorisé à reporter l’exécution de l’instruction en question jusqu’à ce qu’elle soit modifiée par le Client ou convenue d’un commun accord par le Client et Sinch Email.
(d) Le Client est seul responsable de la manière dont il utilise et gère les Données à caractère personnel soumises ou transmises par les Services, notamment : (i) vérifier les adresses des destinataires et le fait qu’elles ont été bien saisies dans les Services (ii) notifier raisonnablement à tout destinataire le manque de sécurité des emails comme mode de transmission de Données à caractère personnel (selon le cas), (iii) limiter raisonnablement le volume ou le type de données divulguées par le biais des Services, (iv) chiffrer toutes les Données à caractère personnel transmises par le biais des Services, le cas échéant ou comme l’impose la loi applicable (notamment grâce à des pièces jointes chiffrées, des outils PGP ou S/MIME). Si le Client décide de ne pas configurer le chiffrement obligatoire, celui-ci reconnaît que les Services peuvent inclure la transmission d’emails non chiffrés en clair sur l’Internet public et des réseaux ouverts. Les informations téléchargées sur les Services, y compris le contenu des messages, sont stockées sous une forme chiffrée lorsqu’elles sont traitées par l’infrastructure de Sinch Email.
4. Responsable du traitement et Sous-traitant
(a) Aux fins des présentes, le Client est le responsable du traitement de ses propres Données à caractère personnel et Sinch Email en est le sous-traitant, sauf lorsque le Client agit en qualité de sous-traitant de ses propres Données à caractère personnel, auquel cas Sinch Email en est le sous-traitant ultérieur.
(b) Sinch Email maintiendra à tout moment à disposition un Délégué à la protection des données chargé d’assister le Client (i) pour répondre à des demandes de renseignements concernant le Traitement des Données émanant de Personnes concernées ; et (ii) pour satisfaire à toutes les obligations légales en matière d’information et de divulgation en vigueur et associées au Traitement de Données. Ce Délégué à la protection des données peut être contacté directement à l’adresse privacy@mailgun.com.
(c) Le Client garantit que :
(i) le traitement de ses Données à caractère personnel s’appuie sur des fondements juridiques, comme l’imposent les Lois relatives à la protection des données et celui-ci a obtenu et conservera pendant toute la durée du Contrat principal l’ensemble des droits, autorisations, enregistrements et consentements imposés par celles-ci au regard du traitement par Sinch Email des Données à caractère personnel du Client en vertu du présent Accord et du Contrat principal ;
(ii) il est autorisé à et dispose de l’ensemble des droits, autorisations et consentements nécessaires pour transférer ses Données à caractère personnel à Sinch Email et pour autoriser, de quelque manière que ce soit, Sinch Email à les traiter en son nom, afin que Sinch Email puisse utiliser, traiter et transférer légalement les Données à caractère personnel du Client dans le cadre de l’exécution des Services et de satisfaire à l’ensemble des autres droits et obligations de Sinch Email en vertu du présent Accord et du Contrat principal ;
(iii) il informera les Personnes concernées de son recours à des Sous-traitants aux fins du Traitement de leurs Données à caractère personnel, dans la mesure prescrite par les Lois relatives à la protection des données ; et,
(iv) il répondra, dans un délai raisonnable et dans la mesure de ce qui s’avérera raisonnablement possible, aux demandes de renseignements soumises par les Personnes concernées concernant le Traitement de leurs Données à caractère personnel, et donnera des instructions appropriées au Sous-traitant en temps opportun.
5. Confidentialité
(a) Sinch Email s’assurera que chaque membre de son personnel et de celui des sous-traitants ultérieurs autorisés à traiter les Données à caractère personnel du Client est soumis à des accords de confidentialité ou à des obligations professionnelles ou légales de confidentialité et qu’il est formé aux exigences de sécurité et de Protection des données pertinentes.
