1. Objet de la cession
Le client fait traiter ses données personnelles par le mandataire pour le compte derma2go AG, Mühlebachstrasse 84, 8008 Zurich, Suisse, sur la base d’un contrat d’utilisation de la plate-forme derma2go.com (les « Conditions d’utilisation »). Par le présent contrat, les parties concluent un contrat pour le traitement des commandes conformément à l’art. 28 RGPD.
2. Objet et finalité du traitement
1) L’objet du traitement des données personnelles est la fourniture des services convenus dans les conditions d’utilisation par l’entrepreneur pour le client.
2) La finalité du traitement correspondant des données personnelles résulte des conditions d’utilisation. Exclusivement pour la réalisation de cette finalité et en relation avec les services à fournir par le contractant à cet égard, les données personnelles provenant de la sphère de contrôle du client seront traitées par le contractant. L’objectif comprend en particulier les tâches suivantes:
a) Accompagnement du client dans la conclusion et l’exécution des contrats de traitement avec les patients
b)Comptabilisation des prestations du client selon l’alinéa a)
c) Stockage temporaire des documents de traitement
3. Types de données à caractère personnel concernées par le traitement
Les types de données personnelles suivants sont concernés par le traitement des commandes:
a) Les données relatives au nom
b)Adresse et coordonnées
c) Âge
d)Données d’image
e) Les données relatives à la santé
f)Données comptables
g)D’accéder aux données
4. Catégories de personnes concernées participant au traitement des données
Les catégories de personnes suivantes sont concernées par le traitement des commandes:
a) Patients potentiels
b)Patients
c) les anciens patients
d)Autres utilisateurs (médecins, administration)
5. Le lieu de traitement de la commande
Dans la mesure où le contractant collecte, traite et/ou utilise les données dans un Etat membre de l’Union européenne ou dans un autre Etat partie à l’accord sur l’Espace économique européen ou dans des pays tiers, pour autant que les exigences particulières de la RGPD soient remplies.
6. Responsabilité du client
1) Le client est responsable du traitement de la commande des données personnelles au sens de l’art. 4 n° 7 de la RGPD. Il est responsable du respect des dispositions légales en matière de protection des données, en particulier de la légalité de la transmission des données au mandataire et de la légalité du traitement des données.
2) Il appartient au client de décider de l’admissibilité du traitement des données dans des cas individuels. Le Contractant a le droit et l’obligation de faire part de ses préoccupations quant à l’admissibilité juridique du traitement des données
7. Droit du client de donner des instructions
1) Le client a le droit à tout moment de donner des instructions supplémentaires sur le type, l’étendue et les modalités du traitement des données personnelles. Les instructions peuvent être données verbalement ou sous forme de texte. Les instructions verbales doivent être confirmées à l’entrepreneur et documentées immédiatement sous forme de texte.
2) Le mandataire doit informer immédiatement le client sous forme de texte si, de l’avis du mandataire, une instruction émise par le client viole les dispositions légales. Le mandataire a le droit de suspendre l’exécution de l’ordre en question jusqu’à ce qu’il ait été confirmé ou modifié par le client. Dans la mesure où l’instruction peut menacer la responsabilité directe de l’entrepreneur vis-à-vis de tiers ou conformément aux dispositions de la RGPD, l’entrepreneur a le droit de refuser l’instruction.
8. Droits de contrôle du client, mesures prises par les autorités de surveillance
1) Le client dispose de tous les droits de contrôle nécessaires, conformément aux dispositions de la RGPD, pour respecter ses obligations en matière de protection des données.
2) Sur demande du client, le client a accès aux systèmes de traitement des données de l’entrepreneur utilisés aux fins de la présente convention et peut les inspecter pendant les heures normales d’ouverture. Ces inspections sur place sont limitées à une inspection par année civile, à moins qu’il n’y ait une raison importante, que le client n’ait des indices d’une violation des dispositions du présent contrat, qu’il ne soit nécessaire de se conformer aux obligations légales du client ou qu’une inspection soit effectuée par l’autorité de surveillance.
3) Une inspection sur place nécessite une notification préalable dans un délai raisonnable, à moins qu’il n’y ait une raison importante. Le client doit s’assurer que les inspections ne sont effectuées que dans la mesure nécessaire pour s’assurer qu’elles ne perturbent pas de façon disproportionnée les procédures d’exploitation de l’entrepreneur. Si l’inspecteur mandaté par le client est en concurrence avec l’entrepreneur, ce dernier a le droit de s’opposer à la mise en service de cet inspecteur.
