Conditions générales d’utilisation de Keeper Security

Retour aux Conditions d’utilisation SaaS

Addenda sur le traitement des données

Le présent Addenda relatif au traitement des données (l’« Addenda ») complète les conditions d’utilisation (les « Conditions ») et/ou tout autre contrat écrit ou dématérialisé (le « Contrat ») entre : (i) Keeper, soit l’entité Keeper qui est la partie contractante en vertu du Contrat (« Keeper » ou « Fournisseur »), agissant pour son propre compte et en tant qu’agent de toute Filiale de Keeper ; et (ii) le Client de Keeper (« Vous » ou «le  Client »), agissant pour son propre compte et en tant qu’agent de toute Filiale du Client.

Les termes employés dans le présent Addenda ont la signification qui leur est attribuée dans ledit Addenda. Les termes en majuscules non définis dans le présent Addenda ont la signification qui leur est attribuée dans le Contrat. S’ils ne sont définis ni dans l’Addenda ni dans le Contrat, ces termes ont la signification qui leur est attribuée par le Règlement général européen sur la protection des données (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, tel que modifié de temps à autre) (« RGPD »). À l’exception des modifications ci-dessous, les dispositions du Contrat demeurent pleinement applicables.

Définitions

Dans le présent addenda, les termes suivants ont la signification qui leur est donnée ci-dessous :

  1. Entité affiliée désigne toute entité qui contrôle directement ou indirectement l’entité concernée, qui est contrôlée par celle-ci ou qui est sous contrôle commun avec celle-ci. Aux fins de la présente définition, le terme « contrôle » désigne la détention ou le contrôle, direct ou indirect, de plus de 50 % des droits de vote de l’entité concernée.
  2. Législation applicable désigne l’ensemble des lois applicables au traitement des Données Client, notamment les lois de l’Union européenne en matière de protection des données, d’autres lois de l’Union européenne ou de l’un de ses États membres, les lois du Royaume-Uni et les lois de tout autre pays dont relèvent le Client ou les Données Client.
  3. Les Données clients désignent les Données Personnelles que Keeper collecte, reçoit et/ou traite pour le compte du Responsable du traitement et conformément à ses instructions, en vertu du Contrat, à l’exclusion des Données Personnelles que Keeper traite en tant que Responsable du traitement. À titre d’exemple, les Données client comprennent les listes de noms d’utilisateurs autorisés, les adresses électroniques, les rôles attribués ou autres informations de contact.
  4. Responsable du traitement désigne l’entité qui, seule ou conjointement avec d’autres entités, détermine les finalités et les moyens du traitement des Données Personnelles. À des fins de clarté, aucune disposition du présent Addenda n’a pour objet de créer une relation de responsables conjoints du traitement entre les Parties. Chaque Partie demeure individuellement responsable du respect de ses obligations respectives en vertu de la législation applicable.
  5. La personne concernée désigne une personne physique dont les données à caractère personnel sont traitées dans le contexte du présent addenda.
  6. Législation européenne sur la protection des données désigne le RGPD et la directive Vie privée et communications électroniques 2002/58/CE (telle que modifiée par la directive 2009/136/CE et telle que modifiée et remplacée de temps à autre), ainsi que les éventuelles législations nationales de transposition.
  7. RGPD signifie le règlement général de l'UE sur la protection des données 2016/679;.
  8. Le RGPD britannique désigne le Règlement général sur la protection des données du Royaume-Uni et la loi de 2018 sur la protection des données.
  9. Responsable du traitement indépendant désigne une entité qui détermine les finalités et les moyens du traitement des Données Personnelles à ses propres fins indépendantes.
  10. Données Personnelles désigne les Données Client comprenant toute information relative à une personne physique identifiée ou identifiable.
  11. Le processeur désigne l'entité qui traite les données à caractère personnel pour le compte d'un responsable de traitement.
  12. Le traitement désigne toute opération ou ensemble d'opérations effectuée sur des données à caractère personnel, individuellement ou par ensembles, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction
  13. Les services désignent les services et autres activités à fournir ou à effectuer par Keeper pour le client conformément à l'Accord ;
  14. Clauses contractuelles types désignent les clauses contractuelles types relatives au transfert de données personnelles vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données tel que défini dans la décision 2021/914 de la Commission européenne du 4 juin 2021.
  15. Sous-traitant désigne tout sous-traitant engagé par Keeper pour traiter les données personnelles dans le cadre des Services.