6. Mesures techniques et organisationnelles
(a) Sinch Email devra, en ce qui concerne les Données à caractère personnel du Client, (a) prendre et documenter, le cas échéant, les mesures raisonnables et appropriées requises en vertu de l’article 32 du RGPD en ce qui concerne la sécurité de son Infrastructure et des plateformes utilisées pour fournir les Services telles que décrites dans le Contrat principal, et (b) si une demande raisonnable lui est faite, aider le Client, aux frais de celui-ci, à s’assurer du respect des obligations imposées par celui-ci en vertu de l’article 32 du RGPD.
(b) Les procédures opérationnelles internes de Sinch Email devront respecter les exigences spécifiques d’une gestion efficace de la Protection des données.
7. Demandes de Personnes concernées
(a) Sinch Email fournit des outils spécifiques pour aider les clients à répondre aux demandes émanant de personnes concernées. Il s’agit notamment de nos API et interfaces de recherche d’événements, de suppression et de récupération du contenu des messages. Lorsque Sinch Email reçoit une réclamation, une question ou une demande (y compris les demandes émanant de personnes concernées afin d’exercer leurs droits en vertu des Lois relatives à la protection des données) concernant les Données à caractère personnel du Client, directement de la part d’une personne concernée, Sinch Email en informera le Client dans les quatorze (14) jours qui suivent la réception de la réclamation, de la question ou de la demande. Compte tenu de la nature du traitement, Sinch Email assistera le Client, aux frais de ce dernier, par des mesures techniques et organisationnelles appropriées, dans la mesure de ce qui s’avérera raisonnablement possible, aux fins de l’exécution de l’obligation qui incombe au Client de répondre aux demandes de personnes concernées souhaitant exercer leurs droits.
8. Violations des Données à caractère personnel
(a) Sinch Email doit informer le Client dans les meilleurs délais dès qu’elle a connaissance d’une violation des données à caractère personnel affectant les Données à caractère personnel du Client. Sinch Email devra, compte tenu de la nature du traitement et des informations mises à sa disposition, prendre toutes les mesures professionnelles raisonnables pour fournir au Client suffisamment d’informations pour lui permettre, aux frais de celui-ci, de se conformer à toute obligation de notification ou d’information des autorités de réglementation, des personnes concernées et d’autres entités de cette violation de données à caractère personnel dans la mesure requise par les Lois relatives à la protection des données.
9. Analyses d’impact relatives à la protection des données
(a) Sinch Email devra, compte tenu de la nature du traitement et des informations mises à sa disposition, fournir une assistance raisonnable au Client, aux frais de celui-ci, dans le cadre de toute analyse d’impact relative à la protection des données et de la consultation préalable des autorités de contrôle ou autres autorités de réglementation dans la mesure nécessaire pour permettre au Client de se conformer à toute obligation en vertu des Lois relatives à la protection des données.
10. Audits
(a) Sinch Email mettra à la disposition du Client, sur demande écrite raisonnable, les informations raisonnablement nécessaires pour démontrer le respect du présent Accord.
(b) Le Client, ou un auditeur tiers mandaté par ce dernier, pourra, sur demande écrite, procéder à une inspection des activités de Traitement de ses Données à caractère personnel menées par Sinch Email dans la mesure de ce qui s’avérera nécessaire en vertu des Lois relatives à la protection des données, sans interrompre les activités commerciales de Sinch Email et en préservant la confidentialité.
(c) L'audit tel que décrit dans le Paragraphe 10(b) ci-dessus devient applicable pour le Client, dans le cas où Sinch Email n'aurait pas fourni de preuves suffisantes de sa conformité avec les mesures techniques et organisationnelles. Les preuves suffisantes comprennent la fourniture de, au choix : (i) un certificat de conformité avec ISO 27001, ISO 27701 ou tout autre standard implémenté par Sinch Email (tel que défini dans le certificat) ; ou (ii) un audit ou un rapport d'attestation effectué par un tiers indépendant. Les coûts et dépenses d'un audit tel que décrit dans ce Paragraphe 10 devront être pris en charge par le Client.
