Politique de confidentialité

1 « PROTECTION ET SECURITE DES DONNEES DU CLIENT »
1.1 « la présente annexe prévaut sur toute autre disposition du Contrat »
1.1.1 La présente annexe prévaut sur toute autre disposition du Contrat et remplace toute précédente disposition contractuelle entre les parties relative à la protection des données personnelles du CLIENT traitées par le Service SaaS.
1.2 « attestation de conformité de ONE2TEAM à la norme ISO 27018 »
1.2.1 Afin de pouvoir garantir au CLIENT son strict respect de la Législation données personnelles, et tout particulièrement des obligations de sécurisation du traitement des données personnelles du CLIENT, ONE2TEAM s’est engagé dans un processus de mise en conformité de son Service SaaS à la norme ISO 27018 par un auditeur agréé. Les points essentiels des engagements de ONE2TEAM de conformité à la norme ISO 27018 seront ponctuellement rappelés dans les dispositions de la présente annexe.
1.3 « certification de ONE2TEAM à la norme ISO 27001 »
1.3.1 Afin de pouvoir garantir au CLIENT d’être un acteur de confiance, ONE2TEAM s’est engagé dans un processus de certification de conformité de son Service SaaS à la norme ISO 27001 par un auditeur agréé. Les points essentiels des engagements de ONE2TEAM de certification à la norme ISO 27001 seront ponctuellement rappelés dans les dispositions de la présente annexe.
1.4 « définitions »
1.4.1 « base de données » désigne la base de données numérique dont le CLIENT est producteur (au sens de la Directive 96/9/CE du 11 mars 1996 et de la loi n° 98-536 du 1er juillet 1998) des données qui y sont contenues. Le droit d’usage concédé par le CLIENT à ONE2TEAM sur les données contenues dans la base de données du CLIENT est décrit dans la présente Annexe.
1.4.2 « données » désigne toute donnée en format numérique du CLIENT, que ces données soient ou non des données à caractère personnel ou des données protégées par un droit de propriété intellectuelle ou industrielle. Les données constituent le contenu de la base de données du CLIENT, mis à disposition de ONE2TEAM pour accomplir le Service SaaS.
1.4.3 « Législation sur les données personnelles » désigne toute législation applicable en France relative à la protection des données à caractère personnelle des personnes physiques, notamment la loi n°78-17 du 6 janvier 1978 Informatique et Libertés (modifiée par la loi n°2018-493 du 20 juin 2018), la Directive 2002/58 CE du 12 juillet 2002 vie privée et communications électroniques modifiée par la Directive 2009/136/CE du 25 novembre 2009 et le Règlement UE n°2016/679 du 27 avril 2016 « RGPD-GDPR » relatif à la protection des données à caractère personnel. Dans le Contrat, les termes « responsable de traitement », « sous-traitant », « traitement », « personne concernée », « violation de données » et « données à caractère personnel » (ou « données personnelles ») ont le sens fixé à l’article 4 RGPD.
1.4.4 « Mesures de Sécurité » désigne l’ensemble des mesures techniques et organisationnelles appliquées par ONE2TEAM (i) pour assurer « la confidentialité, l’intégrité, la disponibilité et la résilience constantes » (art.32.1 GDPR) des données contenues dans la base de données du CLIENT traitée par le Service SaaS et (ii) pour permettre à son Système d’Information, (ii) pour « rétablir la disponibilité » des données et « l’accès » du CLIENT à ses données « dans des délais appropriés en cas d’incident physique ou technique » et (iii) pour prévenir ou limiter l’impact de tout incident qui compromettrait « la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement » (Directive « NIS » n°2016/1148/UE du 6 juillet 2016 et loi « SRSI » n°2018-133 du 26 février 2018) par ONE2TEAM dans le cadre du Service SaaS.
1.4.5 « Système d’Information » désigne ensemble pour le CLIENT comme pour ONE2TEAM (i) « tout dispositif ou tout ensemble de dispositifs interconnectés » via un réseau de communication électronique « dont un ou plusieurs éléments assurent, en exécution d’un programme » d’ordinateur, « un traitement automatisé de données numériques » et (ii) « les données numériques stockées, traitées, récupérées ou transmises » par ce dispositif via un réseau de communication électronique « en vue de leur fonctionnement, utilisation, protection et/ou maintenance » (Directive « NIS » n°2016/1148/UE du 6 juillet 2016 et loi « SRSI » n°2018-133 du 26 février 2018) (iii) qui sont la propriété ou sous le contrôle d’une partie et (iii) plus généralement, tout dispositif matériel et/ou logiciel, interne ou externe à l’entreprise d’une partie, nécessaire au bon fonctionnement de son Système d’Information (climatisation, alimentation électrique, etc.) et utilisé par cette partie pour rendre ou bénéficier du Service SaaS.

1.4.6 « Logiciels »
Désigne l’ensemble des services, applications, plateformes qui permettent à ONE2TEAM de rendre le service SaaS au CLIENT et à ses Affiliés.

1.4.7 « Service SaaS »
Signifie le droit pour les utilisateurs du CLIENT d’utiliser le logiciel

 

1.5 « le CLIENT est producteur du contenu de sa base de données »
1.5.1 Pour exercer son activité commerciale, le CLIENT a procédé à des investissements matériels, humains ou financiers (art. L.342-1 CPI) lui conférant la qualité de producteur du contenu de sa base de données. De ce fait, le CLIENT dispose du droit d’interdire toute extraction et/ou toute réutilisation de toute ou partie qualitativement ou quantitativement substantielle du contenu de sa base de données (art. L.342-2 CPI).
1.6 « concession d’un droit d’extraction à ONE2TEAM »
1.6.1 Seulement afin de permettre à ONE2TEAM d’exécuter le Service SaaS, le CLIENT concède à ONE2TEAM un droit non exclusif et gratuit à extraction sur la totalité du contenu de la base de données, seulement aux fins d’accomplir les prestations composant le Service SaaS et seulement pendant la durée d’utilisation légitime effective du Service SaaS par le CLIENT ou (i) pour surveiller la sécurité de son Système d’Information (Logiciel + Plateforme d’Hébergement) ou (ii) pour améliorer le fonctionnement technique du Logiciel et/ou du Service SaaS. Le droit d’extraction temporaire concédé par le CLIENT à ONE2TEAM ne donne pas droit pour ONE2TEAM à constituer une base de données à partir du contenu de la base de données du CLIENT dont ONE2TEAM serait le producteur. Il est expressément convenu entre les parties que les résultats du traitement du contenu de la base de données par le Service SaaS constitueront exclusivement une partie du contenu de la base de données du CLIENT.