4) Le contractant peut subordonner l’inspection sur place à la signature d’un accord de confidentialité concernant les données personnelles et les secrets d’affaires d’autres clients et les mesures techniques et organisationnelles mises en place. Cela ne s’applique pas aux activités de l’autorité de contrôle.
5) Le contractant peut exiger une rémunération appropriée pour l’aide apportée à la réalisation d’une inspection sur place s’il n’est pas responsable de la raison de l’inspection. L’exécution de l’inspection est indépendante de tout accord entre les parties sur la rémunération due au contractant.
9. Obligations de l’entrepreneur
1) Tout traitement des données personnelles par le contractant ou par tout sous-traitant soumis au présent contrat sera effectué exclusivement sur la base du contractant et des instructions données par le client. Cette disposition ne s’applique pas lorsque le contractant est tenu par la législation de l’Union européenne ou des États membres auxquels le sous-traitant est soumis à tout autre traitement, auquel cas le contractant informe le pouvoir adjudicateur de ces exigences légales avant le traitement, sauf si la législation en question interdit cette notification pour des raisons d’intérêt public important.
2) Le contractant organise, dans son domaine de responsabilité, l’organisation interne du traitement des données à caractère personnel de manière à ce qu’il réponde aux exigences légales et aux exigences convenues dans le présent contrat. En particulier, le contractant prend les mesures techniques et organisationnelles nécessaires pour
a) assurer la confidentialité, l’intégrité, la disponibilité et la résilience à long terme des systèmes et services relatifs au traitement des données à caractère personnel ; et
b)garantir la disponibilité et l’accès aux données à caractère personnel en cas d’incident physique ou technique.
3) Le contractant se réserve le droit de modifier les mesures techniques et organisationnelles convenues dans l’annexe, mais doit veiller à ce que le niveau de protection ne soit pas inférieur au niveau convenu. L’entrepreneur doit informer le client de tout changement important sans qu’il lui soit demandé de le faire.
4) Le fournisseur corrige ou supprime des données personnelles si le client le lui demande et que cela est couvert par le cadre d’instructions.
5) Le preneur d’ordre confirme qu’il a désigné un responsable opérationnel de la protection des données et qu’il le communiquera sous forme de texte au client.
6) Les personnes autorisées à traiter des données à caractère personnel sont tenues par le contractant de respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. Ceci doit être prouvé au client sur demande.
7) Le preneur d’ordre est tenu d’informer immédiatement le donneur d’ordre de toute violation (imminente) des dispositions relatives à la protection des données ou des accords conclus et/ou des instructions données par le donneur d’ordre, qui s’est produite ou est susceptible de se produire lors du traitement des données par le preneur d’ordre ou d’autres personnes participant à ce traitement. La notification contient au moins les informations suivantes:
a) une description de la nature de la violation de la protection des données à caractère personnel, indiquant si possible les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d’ensembles de données à caractère personnel concernés;
b)le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact pour toute information complémentaire;
c) une description des conséquences probables de la violation de la protection des données à caractère personnel;
d)une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation de la protection des données à caractère personnel et, le cas échéant, des mesures visant à en atténuer les effets négatifs éventuels.
8) En cas de traitement ou de divulgation non autorisés de données à caractère personnel, le contractant prend les mesures nécessaires pour sécuriser les données et atténuer d’éventuelles conséquences négatives pour les personnes concernées et consulte immédiatement le pouvoir adjudicateur sur la marche à suivre.
9) Si le mandataire constate ou si des faits justifient qu’il présume que les données qu’il a traitées pour le client ne sont pas conformes aux dispositions de la loi allemande sur la protection des données, le mandataire a le droit de
a) des types spécifiques de données à caractère personnel ; ou
b)des données à caractère personnel couvertes par le secret professionnel ; ou
c) des données à caractère personnel relatives à des actes ou infractions criminels ou à des suspicions d’actes ou d’infractions criminels ; ou
d)les données à caractère personnel relatives aux comptes bancaires ou de cartes de crédit transmis illégalement ou autrement divulgué illégalement à des tiers, il informera le Client immédiatement et intégralement sous forme de texte de l’heure, du type et de l’étendue de l’incident ou des incidents en question. L’information doit contenir une description de la nature de l’acquisition illicite de connaissances. Ces informations comprennent également une description des conséquences négatives éventuelles d’une divulgation illicite. En outre, le Contractant est tenu d’informer immédiatement le Contractant de toute mesure qu’il prend pour empêcher la transmission illicite ou la divulgation non autorisée par des tiers à l’avenir. L’entrepreneur doit informer sans délai le client si une autorité de surveillance agit contre lui, ce qui peut également avoir une incidence sur le contrôle du traitement effectué par l’entrepreneur pour le compte du client.