11. Restitution ou destruction des Données à caractère personnel du Client
(a) Le Client peut, moyennant l’envoi d’une notification écrite à Sinch Email, demander la restitution et/ou l’attestation de destruction de toutes les copies de ses Données à caractère personnel sous le contrôle ou en possession de Sinch Email et des sous-traitants ultérieurs. Sinch Email devra fournir une copie des Données du Responsable du traitement sous une forme qui peut être lue et traitée par la suite.
(b) Dans les quatre-vingt-dix (90) jours suivant la fermeture du compte, le Sous-traitant détruira et/ou restituera toutes les Données à caractère personnel traitées conformément au présent Accord. La présente disposition n’aura aucune incidence sur les éventuelles obligations légales des Parties de conserver des archives pendant les durées de conservation fixées par la loi ou par contrat. Sinch Email pourra conserver des copies électroniques de fichiers contenant les Données à caractère personnel du Client créées conformément à des procédures d’archivage ou de sauvegarde automatiques qui ne peuvent raisonnablement pas être supprimées. Dans ces cas, Sinch Email s’assurera que les Données à caractère personnel du Client ne sont pas traitées activement par la suite.
(c) Tous les frais supplémentaires liés à la restitution ou à la suppression de Données à caractère personnel après la résiliation ou l’expiration du Contrat seront à la charge du Client.
12. Transferts de données
(a) À la suite de la signature du présent Accord, Sinch Email devra, si le Client le demande et, si les Lois de relatives à la protection des données ou l'Addendum RU l’imposent, conclure des Clauses contractuelles types en tant qu’importateur de données avec le Client agissant en qualité d’exportateur de données. Si l’accord conclu entre Sinch Email et un sous-traitant ultérieur implique un Transfert restreint, Sinch Email devra s’assurer que les dispositions des Clauses contractuelles types relatives aux transferts ultérieurs sont intégrées au Contrat principal, ou conclues, de quelque manière que ce soit, entre Sinch Email et le sous-traitant ultérieur concerné. Le Client s’engage à exercer son droit d’audit tel que prévu par les Clauses contractuelles types en demandant à Sinch Email de réaliser l’audit conformément au Paragraphe 10.
(b) Le Responsable du traitement reconnaît et convient que, dans le cadre de l’exécution des Services en application du Contrat, le Sous-traitant pourra transférer des Données à caractère personnel à des sociétés de son groupe. Ces transferts sont nécessaires pour fournir les Services dans le monde entier et sont justifiés à des fins d’administration interne.
(c) S’agissant des transferts de Données à caractère personnel réalisés en vertu du présent Accord depuis l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni vers des pays qui ne garantissent pas un niveau adéquat de Protection des données au sens des Lois relatives à la protection des données en vigueur dans ces juridictions, dans la mesure où ces transferts sont soumis aux Lois relatives à la protection des données et aux réglementations applicables en la matière, et pour mettre en œuvre des garanties appropriées, les mesures de protection suivantes sont prévues : (i) des Clauses Contractuelles Types conformément à la décision 2021/914/EU de la Commission européenne prise le 4 juin 2021, (ii) de l'Addendum RU, et (iii) des garanties supplémentaires en ce qui concerne les mesures de sécurité, y compris le chiffrement des données, la séparation des contrôles d'accès et les principes de minimisation des données.
13. Sous-traitance ultérieure
(a) Par les présentes, le Client autorise Sinch Email à faire appel à des sous-traitants ultérieurs conformément au présent paragraphe 13 et à l’Annexe 1, sous réserve de toute restriction figurant dans le Contrat principal. Sinch Email devra s’assurer que ces sous-traitants ultérieurs sont liés par des accords écrits qui les obligent à fournir au minimum le niveau de protection des données requis par Sinch Email par le présent Accord. Sinch Email pourra continuer à faire appel aux sous-traitants ultérieurs auxquels il fait déjà appel à la date du présent Accord.