1.7 « le CLIENT est seul responsable du traitement des données personnelles contenues dans la base de données »
1.7.1 Le CLIENT garantit à ONE2TEAM que le CLIENT détermine seul (i) les finalités et (ii) les moyens du traitement (art.4.7 GDPR) qu’il opère sur les données personnelles contenues dans la base de données. A ce titre, le CLIENT déclare qu’en payant la redevance d’utilisation du Service SaaS, il détermine seul et librement les moyens (pécuniaires et/ou matériels) qu’il décide de mettre en œuvre pour traiter tout ou partie du contenu de sa base de données.
1.7.2 A ce titre, ONE2TEAM rappelle au CLIENT que le Service SaaS est un service standard conçu pour des entreprises de taille variable exerçant dans des secteurs d’activité différents. Il appartient dès lors au CLIENT, avant la signature du Contrat :
(i) de vérifier que le Service SaaS correspond à la définition de ses besoins, notamment à la finalité du traitement des données, notamment des données personnelles contenues dans sa base de données et de s’assurer que le Service SaaS est dimensionné dans une mesure qui lui permette de remplir ses objectifs professionnels que ONE2TEAM ne saurait connaître ;
(ii) de vérifier que la finalité du traitement que ONE2TEAM propose de manière standard par son Service SaaS est compatible avec la finalité du traitement par le CLIENT des données personnelles contenues dans sa base de données dont le CLIENT, responsable du traitement, a informé au préalable les personnes concernées.
1.7.3 ONE2TEAM reconnaît et accepte expressément (i) ne pas disposer du droit de définir l’usage des données personnelles contenues dans la base de données du CLIENT, et (ii) s’engage à ne traiter les données personnelles contenues dans la base de données du CLIENT qu’en qualité de sous-traitant (art.4.8 GDPR) du CLIENT, pour le compte exclusif du CLIENT et seulement dans les conditions visées au Contrat. Sauf accord préalable et écrit du CLIENT, ONE2TEAM s’interdit toute extraction et/ou réutilisation du contenu de la base de données du CLIENT, sauf dans les conditions limitativement convenues au Contrat.
1.8 « garanties du CLIENT concernant les données à caractère personnel »
1.8.1 Avant toute utilisation du Logiciel ou du Service SaaS par le CLIENT et pendant toute la durée d’utilisation légitime effective du Service SaaS par le CLIENT, le CLIENT garantit à ONE2TEAM qu’en sa qualité de responsable du traitement (art.4.7 GDPR) des données personnelles contenues dans sa base de données :
(i) le CLIENT a collecté et traite les données personnelles de manière licite, loyale et transparente, pour des finalités déterminées, explicites et légitimes que le CLIENT détermine seul et que ONE2TEAM ne saurait connaître ;
(ii) le CLIENT peut prouver avoir informé au préalable (art.12 GDPR) les personnes dont elle traite les données à caractère personnel de l’ensemble de ses obligations à leur égard (notamment la détermination de la « base juridique » de son traitement, ses finalités précises et la durée de conservation des données traitées) ;
(iii) le CLIENT a informé les personnes concernées que leurs droits (art. 15 à 22 GDPR) doivent être exercés directement auprès du CLIENT et non de ONE2TEAM. ONE2TEAM s’engage à se conformer à toute instruction écrite, raisonnable et licite de la part du CLIENT à cet égard ;
(iv) le CLIENT a procédé à l’ensemble des éventuelles déclarations préalables à sa charge auprès de son Autorité de contrôle (art.51 GDPR) liées au traitement des données à caractère personnel de sa base de données, notamment par ONE2TEAM en qualité de sous-traitant (art.4.8 GDPR) du CLIENT au titre du Service SaaS.
1.9 « éléments caractéristiques du traitement confié par le CLIENT à ONE2TEAM »
1.9.1 ONE2TEAM est autorisé à traiter pour le compte du CLIENT les données personnelles avec pour finalité de rendre le Service SaaS décrit au Contrat.
1.9.2 Les données personnelles sont les données de contact des utilisateurs du Service SaaS autorisés par le CLIENT à utiliser le Service SaaS.
1.10 « garanties du CLIENT et qualités essentielles explicites »
1.10.1 Les garanties données par le CLIENT à ONE2TEAM au titre de l’article «  »garanties du CLIENT concernant les données à caractère personnel » sont autant de qualités essentielles explicites de la prestation (art.1133 [nouveau] Code civil) à la charge du CLIENT de sorte que ONE2TEAM ne puisse voir sa responsabilité incriminée à ce titre, sur quelque fondement que ce soit. Dans le cas contraire, le CLIENT s’engage à relever et garantir ONE2TEAM, sans restriction ni réserve, de toute conséquence notamment pécuniaire mise de ce fait à la charge de ONE2TEAM.
1.11 « garanties de ONE2TEAM »
1.11.1 ONE2TEAM reconnaît et accepte expressément que :
(i) le CLIENT détermine seul les finalités et les moyens du traitement des données personnelles opéré notamment par l’usage du Service SaaS ;
(ii) l’utilisation par le CLIENT du Service SaaS ne permet pas à ONE2TEAM (a) de définir d’autres moyens ni d’autres finalités de traitement des données personnelles contenues dans la base de données du CLIENT, ni (b) de traiter les données personnelles pour ses besoins propres ou des finalités autres que celles définies par le CLIENT au titre du Contrat, sauf accord préalable et écrit du CLIENT.
1.12 « ONE2TEAM est sous-traitant du traitement des données personnelles du CLIENT »
1.12.1 ONE2TEAM agit en qualité de sous-traitant (art.28 GDPR) du traitement des données personnelles du CLIENT. En conséquence, ONE2TEAM s’engage (i) à ne pas traiter les données personnelles de la base de données du CLIENT autrement que dans les conditions du Contrat et (ii) à ne procéder à aucun autre traitement des données personnelles de la base de données du CLIENT qui ne serait pas prévu dans le Contrat, sauf sur instruction préalable écrite, documentée et légitime du CLIENT. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018.