10) Le mandataire doit, sur demande, fournir au donneur d’ordre la liste des procédures de traitement des commandes de ce dernier au début de son activité et ensuite à chaque modification.
10. Obligations du contractant de fournir des preuves
1) Le contractant prouve au pouvoir adjudicateur, par tout moyen approprié, que les obligations prévues par le présent marché ont été remplies.
2) Le contractant peut se référer aux attestations appropriées ou à d’autres éléments probants d’audit appropriés pour vérifier le respect des mesures techniques et organisationnelles convenues et leur efficacité.
11. Sous-traitant
1) L’entrepreneur doit faire appel aux sous-traitants suivants pour le traitement des demandes:
a) HostEurope GmbH, Hansestr. 111, 51149 Cologne, Allemagne ; Hosting IT-Platform
b)Swiss4ward GmbH, Calle Hermanos Soto Chápuli 4, Alicante 03010, Espagne ; Développement informatique
c) Time4vps ; UAB « Interneto vizija », J. Kubiliaus St. 6, Vilnius, Lituanie ; hébergement d’un serveur de services d’analyse Web et d’authentification à 2 facteurs
d)Twilio Inc, 375 Beale Street, Suite 300, San Francisco, CA 94105 ; authentification à deux facteur
2) Le preneur d’ordre est tenu d’informer le donneur d’ordre en temps utile et à l’avance du recours à des sous-traitants ou de la modification de la sous-traitance sous forme de texte. Le client peut s’opposer à la sous-traitance sous forme de texte dans un délai de quatre semaines après en avoir pris connaissance.
3) Le contractant impose à tout sous-traitant, au moyen d’un contrat ou d’un autre instrument juridique relevant du droit de l’Union ou du droit de l’État membre concerné, les mêmes obligations en matière de protection des données que celles prévues dans ce contrat ou dans un autre instrument juridique entre le pouvoir adjudicateur et le contractant.
4) La sous-traitance au sens des dispositions ci-dessus ne comprend pas les services que le preneur d’ordre utilise avec des tiers à titre de simple prestation accessoire pour l’exercice de l’activité économique. Cela comprend, par exemple, les services de nettoyage, les services de télécommunications purs sans référence concrète aux services fournis par le contractant au client, les services postaux et de messagerie, les services de transport, les services de sécurité. Le contractant est néanmoins tenu de veiller à ce que des précautions et des mesures techniques et organisationnelles appropriées soient prises pour assurer la protection des données personnelles, même dans le cas de services auxiliaires fournis par des tiers.
12. Droits des personnes concernées
1) Si une personne concernée adresse la demande de rectification, d’effacement ou d’information au contractant, elle renvoie la personne concernée au pouvoir adjudicateur, pour autant que l’attribution au pouvoir adjudicateur soit possible en fonction des données de la personne concernée, et transmet immédiatement la demande au pouvoir adjudicateur. Dans la mesure où la coopération du mandataire est nécessaire à l’exécution de la demande – en particulier l’information, la rectification, le blocage ou la suppression – le mandataire doit prendre les mesures nécessaires conformément aux instructions du client.
2) Si une personne concernée fait valoir une action en responsabilité et en dommages-intérêts contre le client conformément aux dispositions de la loi sur la protection des données, le mandataire s’engage à l’assister dans la défense de cette personne dans la mesure de ses possibilités contre une rémunération appropriée.
13. La rémunération de l’entrepreneur
Sauf convention contraire expresse, le preneur d’ordre n’a droit à aucune rémunération séparée pour les prestations qu’il a fournies dans le cadre du présent contrat.
14. Responsabilité
La responsabilité des parties est régie par les accords du contrat respectif sur la base duquel un traitement de commande est effectué. La responsabilité directe des parties à l’égard d’une partie concernée par les dispositions légales en matière de protection des données n’est pas affectée.