(b) Sinch Email avisera préalablement par écrit le Client du recours à tout nouveau sous-traitant ultérieur. Si, dans les dix (10) jours ouvrables suivant la réception de cet avis, le Client informe Sinch Email par écrit de toute objection, pour des motifs raisonnables, à la désignation proposée, Sinch Email ne nommera pas ce sous-traitant ultérieur proposé tant que des mesures raisonnables n’auront pas été prises afin de répondre à l’objection formulée par le Client et tant que le Client n’aura pas reçu une explication écrite raisonnable concernant les mesures prises. Si Sinch Email et le Client ne sont pas en mesure de trouver un accord concernant le recours à un sous-traitant ultérieur dans un délai raisonnable, chacune des parties aura le droit de résilier le Contrat principal pour motif valable.
(c) Ce paragraphe ne s’applique pas aux services annexes suivants : les services de télécommunications, services postaux ou de transport, services de maintenance et outils d’assistance utilisateur. Sinch Email sera toutefois tenu de conclure des accords contractuels appropriés et contraignants et de prendre des mesures d’inspection appropriées afin de garantir la protection et la sécurité des Données du Client, même dans le cadre de l’externalisation de services annexes.
(d) Sinch Email sera responsable des actes et omissions de tout sous-traitant ultérieur vis-à-vis du Client comme s’il s’agissait de ses propres actes et omissions au titre des questions visées dans le présent Accord.
14. Droit applicable et compétence
(a) Les parties au présent Accord se soumettent par les présentes à la compétence des tribunaux indiqués dans le Contrat principal au titre de tous les litiges ou de toutes les demandes résultant de quelque manière que ce soit du présent Accord, y compris les litiges concernant son existence, sa validité, sa résiliation ou les conséquences de sa nullité.
(b) Le présent Accord ainsi que toutes les obligations non contractuelles ou autres découlant de ou en rapport avec celui-ci sont régis par les lois du pays ou du territoire prévues à cet effet dans le Contrat principal.
15. Hiérarchie
(a) En ce qui concerne l’objet du présent Accord, en cas de divergences entre les dispositions des présentes et celles de tout autre accord entre les parties, y compris le Contrat principal et (sauf si cela a été expressément convenu de quelque manière que ce soit par écrit et signé au nom des parties) les contrats conclus ou envisagés après la date du présent Accord, les dispositions des présentes prévaudront.
16. Autonomie des stipulations
(a) Si une stipulation des présentes est invalide ou inapplicable, les autres stipulations du présent Accord resteront en vigueur et de plein effet. Toute stipulation invalide ou inapplicable sera soit (i) modifiée dans la mesure nécessaire pour assurer sa validité et sa force exécutoire, tout en préservant le plus possible les intentions des parties ou, si cela n’est pas possible, (ii) interprétée comme si ladite partie invalide ou inapplicable n’y avait jamais figuré.
17. Résiliation
(a) Le présent Accord et les Clauses contractuelles types prendront fin simultanément et de plein droit avec la résiliation du Contrat principal.
(b) Tout amendement ou variation du présent Accord ne peut lier aucune des Parties à moins que cela ne soit validé par écrit et signé par des représentants autorisés de chacune des Parties.
EN FOI DE QUOI, le présent Accord et les Annexes ont été conclus et effectifs du Contrat principal avec effet à la date définie ci-dessus.