1.12.2 ONE2TEAM rappelle au CLIENT que toute instruction du CLIENT à ONE2TEAM qui serait susceptible d’entrainer un non-respect de la GDPR ou de la loi française sur la protection des données personnelles (art.28.3.al.2 GDPR), entraine l’obligation pour ONE2TEAM d’en informer immédiatement le CLIENT. ONE2TEAM se réserve le droit de refuser les instructions du CLIENT qui lui sembleraient illicites (art.82.2 GDPR). Dans ce cas, un refus écrit et documenté de ONE2TEAM ne saurait permettre au CLIENT de résilier le Contrat, sauf pour le CLIENT à engager sa responsabilité à l’égard de ONE2TEAM pour résiliation réputée « sans cause légitime » du Contrat.
1.13 « transfert hors UE de données personnelles »
1.13.1 Les données personnelles des personnes concernées sont stockées et traitées par ONE2TEAM sur des serveurs situés exclusivement sur le territoire d’un pays (i) de l’Union Européenne ou de l’Association Européenne de Libre Echange (Islande, Norvège et Liechtenstein) ou (ii) bénéficiant d’une décision d’adéquation de l’Union Européenne (principalement Argentine, Canada, Israël, Nouvelle-Zélande, Suisse, Uruguay et Japon depuis le 23 janvier 2019 et « Privacy Shield ») qui permet à ONE2TEAM d’exporter des données personnelles sans « autorisation spécifique » (art.45.1 GDPR) des personnes concernées. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018.
1.13.2 Tout transfert de données personnelles vers un autre pays fera l’objet d’un accord préalable ou écrit du CLIENT, sauf (i) transfert en application de B.C.R. (règles contraignantes d’entreprise) du CLIENT conformes à la Législation sur les données personnelles ou (ii) d’un contrat écrit de transfert de données strictement conforme à la Décision de la Commission européenne n°2010/87/UE du 5 février 2010 « clause contractuelle type pour exportation des données personnelles vers des sous-traitants établis hors UE » et seulement après communication au CLIENT d’une copie signée de ce contrat de transfert de données par le sous-traitant, à charge pour le CLIENT d’en informer les personnes dont il demande le traitement des données à ONE2TEAM.
1.14 « registre des opérations de traitement »
1.14.1 ONE2TEAM s’engage à tenir à jour un registre des opérations de traitement conforme à l’article 30.1 RGPD.
1.15 « engagement de ONE2TEAM en cas de sous-traitance »
1.15.1 Les obligations de ONE2TEAM, spécialement les prestations de la Plateforme d’Hébergement, peuvent être exécutées en sous-traitance par un prestataire de ONE2TEAM. De manière générale, ONE2TEAM s’engage à ne pas sous-traiter ses propres prestations à un sous-sous-traitant qui ne respecterait pas le RGPD (art.28 GDPR) et privilégiera dans son choix des prestataires (i) présentant des garanties appropriées (art.46 GDPR) ou (ii) ayant adhéré à un code de conduite (art.40 GDPR) ou (iii) faisant l’objet d’une certification (art.42 GDPR) ou Si le sous-traitant de ONE2TEAM ne remplit pas ses obligations de protection des données personnelles contenues dans la base de données du CLIENT, ONE2TEAM demeurera pleinement responsable à l’égard du CLIENT. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018.
1.15.2 En plus de définir spécifiquement (i) l’objet et la durée du traitement envisagé, (ii) la nature et la finalité du traitement envisagé, (iii) le type de données personnelles et les catégories de personnes concernées (art.28.3 al.1 GDPR), chaque contrat de sous-traitance conclu par ONE2TEAM avec un tiers sous-traitant devra prévoir au moins un engagement du sous-traitant :
(a) de ne traiter les données personnelles du CLIENT que sur instruction documentée de ONE2TEAM et/ou du CLIENT, y compris en ce qui concerne les transferts de données personnelles vers un pays hors UE (à moins qu’il ne soit tenu d’y procéder en vertu de la Législation sur les données personnelles) ;
(b) de veiller à ce que les personnes qu’il autorise à traiter les données personnelles du CLIENT s’engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité ;
(c) de prendre toutes les Mesures de Sécurité requises (art.32 GDPR) pour protéger les données personnelles du CLIENT d’un risque de violation de données ;
(d) de ne pas sous-sous-traiter à son tour tout ou partie des prestations à accomplir pour ONE2TEAM et le CLIENT à un autre prestataire sans que l’ensemble des engagements visés au présent article soient respectés par le sous-traitant du sous-traitant ;
(e) d’aider le CLIENT, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits ;
(f) d’aider le CLIENT à garantir le respect des obligations (i) de sécurisation (art.32 GDPR), (ii) de notification à la CNIL (art.33 GDPR) des éventuelles violations de données (art.33 GDPR), (iii) de communication à l’égard de toute personne concernée par la violation de données (art.34 GDPR), tout particulièrement de toute éventuelle copie non autorisée de données personnelles, (iv) de réalisation préalable d’une étude d’impact (art.35 GDPR) et (v) de consultation obligatoire à la CNIL en cas de réalisation d’une étude d’impact, compte tenu de la nature du traitement et des informations à la disposition de ONE2TEAM;
(g) comme il est dit à l’article « réversibilité et restitution au CLIENT de ses données » du Contrat de Service SaaS, de supprimer toutes les données personnelles du CLIENT après les lui avoir restituées au terme du Service SaaS, et de détruire les copies existantes sous son contrôle (Plateforme d’Hébergement incluse); Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018.
(h) de mettre à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le CLIENT (ou un auditeur mandaté par ses soins) et contribuer à ces audits.
1.16 « sous-traitance et changement de Plateforme d’Hébergement »
1.16.1 Conformément à la loi n°75-1334 du 31 décembre 1975, par sa signature du Contrat, le CLIENT agréé expressément la « Plateforme d’Hébergement » identifiée ci-dessous en qualité de sous-traitant de ONE2TEAM des seules prestations d’hébergement et de stockage du Logiciel et des données du CLIENT, y compris les données personnelles, traitées par le Service SaaS :
EQUINIX France SAS – siège social 114 rue Ambroise Croizat 93200 Saint-Denis – n° d’identification 429 840 853 RCS Bobigny – conditions de paiement par ONE2TEAM des factures EQUINIX : trente (30) jours date de facture.