TRAITEMENT DES DONNÉES PERSONNELLES

  1. Le traitement des données effectué en vertu du présent Addenda a pour finalité la fourniture des Services par Keeper, conformément au Contrat. Les parties conviennent que, en ce qui concerne le traitement effectué par Keeper pour le compte du Client, celui-ci est le Responsable du traitement et Keeper le Sous-traitant, à l’exception de certaines données limitées, identifiées à l’article 2.4, pour lesquelles Keeper agit en qualité de Responsable du traitement. Les catégories et types de Données Personnelles traitées par Keeper sont énumérés dans la Sous-Annexe A. La durée du traitement des Données Personnelles en vertu du présent Addenda correspond à la durée du Contrat, sauf disposition contraire de la législation applicable.
  2. Keeper ne peut agir et traiter les Données Personnelles que conformément aux instructions écrites du Client (les « Instructions »), sauf si la loi l’oblige à agir sans ces instructions. Aux termes du présent Addenda, les Instructions stipulent que Keeper ne peut traiter les Données Personnelles qu’aux fins de la fourniture des Services tels que décrits dans le Contrat. Sous réserve des dispositions du présent Addenda et après accord mutuel des Parties, le Client peut émettre des instructions écrites complémentaires conformes aux termes du présent Addenda. Il incombe au Client de s’assurer que toutes les personnes qui fournissent des instructions écrites sont habilitées à le faire.
  3. Keeper informera le Client de toute instruction qu’il jugera contraire à la législation applicable, notamment aux lois européennes sur la protection des données, et n’exécutera pas les instructions tant qu’elles n’auront pas été confirmées ou modifiées.
  4. Traitement des données en tant que responsable du traitement : Keeper traitera certaines Données Personnelles à ses propres fins légitimes, en tant que Responsable du traitement indépendant, uniquement lorsque le traitement est nécessaire et proportionné à l’une des finalités commerciales légitimes suivantes : (i) sécurité ou détection des fraudes, (ii) collecte et utilisation d’analyses à des fins commerciales raisonnables pour Keeper et au bénéfice du Client, (iii) fourniture et amélioration du support technique et de la maintenance des Services (y compris l’enregistrement du compte et la facturation) et (iv) gestion de la relation client, telle que le traitement des coordonnées du Client afin de recevoir des communications.

CONFIDENTIALITÉ ET SÉCURITÉ

  1. Keeper s’engage à traiter toutes les Données Personnelles comme des informations strictement confidentielles. Ces Données Personnelles ne peuvent être copiées, transférées ni traitées d’aucune autre manière contraire aux Instructions, sauf accord écrit du Client. Les employés de Keeper sont soumis à une obligation de confidentialité garantissant le traitement strict de toutes les Données Personnelles visées par le présent Addenda. Seul le personnel ayant besoin d’accéder aux Données Personnelles pour la fourniture des Services et l’exécution du présent Addenda pourra y accéder.
  2. Keeper mettra en œuvre les mesures techniques et organisationnelles appropriées, telles que définies à l’Annexe C du présent Contrat et conformes à la législation applicable, notamment à l’article 32 du RGPD. Ces mesures de sécurité sont susceptibles d’évoluer en fonction des progrès techniques. Keeper pourra les mettre à jour ou les modifier périodiquement, sous réserve que ces mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale.

DROITS DE LA PERSONNE CONCERNÉE

  1. Si le Client reçoit une demande d’une personne concernée relative à l’exercice de ses droits en vertu de la législation applicable, et si la réponse correcte et légitime à cette demande requiert l’assistance de Keeper, ce dernier fournira au Client les informations et documents nécessaires. Un délai raisonnable sera accordé à Keeper pour répondre à ces demandes, conformément à la législation applicable.
  2. Si Keeper reçoit une demande d’une personne concernée à propos de l’exercice de ses droits en vertu de la législation applicable et que cette demande concerne les Données Personnelles du Client, sauf interdiction légale, Keeper transmettra sans délai la demande au Client et s’abstiendra de répondre directement à la personne concernée, sauf instruction contraire du Client.

VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

  1. Keeper doit informer le Client sans délai, et au plus tard dans les 72 heures suivant la confirmation d’une violation susceptible d’entraîner la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données Personnelles transmises, stockées ou traitées de toute autre manière pour le compte du Client (une « Violation de Données Personnelles »).
  2. Keeper mettra tout en œuvre pour déterminer la cause d’une telle violation et prendra les mesures qu’il jugera nécessaires pour en établir la cause et empêcher qu’une telle violation ne se reproduise.