15. Durée du contrat, résiliation du contrat, droit de rétention
La durée du présent contrat est déterminée par la durée du contrat conformément à la section 1.
16. Retour
1) Les données, supports de données ainsi que tout autre matériel contenant des données personnelles qui font l’objet du présent contrat doivent être remis ou supprimés à la fin de la commande, selon la demande du client. Si le client donne une instruction de suppression qui s’écarte de ce qui avait été convenu au préalable et qu’il en résulte des frais supplémentaires pour le mandataire, ceux-ci sont à la charge du client. La suppression doit être documentée de manière appropriée. Le client a le droit de vérifier le retour complet et contractuel et la suppression des données par le mandataire. Cela peut également être fait en inspectant les systèmes de traitement des données.
2) Les parties conviennent que la défense du droit de rétention par le preneur d’ordre au sens du § 273 BGB est exclue en ce qui concerne les données traitées et les supports de données associés. Cette disposition ne s’applique pas si, selon le droit de l’Union ou le droit des États membres, l’obligation du donneur d’ordre de conserver des données à caractère personnel continue à exister. Dans ce cas, le présent contrat continue de s’appliquer en conséquence pendant toute la durée de cette obligation.
3) Le mandataire se réserve le droit de conserver les données sous forme pseudonyme (y compris les images) à des fins d’évaluation statistique après avoir obtenu l’accord de la personne concernée. Ce consentement de la personne concernée peut être révoqué à tout moment.
17. Dispositions finales
1) Le présent contrat contient tous les accords des parties à l’objet du contrat. Les accords de garantie divergents et les accords antérieurs relatifs à l’objet du contrat sont par la présente nuls et non avenus
2) Les modifications et compléments au présent contrat doivent être faits par écrit, à moins qu’une forme plus stricte ne soit prescrite par la loi. Il en va de même pour toute renonciation à la condition de forme.
3) Les conditions générales des parties ne s’appliquent pas au présent contrat. Ceci s’applique également si leur inclusion dans des documents ultérieurs en rapport avec le présent contrat (par ex. appel de services) n’a pas fait l’objet d’une objection.
4) Si une disposition de la présente convention est ou devient nulle, inefficace ou inexécutable en tout ou en partie, ou si une disposition de la présente convention est ou devient nulle, inefficace ou inexécutable, ou si une disposition de la présente convention ne contient pas une disposition nécessaire, la validité et le caractère exécutoire des autres dispositions de la présente convention ne seront pas affectés. En lieu et place de la disposition nulle, inefficace ou inexécutable ou pour combler la lacune, les parties conviennent d’une disposition légale admissible qui correspond le plus possible à ce que les parties ont voulu ou auraient convenu conformément à l’esprit et au but du présent contrat si elles avaient reconnu l’inefficacité ou la lacune. Si la nullité d’une disposition est fondée sur une mesure d’exécution ou un délai (période ou délai) déterminé, la disposition est réputée avoir été convenue avec une mesure légalement admissible qui se rapproche le plus possible de la mesure initiale. La volonté expresse des parties est que cette clause de divisibilité n’entraîne pas seulement un renversement de la charge de la preuve, mais que l’article 139 du Code civil allemand fasse l’objet d’une renonciation dans son intégralité.
5) Le contrat est soumis exclusivement au droit suisse et au droit applicable en matière de protection des données. Les dispositions de la RGPD prévalent sur le droit suisse.
6) Le seul tribunal compétent pour tous les litiges en relation avec le présent contrat est le siège social de l’entrepreneur.
Annexe 1
Mesures techniques et organisationnelles
1. La confidentialité (art. 32, al. 1, let. b, RGPD)
1) Contrôle d’accès – Les mesures suivantes ont été mises en œuvre pour empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données.
a) Connexion personnelle et individuelle de l’utilisateur lors de l’inscription
b)Processus d’autorisation des droits d’accès (gestion des droits des utilisateurs)
c) limitation des utilisateurs autorisé
d)procédures relatives aux mots de passe (spécification des paramètres des mots de passe en termes de complexité et d’intervalle de mise à jour)
e) l’enregistrement des accès
f) Connexion système supplémentaire pour certaines applications
g)Blocage automatique des clients après un certain temps sans activité de l’utilisateur (également économiseur d’écran protégé par mot de passe ou interrupteur de pause automatique)
h)Pare-feu (serveur)
2) Contrôle d’accès – Les mesures suivantes sont mises en œuvre pour garantir que les personnes non autorisées n’ont pas accès aux données personnelles.