1.16.2 Disposant de nombreux clients utilisant son Service SaaS standard accessible à partir de la Plateforme d’Hébergement, il n’est pas possible à ONE2TEAM de soumettre un changement de Plateforme d’Hébergement à l’agrément préalable du CLIENT. Le CLIENT reconnaît et accepte dès à présent que ONE2TEAM sera libre de changer de Plateforme d’Hébergement, sous réserve (i) d’en informer au préalable le CLIENT et de respecter strictement les quatre (4) conditions cumulatives suivantes :
(i) la nouvelle Plateforme d’Hébergement offre des performances en termes de sécurité et de niveau de service aux moins égales à celles de la Plateforme d’Hébergement identifiée au Contrat ;
(ii) la bascule de l’hébergement et du stockage du Logiciel et/ou des données du CLIENT vers la nouvelle Plateforme d’Hébergement est opérée par ONE2TEAM sans interruption du Service SaaS rendu au CLIENT ;
(iii) la nouvelle Plateforme d’Hébergement respecte l’ensemble des engagements de ONE2TEAM au titre de la Législation sur les données personnelles et ceux décrits au Contrat ;
(iv) ONE2TEAM ne modifie pas le prix de la redevance d’utilisation du Service SaaS.
1.17 Liste des autres sous-traitants de ONE2TEAM traitant les données du CLIENT
1.17.1 Conformément à la loi n°75-1334 du 31 décembre 1975, par sa signature du Contrat, le CLIENT agréé expressément les sociétés identifiées ci-dessous en qualité de sous-traitant de ONE2TEAM :
(i) Datadog [n° d’identification 813 140 357 RCS Paris] : supervision et support du Service SaaS ;
(ii) Auth0 [n° SIRET 843 526 815 000 17 – siège social 3rd Floor Union House 182-194 Union Street London, SE1 0LH, UK] seulement si le CLIENT a souscrit à la fonctionnalité « Single-Sign-On » (SSO) du Service SaaS ;
(iii) Prosymmetry LLC [siège social 25800 Science Park Dr., Beachwood, Ohio 44122 USA] seulement si le CLIENT a souscrit à la fonctionnalité « Resource management » du Service SaaS.
1.17.2 Dans tous les autres cas, ONE2TEAM s’engage à demander son accord préalable et écrit au CLIENT pour toute sous-traitance de tout ou partie des prestations incluses dans le Service SaaS lorsque ces prestations concernent les données personnelles contenus dans la base de données du CLIENT. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018.
1.18 « modification de la Législation sur les données personnelles »
1.18.1 En cas de modification de la Législation sur les données personnelles dont les dispositions impératives impacteraient de manière significative les obligations à la charge de l’une ou l’autre des parties (comme par exemple nécessité d’un consentement préalable en cas d’utilisation des capacités de traitement et/ou de stockage du terminal d’un utilisateur du Service SaaS, la collecte d’information émises ou transmises par le terminal d’un utilisateur du Service SaaS, etc.), les parties se concerteront pour envisager de bonne foi la mise en œuvre de cette nouvelle réglementation ou la résiliation du Contrat au plus tard à la date de prise d’effet de cette nouvelle réglementation

2 « SECURITE DES DONNEES »
2.1 « ONE2TEAM est responsable des Mesures de Sécurité »
2.1.1 Chaque partie est pleinement responsable des Mesures de Sécurité à mettre en œuvre dans ses réseaux et Systèmes d’Information. ONE2TEAM fait l’objet d’une certification ISO 27001:2013 qui démontre la mise en place d’un « Système de management de la sécurité de l’information » efficace pour son Service SaaS.
2.1.2 En sa qualité d’opérateur du Service SaaS (art.14 LCEN n°2004-575 du 21 juin 2004) et de sous-traitant (art.28 GDPR) des données du CLIENT, ONE2TEAM est responsable de plein droit à l’égard du CLIENT de la mise en œuvre et du contrôle des Mesures de Sécurité applicables aux données, personnelles ou non, du CLIENT. ONE2TEAM reconnaît que de la mise en œuvre des Mesures de Sécurité est pour le CLIENT une qualité essentielle explicite de la prestation (art.1133 [nouveau] Code civil) à la charge de ONE2TEAM.
2.1.3 ONE2TEAM rappelle au CLIENT que le Service SaaS est accessible via le logiciel de navigation web (browser) des Collaborateurs du CLIENT et, de ce fait, ne requiert l’installation d’aucun logiciel spécifique de ONE2TEAM dans le Système d’Information du CLIENT.
2.1.4 Toute modification significative par ONE2TEAM ou par la Plateforme d’Hébergement des Mesures de Sécurité doit être documentée et transmise au CLIENT pour information. Ces modifications ne doivent en aucune façon réduire le niveau de sécurité appliqué par ONE2TEAM aux données, du CLIENT pendant sa durée d’utilisation légitime effective du Service SaaS. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018.
2.2 « confidentialité et intégrité des données du CLIENT »
2.2.1 L’engagement de confidentialité et d’intégrité constantes de ONE2TEAM est assuré par le strict cloisonnement logique de chaque domaine du Logiciel installé sur la Plateforme d’Hébergement : seuls ONE2TEAM et l’administrateur du CLIENT accèdent aux données contenues dans la base de données du CLIENT.
2.2.2 L’engagement de disponibilité et de résilience constantes est assuré notamment par la Plateforme d’Hébergement agissant pour le compte de ONE2TEAM et, pour le Logiciel, par les prestations de ONE2TEAM au titre de la maintenance.
2.3 « engagement de transparence contractuelle »
2.3.1 ONE2TEAM tient à disposition du CLIENT tout ou partie du contrat de sous-traitance conclu entre ONE2TEAM et la Plateforme d’Hébergement relatif (i) aux niveaux de service et/ou (ii) à la description des Mesures de Sécurité mises en œuvre par la Plateforme d’Hébergement et/ou (iii) aux engagements de la Plateforme d’Hébergement au titre de la GDPR en qualité de sous-traitant de ONE2TEAM.