Sinch Email
Signature :
Nom :
Titre :
The Customer
Signature :
Nom :
Titre :
Date de la signature :
ANNEXE 1
CLAUSES CONTRACTUELLES TYPES
With regard to the Standard Contractual Clauses the Parties agree that:
(a) Le Module 2 (du responsable du traitement au sous-traitant) s'appliquera lorsque Sinch Email agira en tant que sous-traitant des données du Client ; le Module 3 (de sous-traitant à sous-traitant) s'appliquera losque Sinch Email agira en tant que sous-traitant ultérieur. Pour chaque Module, le cas échéant :
(b) La Clause 7 (Clause d'adhésion) est incorporée ;
(c) Aux fins de la Clause 9.a) (Recours à des sous-traitants ultérieurs), l'Option 2 : autorisation générale écrite s'applique. L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins dix (10) jours ouvrés à l’avance ;
(d) La formulation facultative de la Clause 11 (Voies de recours) sur les organes indépendants de résolution n'est pas incorporée ;
(e) Pour l'application de la Clause 13 (Contrôle), l'autorité en charge de la protection des données en France, la CNIL (Commission Nationale de l'Informatique et des Libertés) intervient en qualité d'autorité de contrôle compétente ;
(f) L'Option 1 de la Clause 17 (Droit applicable) s'applique, et les lois françaises régissent les Clauses Contractuelles Types ;
(g) Aux fins de la Clause 18 (Élection de for et juridiction), les tribunaux français résoudront tout litige découlant des Clauses Contractuelles Types ;
(h) L'Annexe IA (Liste des parties) et l'Annexe IB (Description du transfert) doivent être complétées en utilisant les informations et les détails spécifiés dans le Contrat principal et énumérées dans le Paragraphe 3 du présent Accord ;
(i) L'Annexe IB (Description du transfert) est complétée en précisant qu'aucune donnée sensible ne doit être transférée. La fréquence du transfert doit être continue. Pour les transferts à des sous-traitants ultérieurs, l'objet, la nature et la durée du traitement sont les mêmes que ceux de l'importateur de données ;
(j) Aux fins de l'Annexe IC, l'autorité de contrôle compétente, conformément à la Clause 13, est l'autorité en charge de la protection des données en France, la CNIL (Commission Nationale de l'Informatique et des Libertés) ;
(k) Aux fins de l'Annexe II, les mesures techniques et organisationnelles sont décrites dans l'Annexe 2 du présent Accord ;
(l) Aux fins de l'Annexe III, la liste des sous-traitants ultérieurs est comprise dans l'Annexe 3 du présent Accord ;
(m) Lorsque le Transfert restreint est soumis au Règlement parce qu'il fait partie des lois d'Angleterre, du Pays de Galles, d'Écosse et d'Irlande du Nord (RGPD UK), les Clauses Contractuelles Types incorporent l'Addendum RU complété comme suit :
(i) Aux fins du Tableau 1, la date de début est la date de signature du présent Accord et les détails des parties doivent être complétés en utilisant les informations et les détails spécifiés dans le Contrat principal ;
(ii) Aux fins du Tableau 2, la version des Clauses Contractuelles Types approuvées par l'Union Européenne, à laquelle l'Addendum RU est ajouté, est les Clauses Contractuelles Types telles que complétées conformément à l'Annexe 1, la date étant la date d'entrée en vigueur du présent Addendum ;
(iii) Aux fins du Tableau 3, les informations sur l'Annexe sont décrites aux paragraphes (h) - (l) de la présente Annexe 1 ; et,
(iv) Aux fins du Tableau 4, Sinch Email en tant qu'importateur peut mettre fin à l'Addendum RU lorsque l'Addendum approuvé change.
ANNEXE 2
SÉCURITÉ DE L’INFORMATION – MESURES TECHNIQUES ET ORGANISATIONNELLES
Lorsque des données à caractère personnel sont traitées ou utilisées de manière automatique, l’organisation interne de Sinch Email veille au respect des exigences spécifiques en matière de protection des données, en adoptant les meilleures pratiques de sécurité. En particulier, Sinch Email met en œuvre les mesures suivantes pour protéger les données à caractère personnel ou d’autres catégories de données sensibles.
Contrôle des accès physiques
Pour empêcher les personnes non autorisées d’avoir accès aux systèmes de traitement des données avec lesquels les données à caractère personnel sont traitées ou utilisées :
Sinch Email s’appuie sur les principaux fournisseurs de centres de données et d’infrastructure cloud. L’accès à tous les centres de données est strictement contrôlé. Tous les centres de données sont équipés de systèmes de surveillance et de contrôle d’accès biométrique 24 heures sur 24, 7 jours sur 7 et 365 jours par an. En outre, tous les fournisseurs justifient de toutes les certifications standard du secteur.