DOCUMENTATION DES DROITS DE CONFORMITÉ ET D'AUDIT

  1. À la demande du Client, pour un motif valable ou dans la mesure requise par l’article 28 du RGPD, Keeper mettra à sa disposition toutes les informations nécessaires pour démontrer sa conformité avec le présent Addenda et se soumettra aux audits, y compris aux inspections menées par le Client ou un auditeur mandaté par ce dernier, et coopérera raisonnablement avec eux. Le Client notifiera Keeper de tout audit ou contrôle de documents prévu et prendra toutes les précautions raisonnables pour éviter de causer des dommages ou des perturbations aux locaux, aux équipements et à l’activité de Keeper au cours de cet audit ou de cette inspection. Tout audit ou contrôle de documents fera l’objet d’un préavis écrit raisonnable d’au moins soixante (60) jours calendaires et ne pourra être effectué plus d’une fois par an.
  2. Nonobstant les limitations susmentionnées, des audits supplémentaires seront autorisés à tout moment en cas d’indications de non-conformité, d’incident de sécurité ou sur demande ou instruction d’une autorité de surveillance compétente.
  3. Le client peut être invité à signer un accord de non-divulgation raisonnablement acceptable pour Keeper avant d'être fourni avec ce qui précède.

TRANSFERT DE DONNÉES

  1. Espace économique européen et Suisse
    En ce qui concerne les Données Personnelles du Client provenant de l’Espace économique européen (« EEE ») ou de la Suisse qui sont transférées du Client à Keeper, les Parties conviennent de se conformer aux Clauses contractuelles types approuvées en vertu de la décision d’exécution (UE) 2021/914 de la Commission (les « CCT UE »), lesquelles sont incorporées aux présentes par référence.
  2. Les Parties conviennent que les dispositions relatives au Responsable du traitement et au Sous-traitant (Module Deux) s’appliquent. Pour les données provenant de Suisse, toute référence à un « État membre » inclut la Suisse et toute référence au « RGPD » s’entend comme une référence à la Loi fédérale suisse sur la protection des données (« LPD »). Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l’autorité de contrôle compétente.
  3. Adoption des CCT de l’UE
    Aux fins des CCT de l’UE :
    (a) Le Client agit en tant qu’exportateur de données et Keeper en tant qu’importateur de données ;
    (b) La clause 7 (clause d’intégration) ne s’appliquera qu’après accord mutuel écrit des Parties ;
    (c) La clause 9 (Recours à des Sous-traitants) s’applique dans le cadre de l’option 2, les Sous-traitants étant identifiés dans la sous-annexe B
    (d) La clause 11 (Règlement indépendant des litiges) ne s’applique pas ;
    (e) La clause 17 (Droit applicable), soit le droit irlandais, et la clause 18 (Juridiction), soit les tribunaux irlandais, s’appliquent ; et
    (f) les annexes I et II sont complétées par référence au présent DPA. Les mesures techniques et organisationnelles de Keeper sont décrites dans la sous-annexe C.
  4. Royaume-Uni
    En ce qui concerne les Données Personnelles du Client transférées du Royaume-Uni vers Keeper, les Parties conviennent que l’Accord international de transfert de données (IDTA) du Royaume-Uni, ainsi que l’Addenda britannique aux clauses contractuelles types (CCT) de l’UE, publiés par le Bureau du commissaire à l’information, s’appliquent et sont incorporés par référence. Aux fins de l’Addenda britannique :
    (a) Le Client agit en tant qu’exportateur de données et Keeper en tant qu’importateur de données ;
    (b) Droit applicable et juridiction compétente : Angleterre et Pays de Galles ; et
    (c) Les mesures de sécurité sont celles décrites dans la sous-annexe C et dans la documentation de sécurité de Keeper.
    La clause d’intégration ne s’applique qu’après accord écrit mutuel des Parties.
  5. Brésil (LGPD)
    En ce qui concerne les Données Personnelles des Clients soumises à la Lei Geral de Proteção de Dados Pessoais (Loi fédérale n° 13 709/2018, « LGPD »), les parties conviennent que les transferts internationaux doivent être conformes aux articles 33 à 36 de la LGPD et au règlement sur les transferts internationaux de Données Personnelles publié par l’Autoridade Nacional de Proteção de Dados (ANPD), y compris les Clauses contractuelles types (Cláusulas-Padrão Contratuais) approuvées à l’annexe II dudit règlement, lesquelles sont incorporées ici par référence.

    5.1 Ces clauses s’appliquent sans modification et doivent être complétées comme suit :
    (a) Exportateur : Client (Sous-traitant) ; (b) Importateur : Keeper (Sous-traitant) (c) Objectif : Fourniture des services de Keeper et support connexe en vertu du Contrat ; (d) Catégories de personnes concernées : Données Client en vertu du Contrat ; (e) Données Personnelles : telles que décrites dans la sous-annexe A (f) Transferts ultérieurs : autorisés pour les Sous-traitants agréés de Keeper, tels que décrit à la sous-annexe B, sous réserve de garanties équivalentes ; (g) Partie désignée (clause 4) : Keeper, responsable de la transparence, du traitement des droits des personnes concernées et du signalement des incidents conformément aux articles 14 à 16 des CCT brésiliennes ; (h) Droit applicable et juridiction compétente : Nonobstant le droit applicable au présent Contrat, les Clauses contractuelles types brésiliennes sont régies et interprétées conformément au droit brésilien et soumises à la juridiction des tribunaux compétents du Brésil ; et (i) Mesures de sécurité : telles que décrites à la sous-annexe C.