a) Administration et documentation des autorisations différenciées
b)Conclusion de contrats pour le traitement des données de commande pour l’entretien externe, la maintenance et la réparation des systèmes de traitement des données, dans la mesure où le traitement des données personnelles fait l’objet du service pendant la télémaintenance.
c) Évaluation/enregistrement des opérations de traitement des données
d)Utilisation des concepts d’autorisation
e) Nombre minimum d’administrateurs
f) profilés/rouleaux
g)principe des quatre yeux
h)Administration des droits des utilisateurs par les administrateurs
3) Contrôle de la séparation – Les mesures suivantes garantissent que les données à caractère personnel collectées à des fins différentes sont traitées séparément.
a) Autorisations d’accès selon la responsabilité fonctionnelle
b)Capacité multi-clients des systèmes informatiques
c) l’utilisation des données d’essai
d)Séparation de l’environnement de développement et de production
e) autre : cryptage des données personnelles (y compris les images) dans la base de données
2. Pseudonymisation (art. 32, al. 1, let. a RGPD ; art. 25, al. 1 RGPD)
Le traitement des données à caractère personnel est effectué de telle sorte que les données ne puissent plus être attribuées à une personne spécifique sans informations complémentaires, pour autant que ces informations complémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles appropriées.
1) Les données à caractère personnel telles que le nom, l’adresse et la date de naissance sont remplacées par un numéro d’identification unique de sorte qu’elles ne peuvent plus être attribuées à une personne spécifique sans informations complémentaires.
2) En cas de pseudonymisation : séparation des données d’attribution et stockage dans un système séparé et sécurisé.
3) Instruction interne de rendre les données personnelles aussi anonymes / pseudonymes que possible en cas de divulgation ou même après l’expiration du délai légal de suppression,
3. L’intégrité (art. 32, al. 1, let. b, RGPD)
1) Contrôles de la divulgation – il est garanti que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation lorsqu’elles sont transférées ou stockées sur des supports de données et qu’il n’est pas possible de vérifier quelles personnes ou entités ont reçu des données personnelles. Les mesures suivantes ont été mises en œuvre à cette fin :
a) Le courrier électronique ne contient aucune donnée personnelle ou est crypté.
b)Transport sécurisé des données (par ex. SSL, ftps, TLS)
c) l’enregistrement de la transmission ou du transport des données
d)l’enregistrement des accès en lecture
e) l’enregistrement de la copie, de la modification ou de la suppression de données
f) Connexions de données à distance en tunnel (VPN = Virtual Private Network) pour la maintenance à distance
2) Contrôle des entrées – Les mesures suivantes garantissent qu’il est possible de vérifier qui a traité les données personnelles et à quel moment dans les systèmes de traitement des données.
a) Enregistrement technique de la saisie, de la modification et de l’effacement des données
b) contrôle manuel ou automatisé des protocoles
c) Traçabilité de la saisie, de la modification et de la suppression des données par nom d’utilisateur individuel
d) Attribution de droits de saisie, de modification et de suppression des données sur la base d’un concept d’autorisation
4. Disponibilité et résilience (art. 32, al. 1, let. b, RGPD)
Contrôle de la disponibilité et de la résilience – Les mesures suivantes garantissent que les données personnelles sont protégées contre la destruction ou la perte accidentelle et sont toujours disponibles pour le client..