Les centres de données sont équipés d’au moins une redondance N+1 pour l’alimentation électrique, la mise en réseau et l’infrastructure de refroidissement.
Au sein d’une région, le traitement des données s’effectue dans au moins trois zones de disponibilité distinctes. Les services sont conçus pour résister à la défaillance d’une zone de disponibilité sans que cela ne perturbe les clients.
Contrôle des accès au système
Pour empêcher l’utilisation de systèmes de traitement des données sans autorisation :
L’accès administratif aux systèmes et services Sinch Email est basé sur le principe du moindre privilège. L’accès aux systèmes est basé sur le rôle et les responsabilités du poste. Sinch Email utilise des noms d’utilisateur/identifiants uniques qui ne peuvent pas être partagés ou réattribués à une autre personne.
L’authentification VPN et multifactorielle est utilisée pour l’accès aux outils de support interne et à l’infrastructure produit.
Des listes de contrôle d’accès au réseau (LCA) et des groupes de sécurité sont utilisés pour limiter le trafic d’entrée et de sortie de l’infrastructure de production.
Des systèmes de détection des intrusions (SDI) sont utilisés pour détecter les éventuels accès non autorisés.
Des protections de réseau ont été déployées pour atténuer l’impact des attaques par déni de service distribué (DDoS).
Les processus d’onboarding et d’offboarding sont documentés et suivis de manière systématique afin de garantir que l’accès aux outils et systèmes hébergés en interne et à l’extérieur est correctement géré. Dans la mesure du possible, les services tiers utilisent la fonctionnalité d’authentification unique (SSO) qui permet une gestion centralisée et applique l’authentification à plusieurs facteurs.
Contrôle des accès aux données
Pour garantir que les utilisateurs autorisés à utiliser les systèmes de traitement des données n’aient accès qu’aux données auxquelles ils sont en droit d’accéder et que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement ou de l’utilisation et après le stockage :
Sinch Email utilise un système de gestion des mots de passe qui impose que les mots de passe aient une longueur minimale, soient complexes et aient un délai d’expiration et un délai minimum après sa dernière utilisation.
Les postes de travail des employés se verrouillent automatiquement après une période d’inactivité prolongée. Les systèmes déconnectent les utilisateurs après une période d’inactivité prolongée.
Les journaux sont stockés et indexés de manière centralisée. Les journaux critiques, tels que les journaux de sécurité, sont conservés pendant au moins un an.
Le processus de gestion des correctifs de Sinch Email garantit l’application des correctifs aux systèmes au moins une fois par mois. La surveillance, les alertes et l’analyse de routine des vulnérabilités permettent de s’assurer que les correctifs soient mis en œuvre pour toute l’infrastructure produit de manière systématique.
Un logiciel antivirus conforme aux normes de l’industrie est utilisé pour garantir que les ressources internes qui accèdent à des données à caractère personnel soient protégées contre les virus connus. Les logiciels antivirus sont régulièrement mis à jour.
Sinch Email utilise des pare-feu pour empêcher le trafic indésirable d’entrer sur le réseau. Une DMZ utilisant des pare-feu pour protéger davantage les systèmes internes protégeant les données sensibles est utilisée.
Contrôle des transmissions de données
Pour garantir que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission ou du transport par voie électronique :
Les données des clients sont stockées cryptées au repos grâce à l’utilisation du cryptage AES-256 sur des dispositifs de blocage.
Les sauvegardes des clients sont cryptées en transit et au repos à l’aide d’un cryptage renforcé.
Sinch Email utilise TLS 1.2 pour crypter le trafic réseau entre l’application du client et l’infrastructure Sinch Email.