2.3.2 A minima, ONE2TEAM s’engage à faire parvenir sans délai au CLIENT à sa demande ou à une Autorité de contrôle, comme la CNIL pour la France, tout ou partie des documents contractuels conclus avec la Plateforme d’Hébergement et relatifs aux dispositions suivantes :
(i) accès réseau garanti et contrôlé (bande passante, temps de réponse, détection d’intrusion, test et audit de vulnérabilité, etc.) ;
(ii) monitoring permanent des niveaux de service réseau et logiciels avec détection des défaillances matérielle, logiciel et disponibilité réseau ;
(iii) engagement sur un délai chiffré d’intervention après détection de défaillance réseau ou matériel ;
(iv) engagement sur un délai chiffré de rétablissement réseau et matériel ;
(v) politique de suivi et d’installation de mises à jour, notamment de sécurité, des éditeurs des logiciels mis en œuvre ;
(vi) engagement quantifiable et régulier de sauvegarde des données du CLIENT avec alerte automatique et relance immédiate en cas de défaillance.
2.4 « disponibilité et accès aux données »
2.4.1 Grâce à la Plateforme d’Hébergement retenue par ONE2TEAM, ONE2TEAM dispose des moyens matériels, logiciels et des infrastructures d’accès à un réseau de communication électronique utilisant le protocole TCP/IP « permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique » (art.32.1 GDPR), aux conditions techniques et commerciales de l’état de l’art. A ce titre, la Plateforme d’Hébergement assure des prestations de type « site miroirs » redondants et/ou de secours avec engagement sur un délai chiffré de rétablissement d’accès au réseau et aux données du CLIENT.
2.5 « monitoring et évaluation des Mesures de Sécurité « 
2.5.1 Grâce à la Plateforme d’Hébergement professionnelle retenue par ONE2TEAM et à des prestataires tiers professionnels de la sécurité des systèmes d’information, ONE2TEAM dispose et met en œuvre des outils logiciels et des « procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité » des Mesures de Sécurité appliquées aux données du CLIENT (art.32.1 GDPR). L’engagement de conformité du Service SaaS de ONE2TEAM à la norme ISO 27018 est destiné à répondre à cette exigence du RGPD, sans préjudice de la faculté du CLIENT, à ses frais, d’effectuer lui-même ou de faire effectuer pour son compte (par un tiers non concurrent direct de ONE2TEAM), un audit de sécurité du Service SaaS incluant d’éventuels tests de pénétration dans le strict respect des articles 323-1 à 323-8 Code pénal.
2.5.2 Au moins une (1) fois par année civile, ONE2TEAM tiendra à disposition du CLIENT les extraits pertinents du rapport de l’auditeur du contrôle de conformité à la norme ISO 27018.
2.6 « sécurité physique de l’infrastructure de la Plateforme d’Hébergement »
(i) site géographique d’accès à la Plateforme d’Hébergement gardé et surveillé 24h/24 ;
(ii) accès au site sécurisé et restreint au profit de l’administrateur système de la Plateforme d’Hébergement et de ONE2TEAM.
(iii) sécurisation électrique – climatisation – hygrométrie des serveurs de la Plateforme d’Hébergement ;
(iv) protection anti-incendie.
2.7 « chiffrement »
2.7.1 ONE2TEAM s’engage à chiffrer les sauvegardes inactives (back-up) des bases de données du CLIENT (chiffrement « à froid »).
2.7.2 Afin de limiter le risque d’altération ou de divulgation non autorisée des données personnelles du CLIENT lors de leur envoi sur les réseaux de communication électronique, ONE2TEAM met en œuvre une technique de chiffrement du transport des données depuis son Système d’Information vers celui du CLIENT (protocole HTTPS via un certificat serveur).
2.8 « notification des violations de données »
2.8.1 Est réputée constituer une « violation de données à caractère personnel » au sens de l’article 4.12 GDPR toute violation des données personnelles du CLIENT traitées sur la Plateforme d’Hébergement via le Service SaaS lorsque cette violation entraîne, de manière accidentelle ou illicite, l’accès ou la divulgation non autorisée, l’altération, la perte ou la destruction des données personnelles du CLIENT.
2.8.2 ONE2TEAM s’engage à informer le CLIENT, sans délai après en avoir pris connaissance, de toute violation des données personnelles traitées par le Service SaaS, qu’elle qu’en soit l’importance. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27018. Il appartient au CLIENT seul de décider d’informer (ou non) (i) l’Autorité de contrôle dont il dépend (art.33 GDPR) et (ii) les personnes concernées (art.34 GDPR), lorsque cette violation lui serait reportée par ONE2TEAM.
2.8.3 ONE2TEAM fournira par écrit au CLIENT, et au plus tard dans les soixante-douze (72) heures de sa découverte de la violation de données, l’ensemble des éléments suivants relatifs à la violation identifiée (art.33.3 GDPR) :
(i) la nature de la violation de données personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
(ii) le nom et les coordonnées du DPO ou d’un autre point de contact (DG / DJ / DSI / RSSI / etc.) auprès duquel peuvent être obtenues des informations supplémentaires relatives à la violation constatée ;
(iii) les conséquences probables de la violation au regard du droit à la protection des données personnelles des personnes concernées ;
(iv) les mesures prises ou que ONE2TEAM propose de prendre pour remédier à la violation identifiée, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
2.8.4 Si, et dans la mesure où il ne serait pas possible pour ONE2TEAM de fournir au CLIENT toutes ces informations en même temps, ONE2TEAM s’engage à communiquer ces informations au CLIENT « de manière échelonnée sans autre retard indu » (art.33.4 RGPD).
2.9 « engagement de remédier et de documenter »
2.9.1 En cas de survenance d’une violation des données personnelles du CLIENT, ONE2TEAM s’engage (i) à prendre au plus vite toutes les Mesures de Sécurité appropriées relatives au Logiciel et/ou au Service SaaS pour faire cesser la violation identifiée, notamment afin de rendre les données personnelles incompréhensibles à toute personne non autorisée à y avoir accès et (ii) à en justifier par écrit et sans délai au CLIENT.
2.9.2 ONE2TEAM s’engage à documenter par écrit toute violation des données personnelles du CLIENT intervenant sur la Plateforme d’Hébergement, en indiquant (i) les faits concernant la violation identifiée, (ii) ses effets et (iii) les mesures techniques effectivement prises par ONE2TEAM pour y remédier. La documentation ainsi constituée sera tenue à disposition du CLIENT et/ou de toute Autorité de contrôle.