    5.2 La clause d’intégration (clause 9 des CCT brésiliennes) ne s’appliquera qu’après accord écrit mutuel des parties.

  6. Pour toutes les autres juridictions qui n’ont pas pris de décision d’adéquation, Keeper mettra en œuvre des mécanismes de transfert appropriés en vertu de l’article 46 du RGPD, du RGPD britannique et des articles 33 à 36 du LGPD, ou de toute autre législation applicable pour garantir une protection adéquate.
  7. Lorsque les cadres du DPF ne s’appliquent pas, les parties s’appuient sur les Clauses contractuelles types appropriées ou sur des garanties équivalentes reconnues par la législation applicable en matière de protection des données.
  8. Pour toutes les autres juridictions qui n’ont pas pris de décision d’adéquation, Keeper mettra en œuvre des mécanismes de transfert appropriés en vertu de l’article 46 du RGPD, du RGPD britannique et des articles 33 à 36 du LGPD, ou de toute autre législation applicable pour garantir une protection adéquate.
  9. Mises à jour des mécanismes de transfert
    Dans le cas où la Commission européenne, l’ICO britannique, le FDPIC suisse ou l’ANPD brésilien adopteraient des mécanismes de transfert révisés ou de remplacement, ceux-ci remplaceront automatiquement les clauses mentionnées aux présentes afin de maintenir une conformité continue avec la législation applicable sur la protection des données.
  10. Cadre de protection des données UE-États-Unis
    Keeper participe activement au Cadre de protection des données UE-États-Unis, à l’Extension britannique du Cadre de protection des données UE-États-Unis et au Cadre de protection des données Suisse-États-Unis. L’état de certification de Keeper peut être consulté ici : https://www.dataprivacyframework.gov/list. Dans le cas où le Cadre de protection de la vie privée des données cesserait de s’appliquer, les transferts de données se poursuivront en vertu des Clauses contractuelles types.
  11. Si le client estime que ces mesures sont insuffisantes pour satisfaire aux exigences légales dans une circonstance particulière, le client doit fournir un avis écrit de ses motifs de telles opinions à Keeper et les parties travailleront ensemble de bonne foi pour trouver une alternative mutuellement acceptable.
  12. Législation des États américains sur la protection de la vie privée (y compris le CCPA, tel que modifié)

    Dans la mesure où Keeper traite des Données Personnelles du Client soumises à la loi californienne sur la protection de la vie privée des consommateurs de 2018, telle que modifiée et en vigueur de temps à autre (y compris la loi californienne sur les droits à la vie privée et ses modifications ultérieures, collectivement le « CCPA ») ou à toute autre loi nationale américaine relative à la protection de la vie privée imposant des obligations sensiblement similaires aux sous-traitants ou aux prestataires de services (collectivement, les « Lois nationales relatives à la protection de la vie privée »), Keeper agira en tant que Prestataire de services ou Sous-traitant du Client, le cas échéant :

    (a) Keeper traitera ces Données Personnelles uniquement aux fins commerciales décrites dans le Contrat et le présent Addenda et à aucune autre fin que la fourniture des Services.
    (b) Keeper ne vendra, ne partagera ni ne divulguera de quelque manière que ce soit les Données Personnelles, ni ne divulguera ces données à des fins autres que celles liées à la relation commerciale directe avec le Client, sauf dans les limites autorisées par les Lois nationales sur la protection de la vie privée.
    (c) Keeper veillera à ce que tout contrat de sous-traitance comprenne des restrictions et des obligations équivalentes à celles du prestataire de services ou du responsable du traitement.
    (d) Keeper informera rapidement le Client s’il détermine qu’il n’est plus en mesure de respecter ses obligations en vertu des Lois nationales sur la protection de la vie privée, et le Client pourra prendre des mesures raisonnables et appropriées pour mettre fin à toute utilisation non autorisée des Données Personnelles et y remédier.
    (e) Keeper déclare comprendre et respecter les obligations qui lui incombent en vertu des Lois nationales sur la protection de la vie privée.