Sinch Email est alerté des problèmes de cryptage par des évaluations périodiques des risques et des tests de pénétration par des tiers. Sinch Email effectue des tests de pénétration par le biais de tiers sur une base annuelle ou selon les besoins à la suite de changements au sein de l’entreprise.
Sinch Email gère un programme de bug bounty, encourageant la divulgation responsable des vulnérabilités par les chercheurs de la communauté.
Contrôle des données saisies
Pour garantir qu’il soit possible de vérifier et de déterminer si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées :
Les systèmes sont surveillés pour détecter les événements liés à la sécurité afin de garantir une résolution rapide.
Les journaux sont stockés et indexés de manière centralisée. Les journaux critiques, tels que les journaux de sécurité, sont conservés pendant au moins un an. Les journaux peuvent être reliés à des noms d’utilisateur uniques et individuels avec horodatage pour enquêter sur des non-conformités ou des événements de sécurité.
Contrôle de la disponibilité
Pour garantir que les données à caractère personnel soient protégées contre la perte ou la destruction accidentelle :
Les données des comptes sont sauvegardées au moins une fois par jour. La récupération incrémentielle à un instant donné est disponible pour toutes les bases de données primaires. Les sauvegardes sont cryptées en transit et au repos en utilisant un cryptage renforcé.
Le processus de gestion des correctifs de Sinch Email garantit l’application des correctifs aux systèmes au moins une fois par mois. La surveillance, les alertes et l’analyse de routine des vulnérabilités permettent de s’assurer que les correctifs soient mis en œuvre pour toute l’infrastructure produit de manière systématique.
Lorsque cela est nécessaire, Sinch Email corrige l’infrastructure de manière accélérée lorsque des vulnérabilités critiques sont mises en évidence, afin de garantir le maintien de la disponibilité du système.
Les environnements des clients sont à tout moment séparés sur le plan logique. Les clients ne peuvent pas accéder à d’autres comptes que ceux pour lesquels ils ont reçu une autorisation.
Certifications/garanties des processus et des produits
Pour assurer l'infrastructure technique interne, et la gouvernance et la gestion de la sécurité informatique, ainsi que l'assurance des processus et des produits
Certification ISO 27001
Certification ISO 27701
Rapport SOC 2 Type II (uniquement pour les marques Mailgun et Mailjet)
Rapport SOC 2 Type I (uniquement pour la marque Email on Acid)
ANNEXE 3
SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS À COMPTER DE LA DATE D'ENTRÉE EN VIGUEUR DU PRÉSENT ACCORD
Sous-traitants ultérieurs d'infrastructure | |||
---|---|---|---|
Sous-traitants ultérieurs d'infrastructure | |||
Entreprise | Localisation des serveurs | Description des activités | Garanties appropriées pour les transferts |
Google Cloud Platform | Allemagne & Belgique (clients de l'EU) | Centre de données | Clauses Contractuelles Types |
Rackspace (AWS) | États-Unis (clients américains) | Centre de données | Clauses Contractuelles Types |
MacStadium | États-Unis | Centres de données | Clauses Contractuelles Types |
Cyxtera | États-Unis | Centres de données | Clauses Contractuelles Types |
Sous-traitants ultérieurs de support | |||
---|---|---|---|
Sous-traitants ultérieurs de support | |||
Entreprise | Localisation | Description des activités | Garanties appropriées pour les transferts |
Proxiad Bulgaria | Bulgarie | Support via tickets | Droit de l'UE |
Sitel India | Inde | Support via ticket | Clauses Contractuelles Types |
Sociétés du groupe | |||
---|---|---|---|
Sociétés du groupe | |||
Entreprise | Siège | Description des activités | Garanties appropriées pour les transferts |
Mailgun Technologies | États-Unis | Entreprise du groupe | Clauses Contractuelles Types |
Mailjet | France | Entreprise du groupe | Clauses Contractuelles Types |
Sinch AB | Suède | Entreprise du groupe | Clauses Contractuelles Types |
Dernière révision le 16 janvier 2023. Pour consulter les conditions précédentes, veuillez cliquer ici.