2.9.3 En cas de survenance d’une violation des données personnelles du CLIENT, ONE2TEAM s’engage à veiller au caractère formel, écrit et documenté des échanges entre le CLIENT et ONE2TEAM relatifs aux « actions entreprises », aux « correctifs apportés » et aux « recommandations qui pourraient être formulées » en matière de sécurité des données personnelles (délibération CNIL n°SAN-2018-002 du 7 mai 2018).
2.9.4 ONE2TEAM RAPPELLE AU CLIENT (i) QUE LE SERVICE SAAS DE ONE2TEAM EST RENDU « DEPART PLATEFORME D’HEBERGEMENT » ET (ii) QUE L’INTERNET, QUI PERMET A ONE2TEAM DE RENDRE LE SERVICE SAAS A PARTIR DE LA PLATEFORME D’HEBERGEMENT, EST UN RESEAU OUVERT ET NON SECURISE, CONSTITUE PAR L’INTERCONNEXION A L’ECHELLE INTERNATIONALE DE RESEAUX INFORMATIQUES INDEPENDANTS UTILISANT LE PROTOCOLE TECHNIQUE TCP/IP, SANS QU’IL N’Y AIT OBLIGATION DE FOURNITURE OU DE QUALITE DE FOURNITURE ENTRE OPERATEURS DE CES RESEAUX. EN CONSEQUENCE, ONE2TEAM N’EST EN AUCUNE MANIERE RESPONSABLE D’UNE VIOLATION DES DONNEES PERSONNELLES DU CLIENT QUI INTERVIENDRAIT HORS DE LA PLATEFORME D’HEBERGEMENT.

3 « SECURITE DES DONNEES – POINTS SPECIFIQUES »
3.1 « Préambule »
3.1.1 Avant toute utilisation en production du service logiciel en mode SaaS (le « Service SaaS » proposé par ONE2TEAM), ONE2TEAM s’engage à respecter strictement la Législation sur les données personnelles et (ii) à mettre en place l’ensemble des Mesures de Sécurité détaillées dans le présent article.
3.2 « strict cloisonnement logique de chaque domaine du Logiciel « 
3.2.1 L’engagement de ONE2TEAM de confidentialité et d’intégrité sur les données du CLIENT est assuré par le strict cloisonnement logique de chaque domaine du logiciel de ONE2TEAM (le « Logiciel ») : seuls le CLIENT, ONE2TEAM et – en cas d’urgence seulement et seulement si nécessaire – la Plateforme d’Hébergement agissant en sous-traitance de ONE2TEAM, peuvent accéder aux données du CLIENT. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.2.2 L’engagement de disponibilité et de résilience constantes du Service SaaS est assuré par des processus de back-up réguliers du Logiciel et des données du CLIENT, notamment par la Plateforme d’Hébergement de ONE2TEAM. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.3 « engagement de transparence »
3.3.1 ONE2TEAM s’engage à tenir à disposition du CLIENT tout ou partie du contrat de sous-traitance conclu entre ONE2TEAM et toute Plateforme d’Hébergement (ou tout autre prestataire sous-traitant de tout ou partie du Service SaaS rendu par ONE2TEAM au CLIENT) relatif (i) aux niveaux de service et/ou (ii) à la description des Mesures de Sécurité mises en œuvre par ONE2TEAM et chacun de ses sous-traitants et/ou (iii) aux engagement au titre de la Législation sur les données personnelles de ONE2TEAM et de chacun de ses sous-traitants.
3.3.2 A minima, ONE2TEAM s’engage à faire parvenir sans délai au CLIENT à sa demande ou à une Autorité de contrôle, comme la CNIL pour la France, tout ou partie des documents contractuels conclus avec un sous-traitant (Plateforme d’Hébergement comprise) et relatifs aux dispositions techniques suivantes :
(i) accès réseau garanti et contrôlé (bande passante, temps de réponse, détection d’intrusion, test et audit de vulnérabilité, etc.) ;
(ii) monitoring permanent des niveaux de service réseau et logiciels avec détection des défaillances matérielle, logiciel et disponibilité réseau ;
(iii) engagement sur un délai chiffré d’intervention après détection de défaillance réseau ou matériel ;
(iv) engagement sur un délai chiffré de rétablissement réseau et matériel ;
(v) politique de suivi et d’installation de mises à jour, notamment de sécurité, des éditeurs des logiciels ;
(vi) engagement quantifiable et régulier de sauvegarde des données du CLIENT avec alerte automatique et relance immédiate en cas de défaillance.
3.4 « disponibilité et accès aux données »
3.4.1 ONE2TEAM s’engage à disposer des moyens matériels, logiciels et des infrastructures d’accès à un réseau de communication électronique utilisant le protocole TCP/IP « permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique » (art.32.1 RGPD), au meilleurs conditions techniques et commerciales de l’état de l’art. A ce titre, ONE2TEAM s’engage à veiller, pour elle comme pour chacun de ses sous-traitants, à assurer des prestations de type « site miroir » redondants et/ou de secours avec engagement sur un délai chiffré de rétablissement d’accès au réseau et aux données du CLIENT.
3.5 « gestion des habilitations et authentification »
3.5.1 ONE2TEAM s’engage à assurer la confidentialité des données du CLIENT et des traitements opérés au titre du Service SaaS et à veiller à ce que ses Collaborateurs et ceux de ses sous-traitants soient soumis à une obligation contractuelle de confidentialité ou de secret professionnel au sens de l’article 226-13 Code pénal. ONE2TEAM s’engage à en justifier par écrit à première demande du CLIENT.
3.5.2 ONE2TEAM s’engage à mettre en œuvre une « politique documentée de gestion et de contrôle des habilitations avec authentification » (délibération CNIL n°SAN-2018-002 du 7 mai 2018) de ses collaborateurs et de ceux ses sous-traitants autorisés à accéder au Service SaaS et/ou à traiter les données du CLIENT:
(i) par login + mot de passe individuel et personnalisable comme il est dit à l’article «  »gestion des mots de passe » et/ou
(ii) par un cookie de session (délibération CNIL n°SAN-2018-003 du 21 juin 2018) et/ou un « filtrage des adresses IP… quand bien même cela nécessitait un long développement » (délibération CNIL n°SAN-2018-011 du 19 décembre 2018) et/ou la « mise en place d’un VPN » (délibération CNIL n°SAN 2018-008 du 24 juillet 2018).