a) Concept de sécurité pour les logiciels et les applications informatiques
b) Procédure de sauvegarde
c) assurer le stockage des données dans le réseau sécurisé
d) Importation des mises à jour de sécurité selon les besoins
5. Les procédures d’examen, d’évaluation et d’appréciation réguliers (art. 32, al. 1, let. d, RGPD ; art. 25, al. 1, RGPD)
1) Gestion de la protection des données – Les mesures suivantes sont conçues pour s’assurer qu’il existe une organisation qui respecte les exigences de base en matière de protection des données :
a) Directives/instructions pour assurer des mesures techniques et organisationnelles pour la sécurité des données
b)Nomination d’un délégué à la protection des données
c) Obligation des employés de respecter le secret des données
d)une formation adéquate du personnel en matière de protection des données
e) garder une vue d’ensemble des activités de traitement (art. 30 RGPD)
2) Gestion des incidents et des réponses – Les mesures suivantes sont conçues pour s’assurer que les processus de déclaration sont déclenchés en cas d’atteinte à la protection des données :
a) Procédure de notification des violations de la protection des données conformément à l’art. 4 n° 12 RGPD vis-à-vis des autorités de contrôle (art. 33 RGPD)
b)Procédure de notification des violations de la protection des données en vertu de l’art. 4 n° 12 RGPD à l’égard des personnes concernées (art. 34 RGPD)
6. Des réglages par défaut favorables à la protection des données (art. 25, al. 2 RGPD)
1) Les paramètres par défaut doivent être pris en compte pour les préréglages standardisés des systèmes et applications ainsi que pour la configuration des méthodes de traitement des données. Dans cette phase, les fonctions et les droits sont configurés spécifiquement, l’admissibilité ou l’inadmissibilité de certaines entrées ou options d’entrée (par ex. textes libres) est déterminée par rapport à la minimisation des données et la disponibilité des fonctions d’utilisation est décidée (par ex. par rapport à l’étendue du traitement). De même, le type et l’étendue de la référence personnelle ou de l’anonymisation (par exemple, pour les fonctions de sélection, d’exportation et d’évaluation, qui peuvent être définies et prédéfinies ou mises à disposition gratuitement) ou la disponibilité de certaines fonctions de traitement, protocoles, etc.).
7. Contrôle des commandes
Les mesures suivantes garantissent que les données personnelles ne peuvent être traitées que conformément aux instructions.
a) Accord sur le traitement des commandes avec des dispositions sur les droits et obligations de l’entrepreneur et du client
b)le processus d’émission et/ou de suivi des instructions
c) l’identification des personnes de contact et/ou des employés responsables
d)contrôle/vérification de l’exécution des ordres conformément aux instructions
e) formation/instruction de tous les employés autorisés dans les locaux de l’entrepreneur
f)Obligation des employés de respecter le secret des données
g)convenir de sanctions contractuelles en cas de manquement aux instructions
h)la gestion formalisée des commandes
Mesures techniques et organisationnelles supplémentaires prises par l’hébergeur HostEurope GmbH, Hansestr. 111, 51149 Cologne, Allemagne
1. La confidentialité (art. 32, al. 1, let. b, RGPD)
1) Contrôle d’accès I – Les mesures suivantes ont été mises en œuvre pour empêcher l’accès des personnes non autorisées aux systèmes de traitement des données :
a) Système de contrôle d’accès, lecteur de carte (magnétique / carte à puce)
b)serrures de portes (ouvre-portes électriques, serrures à combinaison, etc.)
c) Portes et fenêtres de sécurité
d)grilles devant les fenêtres/portes
e) les systèmes de clôture
f)la gestion des touches/la documentation de l’attribution des touches
g)Sécurité de l’usine, portier
h)système d’alarme
i)la protection des puits de construction
j)la vidéosurveillance
k) Mesures de protection spécifiques à la salle des serveurs
l)des garanties spécifiques pour le stockage des sauvegardes et/ou autres supports de données
m) Destruction irréversible des supports d’information
n)Cartes d’employé et d’autorisation
o)Zones réglementées
p)Réglementation pour les visiteurs (par ex. prise en charge à la réception, documentation des heures de visite, laissez-passer pour les visiteurs, accompagnement après la visite jusqu’à la sortie)
2. Disponibilité et résilience (art. 32, al. 1, let. b, RGPD)
Contrôle de la disponibilité et de la résilience – Les mesures suivantes garantissent que les données personnelles sont protégées contre la destruction ou la perte accidentelle et sont toujours disponibles pour le client.
a) Concept de sécurité pour les logiciels et les applications informatiques
b) Procédure de sauvegarde
c) assurer le stockage des données dans le réseau sécurisé
d) Importation des mises à jour de sécurité selon les besoins
e) l’installation d’une alimentation électrique sans coupure (UPS)
f) la protection de la salle des serveurs contre l’incendie et/ou l’incendie par l’eau
g) la protection des locaux d’archives contre l’incendie et/ou des eaux d’extinction d’incendie
h) Salle de serveurs climatisée
i) la protection contre les virus
j) Pare-feu
k) plan d’urgence
l) Exercices d’urgence réussis