SOUS-TRAITANTS

  1. Keeper est autorisé à faire appel à des tiers pour le traitement des Données Personnelles (les « Sous-traitants ») sans avoir à obtenir d’autorisation écrite et spécifique supplémentaire de la part du Client. Keeper conclura un contrat de Sous-traitance écrit avec chaque Sous-traitant. Ce contrat devra au minimum prévoir les mêmes obligations en matière de protection des données que celles applicables à Keeper, y compris les obligations prévues au présent Addenda. Keeper assurera un suivi et un contrôle continus du respect par ses Sous-traitants de la législation applicable en matière de protection des données et fournira au Client, sur demande écrite, la documentation relative à ce suivi et à ces contrôles.
  2. Si un Sous-traitant exécute les services convenus en dehors de l’UE/EEE, Keeper s’assurera de son admissibilité au titre de la législation sur la protection des données en prenant les mesures appropriées.
  3. Au moment de la conclusion du présent Addenda, Keeper fait appel aux Sous-traitants mentionnés à l’annexe B. Keeper met à la disposition du Client un mécanisme permettant de s’inscrire sur son Centre de confiance afin de recevoir les mises à jour concernant les nouveaux Sous-traitants. Les notifications relatives aux nouveaux Sous-traitants ou aux Sous-traitants de remplacement seront publiées sur le Centre de confiance de Keeper ou communiquées par tout autre moyen électronique raisonnable, et la période d’objection débutera dès la publication ou la communication de ces notifications.
  4. Le Client peut, de bonne foi, s’opposer raisonnablement au remplacement d’un Sous-traitant ou au recours par Keeper à un nouveau Sous-traitant en envoyant une notification écrite par e-mail à l’adresse privacy@keepersecurity.com dans les dix (10) jours ouvrables suivant la réception de la notification de Keeper concernant un nouveau Sous-traitant. Cette notification écrite doit indiquer, au minimum, les motifs raisonnables et de bonne foi invoqués par le Client pour justifier son objection. Keeper mettra en œuvre tous les efforts commercialement raisonnables pour recommander une modification de l’utilisation des Services par le Client. L’absence d’objection de la part du Client dans un délai de dix (10) jours ouvrables sera considérée comme une acceptation du Sous-traitant concerné.
  5. Si le Client s’oppose à un nouveau Sous-traitant et que les parties ne parviennent pas à résoudre mutuellement l’objection du Client, ce dernier peut résilier les Services uniquement en ce qui concerne les Services qui ne peuvent être fournis par Keeper sans l’utilisation des nouveaux Sous-traitants contestés, en adressant une notification écrite à Keeper.
  6. Keeper est responsable envers le client de tout sous-traitant de la même manière que de ses propres actions et omissions.

RÉSILIATION ; RESTITUTION OU SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL

  1. Après l'expiration ou la résiliation de l'Accord, Keeper supprimera ou restituera au client toutes les données à caractère personnel en sa possession comme prévu dans l'Accord, sauf dans la mesure où Keeper est tenu par les lois applicables de conserver une partie ou la totalité des données à caractère personnel (auquel cas Keeper archivera les données et mettra en œuvre des mesures raisonnables pour empêcher tout traitement ultérieur des données à caractère personnel). Les termes du présent Addenda continueront de s'appliquer aux présentes données à caractère personnel.

ÉVALUAION DE L'IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

  1. Si l’assistance de Keeper est nécessaire et pertinente, les parties coopéreront dans la mesure raisonnablement nécessaire à la préparation des analyses d’impact relatives à la protection des données conformément à l’article 35 du RGPD, ainsi qu’à toute consultation préalable conformément à l’article 36 du RGPD. Chaque partie supportera ses propres coûts lors de l’exécution de ces obligations.

DIVERS

  1. Modification de l’Addenda : Le présent Addenda ne peut être modifié que par un avenant écrit signé par chacune des parties.
  2. Législation applicable et juridiction compétente : Tous les litiges et toutes les actions se rapportant au présent Contrat seront exclusivement portés devant les tribunaux et interprétés (sans considération des règles de conflit de lois) conformément aux dispositions légales prévues au Contrat.
  3. Invalidité et divisibilité ; Conflits : Si une disposition du présent Addenda est jugée invalide ou inapplicable par un tribunal ou une instance administrative compétente, cette invalidité ou inapplicabilité n’affectera pas les autres dispositions du présent Addenda, lesquelles demeureront pleinement en vigueur. En cas d’incohérence entre le présent Addenda et les Clauses contractuelles types conclues par les Parties, le cas échéant, les Clauses contractuelles types prévaudront.

SOUS-APPENDICE A

Données à caractère personnel

  1. Keeper traite les types de données à caractère personnel suivants ans le cadre de la fourniture de ses services :
    1. Les données à caractère personnel transférées concernant les coordonnées (nom, adresse, e-mail, numéro de téléphone), les données de l'entité, l'addresse IP, l'identifiant de l'appareil et les informations sur la version de l'application.

Catégories de personnes concernées

  1. Keeper traite les données à caractère personnel sur les catégories de personnes concernées suivantes pour le compte du client :
    1. Client
    2. Utilisateurs Finaux Autorisés du Client, y compris les employés du client.

SOUS-ANNEXE B – Sous-traitants approuvés

Une liste actualisée des Sous-traitants de Keeper peut être consultée sur la page 1B Sous-traitants comprenant les noms et adresses des entités juridiques Sous-traitantes. Cette liste est mise à jour régulièrement et le Client peut s’y inscrire pour recevoir les mises à jour sur le Centre de confiance de Keeper.

SOUS-ANNEXE C - Sécurité des données

Cette Annexe relative à la sécurité des données complète le Contrat conclu entre le Client et Keeper régissant votre utilisation des Services. Sauf indication contraire dans la présente Annexe, les termes en majuscules qui y sont énoncés ont la signification qui leur est attribuée dans le Contrat.

  1. Champ d’application du traitement des données. La présente Annexe s’applique à tous les services de Keeper et au traitement de toutes les données fournies par le Client à Keeper (les « Données Client »).
  2. Confidentialité des Données Client. Keeper s’engage à ne pas accéder aux Données Client, à ne pas les utiliser ni à les divulguer à des tiers, sauf si cela est nécessaire pour la maintenance ou la fourniture des Services, ou pour se conformer à la loi ou à une injonction valide et exécutoire d’une autorité gouvernementale (telle qu’une assignation ou une ordonnance judiciaire). Si une autorité gouvernementale adresse à Keeper une demande de Données Client, Keeper s’efforcera de l’orienter vers le Client afin qu’il s’adresse directement à ce dernier. Dans ce cadre, Keeper pourra être amené à communiquer les coordonnées du Client à l’autorité gouvernementale. Si Keeper est contraint de divulguer des Données Client à une autorité gouvernementale, il en informera le Client dans un délai raisonnable afin de lui permettre de solliciter une mesure de protection ou tout autre recours approprié, sauf si la loi s’y oppose. Keeper interdit à son personnel de traiter les Données Client sans son autorisation, conformément à l’Annexe 1 – Normes de sécurité jointe aux présentes. Keeper impose à son personnel des obligations contractuelles appropriées, notamment en matière de confidentialité, de protection et de sécurité des données.
  3. Sécurité du traitement des données. Keeper a mis en œuvre et maintiendra les mesures techniques et organisationnelles nécessaires relatives aux systèmes Keeper, telles que décrites dans les Normes de sécurité et dans la présente Section. Plus précisément, Keeper a mis en œuvre et maintiendra les mesures techniques et organisationnelles suivantes :
    1. sécurité des systèmes Keeper tels que définis dans les Normes de Sécurité ;
    2. mesures de sécurité physique des installations telles qu’énoncées dans les Normes de sécurité ;
    3. mesures visant à contrôler les droits d’accès du personnel autorisé aux systèmes Keeper tels que définis dans les Normes de sécurité ; et
    4. processus permettant de tester, d’évaluer et d’apprécier régulièrement l’efficacité des mesures techniques et organisationnelles mises en œuvre par Keeper, telles que décrites à la section 2 des Normes de sécurité.
  4. Certifications et audits de Keeper.
    1. Certification et rapports de Keeper. Outre les informations contenues dans la présente Annexe, Keeper mettra à disposition, sur demande du Client, ses certificats ISO 27001 et SOC2. Les contrôles de sécurité de l’information de Keeper sont validés par des évaluations et certifications indépendantes et sont accessibles sur le Centre de confiance de Keeper. Ces certifications incluent :
      • SOC 2 Type II (critères de services fiduciaires de l’AICPA)
      • ISO 27001, ISO 27017 et ISO 27018
      • Autorisation FedRAMP modérée (pour Keeper Security Government Cloud)
      • Modules cryptographiques validés FIPS 140-3
      • Architecture conforme à la loi HIPAA (Keeper n’est pas un Partenaire commercial et n’a pas accès aux Données de santé électroniques protégées (ePHI)
      • Alignement de la conformité avec le RGPD, le RGPD britannique et la loi sur la résilience opérationnelle numérique (DORA)
    2. Audits. Keeper fait appel à des auditeurs externes pour vérifier l’adéquation de ses mesures de sécurité, notamment celle des centres de données physiques à partir desquels elle fournit ses Services. Cet audit : (a) sera réalisé au moins une fois par an ; (b) sera réalisé conformément à la norme ISO 27001 ou à toute autre norme équivalente ; (c) sera réalisé par des experts en sécurité tiers indépendants, choisis par Keeper et à ses propres frais ; et (d) donnera lieu à un rapport d’audit (« Rapport »), lequel constituera une information confidentielle de Keeper.

Annexe 1 - Normes de Sécurité

Programme de sécurité de l’information. Keeper mettra en œuvre un programme de sécurité de l’information visant à : (a) permettre au Client de protéger ses données contre toute perte, accès ou divulgation accidentels ou illicites ; (b) identifier les risques raisonnablement prévisibles pour la sécurité et la disponibilité des systèmes de Keeper ; et (c) minimiser les risques de sécurité physiques et logiques pour les systèmes de Keeper, notamment par le biais d’évaluations et de tests réguliers des risques. Keeper désignera un ou plusieurs employés chargés de coordonner et de gérer son programme de sécurité de l’information.

Le programme de sécurité de l’information de Keeper inclura les mesures suivantes :

  1. Sécurité logique.
    1. Contrôles d’accès. Keeper limitera l’accès à ses systèmes au personnel autorisé et uniquement dans la mesure nécessaire à la maintenance et à la fourniture des Services. Keeper mettra en œuvre des contrôles d’accès et des politiques de gestion des autorisations d’accès à ses systèmes pour chaque connexion réseau et utilisateur, notamment par le biais de pare-feux ou de technologies équivalentes et de contrôles d’authentification. Ces contrôles d’accès visent à (i) restreindre l’accès non autorisé aux données et (ii) à séparer les données de chaque client de celles des autres clients.
    2. Accès utilisateur restreint. Keeper (i) fournira et limitera l’accès des utilisateurs aux systèmes Keeper conformément aux principes du moindre privilège sur la base des fonctions du personnel ; (ii) exigera un examen et une approbation avant de fournir un accès aux systèmes Keeper au-delà des principes du moindre privilège, y compris les comptes d’administrateur ; (iii) exigera un examen au moins trimestriel des privilèges d’accès aux systèmes Keeper et, le cas échéant, révoquera les privilèges d’accès aux systèmes Keeper en temps opportun et (iv) exigera une authentification à deux facteurs pour l’accès aux systèmes Keeper à partir de sites distants.
    3. Évaluations de vulnérabilité. Keeper effectuera régulièrement des évaluations de vulnérabilité externes et des tests d’intrusion sur ses systèmes, et enquêtera sur les problèmes identifiés afin de les résoudre dans les meilleurs délais.
    4. Sécurité des applications. Avant le lancement public de nouveaux Services ou de nouvelles fonctionnalités importantes, Keeper effectuera des audits de sécurité des applications visant à identifier, atténuer et corriger les risques de sécurité.
    5. Gestion des modifications. Keeper met en œuvre des contrôles permettant d’enregistrer, d’autoriser, de tester, d’approuver et de documenter les modifications apportées aux ressources des systèmes Keeper existants, et documente les détails de ces modifications dans ses outils de gestion des modifications ou de déploiement. Keeper teste les modifications conformément à ses normes de gestion des modifications avant leur mise en production. Keeper maintient des processus conçus pour détecter les modifications non autorisées apportées aux systèmes Keeper et assure le suivi des problèmes identifiés jusqu’à leur résolution. Keeper applique des normes de codage sécurisées, effectue des analyses statiques et dynamiques, procède à des revues par les pairs et suit une procédure d’approbation formelle des modifications avant leur déploiement en production. Les développeurs bénéficient d’une formation annuelle sur la sécurité et la confidentialité.
    6. Intégrité des données. Keeper mettra en place des contrôles destinés à garantir l’intégrité des données pendant leur transmission, leur stockage et leur traitement au sein des systèmes Keeper. Keeper permettra au Client de supprimer ses données des systèmes Keeper.
    7. Le chiffrement et le déchiffrement s’effectuent exclusivement sur l’appareil de l’utilisateur. Keeper n’a pas accès au contenu du coffre-fort en clair ni aux mots de passe principaux. Les principes de sécurité zero trust imposent l’authentification de l’utilisateur et de son appareil avant tout accès. Les clés de chiffrement sont générées sur l’appareil de l’utilisateur (par exemple, protocole de type PBKDF2). Les clés non chiffrées et les mots de passe principaux ne sont jamais stockés ni transmis à Keeper.
    8. Keeper prend en charge les systèmes TOTP, Duo Security, les clés FIDO/U2F et les données biométriques. SSO Connect® et SSO Connect® Cloud fournissent une authentification zero knowledge via SAML 2.0. Des contrôles d’accès précis basés sur les rôles sont disponibles pour les administrateurs.
    9. Chiffrement TLS pour toutes les connexions, authentification API forte, segmentation du réseau, détection des intrusions et surveillance 24h/24 et 7j/7 de la disponibilité et des incidents.
    10. Continuité des activités et reprise après sinistre. Keeper mettra en place un programme formel de gestion des risques conçu pour assurer la continuité de ses fonctions critiques (le « Programme de continuité des activités »). Ce programme comprend des processus et des procédures permettant d’identifier, de gérer et de se remettre d’événements susceptibles d’empêcher ou de perturber sensiblement la fourniture des Services par Keeper (« Événement PCA »). Le Programme de continuité des activités repose sur une approche en trois phases que Keeper suivra pour gérer les Événements PCA :
  2. Phase d’activation et de notification. Dès que Keeper identifie des incidents susceptibles d’entraîner un Événement PCA, Keeper procède à l’escalade, à la validation et à l’examen de ces incidents. Au cours de cette phase, Keeper analysera la cause première de l’Événement PCA.
    1. Phase de récupération. Keeper confie aux équipes compétentes la tâche de prendre les mesures nécessaires pour rétablir le fonctionnement normal du système ou stabiliser les Services affectés.
    2. Phase de reconstitution. La direction de Keeper examine les mesures prises et vérifie que l’opération de reprise est terminée et que les parties affectées des Services et des systèmes Keeper ont été restaurées. Une fois cette vérification effectuée, Keeper procède à une analyse post-mortem de l’incident en tant qu’Événement PCA (plan de continuité des activités).
  3. Gestion des incidents. Keeper met en œuvre des plans d’actions correctives et des plans de réponse aux incidents afin de réagir aux menaces potentielles pesant sur la sécurité de ses systèmes. Ces plans définissent des processus permettant de détecter, d’atténuer, d’analyser et de signaler les incidents de sécurité. Ils comprennent la vérification de l’incident, l’analyse de l’attaque, le confinement, la collecte de données et la résolution du problème.
  4. Mise hors service des supports de stockage. Keeper met en œuvre une procédure de mise hors service des supports de stockage utilisés pour stocker les Données Client avant leur élimination définitive. Avant cette élimination, les supports de stockage ayant contenu des Données Client sont démagnétisés, effacés, purgés, détruits physiquement ou rendus inviolables conformément aux pratiques standard du secteur, afin de garantir que les Données Clients ne puissent pas être récupérées à partir du type de support de stockage concerné.
  5. Sécurité physique.
    1. Contrôles d’accès. Keeper s’engage à (i) mettre en œuvre et maintenir des mesures de protection physiques conçues pour empêcher tout accès physique non autorisé, tout dommage aux ou toute interférence avec les systèmes de Keeper, (ii) utiliser des dispositifs de contrôle appropriés pour limiter l’accès physique aux systèmes de Keeper au seul personnel autorisé ayant un besoin professionnel légitime d’un tel accès, (iii) surveiller l’accès physique aux systèmes de Keeper à l’aide de systèmes de détection d’intrusion conçus pour surveiller, détecter et alerter le personnel concerné en cas d’incidents de sécurité, (iv) consigner et auditer régulièrement les accès physiques aux systèmes de Keeper et (v) effectuer des examens périodiques pour valider le respect de ces normes.
    2. Disponibilité. Keeper (i) mettra en œuvre des systèmes redondants dédiés aux systèmes Keeper conçus pour minimiser l’effet d’un dysfonctionnement sur les systèmes Keeper, (ii) concevra les systèmes Keeper de manière à anticiper et tolérer les pannes matérielles et (iii) mettra en œuvre des processus automatisés conçus pour déplacer le trafic de Données Client au-delà de la zone affectée en cas de panne matérielle.
  6. Employés de Keeper
    1. Formation des employés à la sécurité. Keeper mettra en œuvre et gérera des programmes de formation à la sécurité destinés aux employés, conformément aux exigences de Keeper en matière de sécurité des informations. Ces programmes de sensibilisation à la sécurité seront revus et mis à jour au moins une fois par an.
    2. Vérification des antécédents. Dans la mesure où la loi l’autorise et sous réserve des informations fournies par les autorités compétentes, Keeper exigera que chaque employé se soumette à une vérification de ses antécédents raisonnable et adaptée à son poste et à son niveau d’accès aux systèmes Keeper.
  7. Évaluation continue. Keeper effectuera des examens périodiques du programme de sécurité de l’information appliqué à ses systèmes. Keeper mettra à jour ou modifiera son programme de sécurité de l’information au besoin afin de répondre aux nouveaux risques de sécurité et de tirer parti des nouvelles technologies.
  8. Conformité à la loi sur la résilience opérationnelle numérique (DORA)
    Afin de se conformer à la loi américaine sur la résilience opérationnelle numérique (DORA), Keeper met en œuvre des mesures opérationnelles et de sécurité rigoureuses pour protéger ses logiciels et ses systèmes. Ces mesures comprennent notamment la mise en place de processus efficaces de gestion des risques, le suivi et la gestion de la disponibilité, le maintien de politiques internes strictes en matière de sécurité, la formation obligatoire des employés à la sécurité et l’établissement de protocoles de réponse aux incidents. Keeper surveille, met à jour et améliore en permanence ses procédures afin d’atténuer les risques et de garantir le bon fonctionnement et la sécurité de ses logiciels et services.
close
Ventes pro
Assistance
close
Acheter maintenant