3.5.3 Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.5.4 ONE2TEAM s’engage à mettre en place d’un « processus de retrait des habilitations » en cas de départ de ses collaborateurs (ou de ceux de ses prestataires de service) bénéficiant précédemment de ces habilitations (délibération CNIL n°SAN-2018-011 du 19 décembre 2018). Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.5.5 Pour toute fonctionnalité nouvelle ou toute nouvelle version majeure de son Logiciel ou de son Service SaaS, ONE2TEAM s’engage à déployer des « mesures de sécurisation des accès » à son Système d’Information pensées « dès la conception » (« privacy by design ») (délibération CNIL n°SAN 2018-008 du 24 juillet 2018).
3.5.6 ONE2TEAM s’engage à assurer une « surveillance particulière » de ses modules logiciels d’authentification et de gestion des habilitations et à procéder régulièrement à leurs « vérifications notamment dans le cadre d’audits de sécurité » (délibération CNIL n°SAN 2018-003 du 21 juin 2018). Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.6 « gestion des mots de passe »
3.6.1 ONE2TEAM s’engage à mettre en œuvre à l’égard de ses collaborateurs et de ceux de ses sous-traitants « une politique contraignante relative aux mots de passe utilisés par les comptes accédant aux bases de données [du CLIENT] ou aux plateformes d’administration respectant l’une des modalités suivantes » (délibération CNIL n°MED-2018-043 du 8 octobre 2018) :
(i) « les mots de passe sont composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial » ;
(ii) « les mots de passe sont composés d’au moins 8 caractères, contenant 3 des 4 catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs, (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum 10) ».
3.6.2 ONE2TEAM s’engage à veiller (i) à éviter « la présence en clair d’identifiants d’accès aux serveurs […] dans du code source stocké sur une plateforme » externe de ONE2TEAM qui constituerait un « outil de travail central dans le développement des activités » de ONE2TEAM et (ii) à ce que les « identifiants ne soient pas stockés dans un fichier qui ne serait pas protégé » (délibération CNIL n°SAN-2018-011 du 19 décembre 2018).
3.7 « mise en ligne de documents »
3.7.1 Pour le cas où le Service SaaS permettrait au CLIENT (ou aux partenaires contractuels du CLIENT) d’accéder à des documents numériques via une URL spécifique (procédures de « téléversement » en ligne de documents à partir d’un site web), ONE2TEAM s’engage à mettre en place une « fonction modifiant la dénomination des fichiers enregistrés », d’un « dispositif permettant d’éviter la prévisibilité des URL » et la protection des « répertoires contenant les documents » afin d’éviter d’identifier « le chemin d’accès aux dossiers enregistrés », de sorte que « les données ne soient pas accessibles par une simple modification de l’URL » (délibération CNIL n°SAN 2018-003 du 21 juin 2018).
3.8 « engagements avant et après mise en production »
3.8.1 Chaque partie est pleinement responsable des Mesures de Sécurité à appliquer à son propre Système d’Information.
3.8.2 « En amont de toute mise en production » (délibération CNIL n°SAN-2018-002 du 7 mai 2018) d’une nouvelle fonctionnalité, d’une mise à jour majeure ou d’une nouvelle version majeure de son Logiciel, ONE2TEAM s’engage à procéder à des « mesures élémentaires de sécurité et correspondant à l’état de l’art » (délibération CNIL n°SAN-2018-002 du 7 mai 2018), notamment la mise en œuvre d’un « protocole complet de test » (délibération CNIL n°SAN-2018-003 du 21 juin 2018) afin de vérifier « l’absence de toute vulnérabilité » (délibération CNIL n°SAN-2017-010 du 18 juillet 2017). ONE2TEAM s’engage à documenter par écrit ces mesures et protocoles et à tenir cette documentation à disposition du CLIENT et de toute Autorité de contrôle. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.8.3 « Après le déploiement » (délibération CNIL n°SAN-2017-012 du 16 novembre 2017) en production d’une nouvelle fonctionnalité, d’une mise à jour ou d’une nouvelle version de son Logiciel et/ou de son Service SaaS, ONE2TEAM s’engage à effectuer des « vérifications régulières des mesures de sécurité » mises en place (délibération CNIL n°SAN 2018-003 du 21 juin 2018), et à réaliser des « tests d’intrusion » et des « audits portant sur le code… adaptés aux spécificités » (délibération CNIL n°SAN-2018-012 du 26 décembre 2018) des bases de données du CLIENT utilisées à l’occasion de la prestation du Service SaaS. ONE2TEAM s’engage à documenter par écrit ces vérifications et à tenir cette documentation à disposition du CLIENT et de toute Autorité de contrôle. Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.8.4 ONE2TEAM s’engage à porter une attention particulière aux Mesures de Sécurité techniques à mettre en place à l’occasion de toute « opération délicate requérant une attention particulière » sur son Système d’Information (Logiciel, Service SaaS et/ou Plateforme d’Hébergement) comme par exemple « l’opération de changement de serveur… permettant de communiquer avec un prestataire de paiement » (délibération CNIL n°SAN-2017-010 du 18 juillet 2017). Cet engagement de ONE2TEAM fait partie des points de contrôle de la conformité du Service SaaS de ONE2TEAM à la norme ISO 27001.
3.9 « engagements spécifiques du CLIENT
3.9.1 En plus de l’ensemble des engagements pris par ONE2TEAM relatifs à la sécurité, le CLIENT s’engage à procéder à « des tests élémentaires relatifs à la sécurité » du Service SaaS (délibération CNIL n°SAN-2018-001 du 8 janvier 2018), par exemple en procédant ou en faisant procéder par un tiers, à ses frais et sous sa responsabilité, à des tests de pénétration ou de vulnérabilité du Service SaaS, dans le strict respect des articles 323-1 à 323-8 Code pénal.

4 « TRAITEMENT PAR ONE2TEAM DES DONNEES DES COLLABORATEURS DU CLIENT »
4.1.1 ONE2TEAM est responsable du traitement des données personnelles de contact des salariés, dirigeants, mandataires ou représentants du CLIENT (les « Collaborateurs ») que ONE2TEAM collecte directement (art.13 GDPR) auprès des Collaborateurs à l’occasion de l’exécution du Service SaaS pour les seules finalités suivantes :
(i) traitements nécessaires à l’exécution, la vérification, la facturation, le recouvrement du Service SaaS entre ONE2TEAM et le CLIENT et la gestion par ONE2TEAM des habilitations des Collaborateurs du CLIENT autorisés par le CLIENT à utiliser le Service SaaS (art.6.1 (b) GDPR) ;
(ii) traitement nécessaire aux intérêts légitimes de sécurisation du Système d’Information de ONE2TEAM (art.6.1 (f) GDPR) ;
(iii) traitement nécessaire aux fins des intérêts légitimes de ONE2TEAM (art.6.1 (f) GDPR) de prospection de ses autres produits ou services propres avec lien http de désinscription gratuit et immédiat (droit à l’oubli art.17 GDPR) intégré dans chaque envoi en format électronique de ONE2TEAM aux Collaborateurs. ONE2TEAM ne procède à aucun profilage des données personnelles des Collaborateurs du CLIENT.
4.1.2 ONE2TEAM conserve les données personnelles des Collaborateurs pendant la durée nécessaire à l’accomplissement du Service SaaS et, au-delà, pour la durée nécessaire à l’exercice de toute action judiciaire susceptible d’être engagée entre les parties à raison de l’exécution du Service SaaS. A l’issue de la durée légale de prescription d’action en France, les données personnelles des Collaborateurs nécessaires à l’exécution du Service SaaS seront effacées (droit à l’oubli art.17 GDPR) des bases de données numériques de ONE2TEAM.
4.1.3 Chaque Collaborateur dispose d’un droit d’accès (art.15 GDPR) et de rectification (art.16 GDPR) sur ses données personnelles traitées par ONE2TEAM en exécution du Service SaaS en s’adressant par email à l’adresse email ci-dessous. ONE2TEAM s’engage à répondre par email à chaque Collaborateur dans les trente (30) jours de la réception par ONE2TEAM de leur demande. A défaut de recevoir une réponse de ONE2TEAM dans ce délai, le Collaborateur serait en droit de saisir la Commission Nationale de l’Informatique et des Libertés pour contester ce défaut de réponse. Il appartient au CLIENT d’informer chacun de ses Collaborateurs des droits offerts par ONE2TEAM au titre de la GDPR, notamment en écrivant à l’adresse email gdpr@one2team.com.
4.1.4 Tout sous-traitance éventuelle par ONE2TEAM de la gestion technique de sa base de données des Collaborateurs du CLIENT fera l’objet d’un contrat écrit entre ONE2TEAM et son sous-traitant, ONE2TEAM s’engageant à ce que le professionnel sous-traitant respecte strictement les dispositions du Contrat et garantisse la sécurité et la confidentialité des données à caractère personnel que ONE2TEAM viendrait à lui confier.
4.1.5 Tout autre type de traitement des données à caractère personnel des Collaborateurs du CLIENT (par exemple transmission avec ou sans contrepartie pécuniaire à des tiers à des fins de prospection, directe ou indirecte, y compris le profilage) ne sera mis en œuvre par ONE2TEAM qu’avec recueil préalable individuel du consentement éclairé de chaque Collaborateur (art.6.1 (a) GDPR). Chaque envoi en format électronique par ONE2TEAM comprendra un rappel clair et concis de l’existence des droits GDPR (art.15 à 22 GDPR) offerts par ONE2TEAM à chaque Collaborateur du CLIENT, notamment le droit d’opposition à prospection et profilage (art.21 GDPR).
4.1.6 ONE2TEAM s’engage à informer la CNIL, sans délai après en avoir pris connaissance, de toute violation des données personnelles des Collaborateurs qui entraînerait, de manière accidentelle ou illicite, l’accès ou la divulgation non autorisée, l’altération, la perte ou la destruction de tout ou partie de ces données. Les Mesures de Sécurité applicables aux données personnelles des Collaborateurs figurent dans la présente Annexe.

5 « SECURITE DES DONNEES – INCIDENT DE SECURITE – OSE ET FSN »
5.1.1 Pour le cas où (i) ONE2TEAM et/ou le CLIENT serait désigné par décret en qualité d’Opérateur de Service Essentiel (OSE) ou (ii) ONE2TEAM ou le CLIENT serait Fournisseur de Service Numérique (FSN) (place de marché en ligne, moteur de recherche en ligne ou service d’informatique en nuage avec plus de cinquante (50) salariés ou dont le chiffre d’affaires annuel excède 10 millions d’euros) (Directive « NIS » n°2016/1148/UE du 6 juillet 2016 et loi « SRSI » n°2018-133 du 26 février 2018) :
(i) la partie concernée s’engage à en informer l’autre partie sans délai ;
(ii) la partie concernée s’engage à ses frais, à mettre en œuvre l’ensemble des Mesures de Sécurité appropriées (a) en recourant à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée et (b) permettant de garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances, notamment pour prévenir tout incident qui compromette la sécurité du Système d’Information (données personnelles incluses) utilisé par la partie concernée afin d’en assurer la continuité ou pour limiter l’impact de l’incident concerné.
(iii) la partie concernée s’engage sans délai après en avoir pris connaissance, à déclarer à l’ANSSI tout incident affectant son Système d’Information dans la mesure imposée par la Directive « NIS » n°2016/1148/UE du 6 juillet 2016 et loi « SRSI » n°2018-133 du 26 février 2018.
(iv) en cas de rapport de l’ANSSI ou d’un prestataire de service qualifié concluant à la nécessité de mettre en œuvre des Mesures de Sécurité complémentaires, ONE2TEAM et/ou le CLIENT s’engage à mettre en œuvre ces Mesures de Sécurité complémentaires dans les meilleurs délais et à en informer l’autre partie.

One2Team est une plateforme d’Enterprise Work Management qui aide les entreprises à gagner en productivité, en efficacité et en compétitivité dans un environnement de plus en plus complexe. 

SUIVEZ-NOUS

Ce site utilise des cookies pour assurer le bon fonctionnement et la sécurité de nos sites. En cliquant sur Accepter, vous consentez à l'utilisation de ces cookies. Vous pouvez à tout moment modifier vos préférences. Pour plus d'informations, veuillez consulter la page de gestion des cookies.

Choisissez les types de cookies que vous acceptez: