Annexe II aux clauses contractuelles types - Mesures techniques et organisationnelles

Dernière mise à jour : 22 février 2023

• MODULE UN : Transfert de contrôleur à contrôleur
• MODULE DEUX : Transférer le contrôleur au processeur
• MODULE TROIS : Transfert de processeur à processeur

Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non génériques). Voir également le commentaire général sur la première page de l'annexe, en particulier sur la nécessité d'indiquer clairement quelles mesures s'appliquent à chaque transfert/ensemble de transferts.

Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Une description des mesures techniques et organisationnelles que Keyfactor, Inc. emploiera en sa qualité de responsable du traitement des données à caractère personnel des personnes concernées de l'UE figure ci-dessous :

Le terme "accès" désigne l'accès physique des personnes aux bâtiments et aux locaux dans lesquels les systèmes informatiques sont exploités et utilisés. Il peut s'agir de centres de données dans lesquels sont exploités des matériels cryptographiques, des serveurs web, des serveurs d'application, des bases de données, des ordinateurs centraux et des systèmes de stockage, ainsi que des salles de travail dans lesquelles les employés utilisent les ordinateurs de leur lieu de travail. Les locaux dans lesquels les composants de l'infrastructure de réseau sont situés et placés font partie du champ d'application.

Exigences générales 

Spécifications des zones sécurisées

Les mesures suivantes permettent de répondre à cette exigence :

(a) Les zones sont classées en différents niveaux de sécurité en fonction de la sensibilité des données.

(b) Les zones à protéger ont été spécifiées.

(c) Les zones dont les besoins de protection sont particulièrement élevés ont été identifiées.

Mise en œuvre de la protection de l'accès

Les mesures suivantes permettent de répondre à cette exigence :

(a) Tous les points d'entrée possibles ont été protégés contre tout accès non autorisé.

(b) Il existe un titre d'authentification de l'accès qui lie toutes les personnes (cartes de proximité attribuées, combinaisons de serrure/codes PIN, clés de serrure physiques).

(c) Des systèmes de contrôle d'accès ont été mis en place.

Spécification des personnes disposant d'une autorisation d'accès

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe un contrôle d'accès basé sur les rôles, en fonction des fonctions et des responsabilités professionnelles.

(b) Les rôles sont attribués à des personnes spécifiques par écrit et par voie électronique.

(c) Une personne ou une organisation responsable du processus de contrôle d'accès fondé sur les rôles a été désignée.

Gestion et documentation des droits d'accès personnels

Les mesures suivantes permettent de répondre à cette exigence :

(a) Règles organisationnelles relatives aux droits d'accès aux domaines d'activité.

(b) Documentation relative à l'attribution des cartes de proximité, des combinaisons de serrures/codes PIN et des clés de serrures physiques.

(c) Procédures définies en cas de perte, de compromission et de remplacement des justificatifs d'accès.

(d) Les politiques de sécurité de l'information ont été publiées, communiquées et mises à la disposition de l'ensemble du personnel.

Accompagnement des visiteurs et du personnel externe

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe une politique de contrôle d'accès qui traite des exigences d'accès pour les visiteurs et les autres tiers (non employés).

(b) Contrôle des visiteurs (accompagnement, cartes de proximité, enregistrement).

(c) Profils d'accès pour le personnel d'entretien, de conciergerie et des services d'urgence (accompagnement, enregistrement temporaire, vérification de l'identité).

Enregistrement de l'accès

Les systèmes de contrôle d'accès électroniques permettent de répondre à cette exigence. Des feuilles d'enregistrement papier sont utilisées pour les visiteurs.

Contrairement au contrôle d'accès (locaux/équipements), l'objectif du contrôle d'accès (utilisation des systèmes) est d'empêcher que les systèmes informatiques qui enregistrent, traitent ou utilisent des données à caractère personnel soient accessibles ou utilisés par des personnes non autorisées.

2.1 Exigences générales

2.1.1 Protection de l'accès (authentification)

Les mesures suivantes permettent de répondre à cette exigence :

(a) Protection de l'accès à tous les systèmes de traitement des données par l'authentification de l'utilisateur.

(b) Les politiques de complexité des mots de passe sont appliquées. Pour les biens plus sensibles, une authentification multifactorielle est nécessaire.

2.1.2 Authentification forte à un niveau de protection maximal

Les mesures suivantes permettent de répondre à cette exigence :

(a) Utilisation de mécanismes d'authentification nécessitant la possession et la connaissance (par exemple, carte à puce en plusieurs parties et authentification par phrase d'authentification).

(b) Authentification réseau nécessitant un cryptage (par exemple Kerberos).

2.1.3 Authentification simple (nom d'utilisateur/mot de passe) à un niveau de protection élevé

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe des spécifications concernant la longueur du mot de passe pour les clients et les utilisateurs finaux de Keyfactor(au moins 8 caractères).

(b) Il existe des spécifications concernant la complexité du mot de passe (majuscules, minuscules, caractères numériques et spéciaux).

(c) Il existe des spécifications relatives à l'authentification multifactorielle lors de l'accès aux ressources internes.

2.1.4 Transmission sécurisée des secrets d'authentification (Credentials) dans le réseau

L'exigence est satisfaite par la mesure suivante :

(a) Les informations d'authentification ne sont transmises sur le réseau qu'une fois cryptées.

2.1.5 Verrouillage en cas de tentatives infructueuses ou d'inactivité et procédure de réinitialisation des comptes verrouillés

Les mesures suivantes permettent de répondre à cette exigence :

(a) Keyfactor L'accès de l'utilisateur est verrouillé après plusieurs tentatives incorrectes. L'accès des utilisateurs finaux et des clients est temporairement suspendu après plusieurs tentatives incorrectes.

(b) Pour le personnel de Keyfactor , il existe une procédure sûre de réinitialisation (par exemple, réinitialisation du mot de passe par les administrateurs autorisés).

2.1.6 Spécification des personnes autorisées

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe un concept de rôle (profils d'utilisateurs prédéfinis).

(b) Les droits d'accès sont attribués individuellement (en relation avec des personnes spécifiques) lorsque cela est nécessaire et documenté.

(c) La population de personnes autorisées a été limitée au minimum nécessaire sur le plan opérationnel.

(d) Il n'y a pas de comptes partagés ou réutilisables (par exemple, stagiaire1, consultant1, etc.).

2.1.7 Gestion et documentation des supports d'authentification personnels et des droits d'accès

Les mesures suivantes permettent de répondre à cette exigence :

(a) Une procédure de demande, d'approbation, d'attribution et d'extraction des supports d'authentification et des droits d'accès a été mise en place, documentée et appliquée.

(b) Une organisation responsable a été désignée pour l'attribution des droits d'accès.

2.1.8 Accès à la journalisation

Les mesures suivantes permettent de répondre à cette exigence :

(a) Toutes les tentatives d'accès au réseau, réussies ou non, sont enregistrées (identifiant utilisé, ordinateur, adresse IP) et conservées à des fins d'audit pendant au moins 180 jours.

(b) Des évaluations régulières d'échantillons de population sur les journaux d'authentification doivent être effectuées pour la détection des abus.

2.2 Mesures sur le lieu de travail de l'utilisateur

2.2.1 Verrouillage automatique de l'accès

L'exigence est satisfaite par la mesure suivante :

(a) En cas d'inactivité du poste de travail ou du terminal pendant plus de 15 minutes, un économiseur d'écran protégé par un mot de passe est activé automatiquement par la politique de sécurité du système d'exploitation.

2.2.2 Verrouillage manuel de l'accès

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe une politique de protection des postes de travail contre toute utilisation non autorisée lorsque l'on quitte temporairement le lieu de travail (par exemple, en activant manuellement l'économiseur d'écran protégé par un mot de passe).

(b) Le personnel de Keyfactor a été formé à la nécessité de mettre en œuvre la mesure a).

Les exigences en matière de contrôle d'accès à des classifications de données spécifiques garantissent que seules les personnes autorisées ont accès aux données pour lesquelles elles ont un objectif professionnel légitime et que les données ne peuvent pas être manipulées ou lues par des personnes non autorisées.

3.1 Exigences générales

3.1.1 Génération d'un concept d'autorisation

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe des règles et des procédures pour créer, modifier et supprimer des profils d'autorisation ou des rôles d'utilisateur.

(b) Les domaines de responsabilité administrative sont établis.

3.1.2 Mise en œuvre des limitations d'accès

Les mesures suivantes permettent de répondre à cette exigence :

(a) Tous les membres du personnel de Keyfactor disposant de droits d'accès ne peuvent accéder qu'aux données dont ils ont spécifiquement besoin en fonction de leurs responsabilités professionnelles et des profils d'autorisation qui leur ont été attribués de manière appropriée.

(b) Lorsque les inventaires de données de plusieurs responsables du traitement sont enregistrés dans des centres de données ou traités par un système de traitement des données, des limitations d'accès logiques sont mises en œuvre, qui sont alignées uniquement sur le traitement des données pour le responsable du traitement concerné (capacité de clients multiples).

3.1.3 Attribution des autorisations minimales

L'exigence est satisfaite par la mesure suivante :

(a) Le champ d'application des autorisations doit être limité aux exigences minimales requises pour l'exécution des tâches ou fonctions respectives.

3.1.4 Gestion et documentation des droits d'accès personnels

Les mesures suivantes permettent de répondre à cette exigence :

(a) Une procédure de demande, d'approbation, d'attribution et de révocation des droits d'accès, ainsi que la manière dont ils sont examinés, ont été mises en œuvre.

(b) Les autorisations sont rattachées à des comptes uniques, propres à chaque personne.

Les exigences visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique ou du stockage sur des supports de données, et les moyens d'audit associés, sont mis en œuvre.

4.1 Transport sur les réseaux

4.1.1 Transmission sûre des données entre les serveurs et les clients

L'exigence est satisfaite par la mesure suivante :

(a) Si des réseaux sans fil sont mis en place dans l'infrastructure du réseau Keyfactor , il convient d'utiliser le protocole WPA2 ou un protocole plus puissant avec un mode de cryptage AES. Les réseaux sans fil des invités sont séparés des systèmes de réseau d'entreprise de Keyfactorau moyen de contrôles d'accès au réseau (par exemple, des réseaux locaux virtuels).

4.2 Accès logique aux systèmes

4.2.1 Minimisation des risques par la séparation des réseaux

Les mesures suivantes permettent de répondre à cette exigence :

(a) Une segmentation du réseau est effectuée, qui vise le transfert de données via un minimum d'éléments du réseau.

(b) Les systèmes concernés sont séparés par des contrôles d'accès au réseau en fonction de la classification des données.

4.2.2 Passerelles de sécurité aux points de transfert du réseau

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe des pare-feu de réseau/hardware .

(b) Il existe des pare-feu personnels/de bureau.

(c) Les pare-feu sont toujours actifs.

(d) Les pare-feu ne peuvent pas être désactivés par les utilisateurs finaux.

4.2.3 Protection des systèmes

L'exigence est satisfaite par la mesure suivante :

(a) Tous les correctifs de sécurité sont mis en œuvre dans les 30 jours suivant leur publication.

(b) Les correctifs de sécurité critiques sont testés et mis en œuvre d'urgence en fonction de leur gravité.

4.3 Envoi sécurisé de données

4.3.1 Dispositions relatives au transport maritime

Si les données sont expédiées, l'exigence est satisfaite par les mesures suivantes :

(a) Il existe des dispositions en matière d'emballage et d'expédition pour le transport de données à caractère personnel par des transporteurs de données.

(b) Pour les données à caractère personnel, le chiffrement des données à caractère personnel avant leur transmission est obligatoire.

(c) L'entreprise de transport doit donner son autorisation avant l'expédition.

4.4 Suppression, élimination et destruction en toute sécurité

4.4.1 Processus de collecte et d'élimination

L'exigence est satisfaite par la mesure suivante :

(a) Il existe des règles pour la destruction des documents et des supports de données d'une manière qui garantisse la confidentialité des données.

4.4.2 Procédure de suppression/destruction pour la confidentialité des données

Les mesures suivantes permettent de répondre à cette exigence :

(a) Les dispositifs d'extrémité sont débarrassés de toutes les données avant d'être réutilisés par d'autres utilisateurs afin de rendre la récupération impossible ou seulement possible au prix d'efforts disproportionnés.

(b) Hardware les composants ou les documents sont débarrassés des données à caractère personnel de sorte que leur récupération est impossible ou n'est possible qu'au prix d'efforts disproportionnés.

Exigences visant à garantir qu'il est possible de vérifier et d'établir si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées (contrôle de l'introduction).

5.1 Exigences générales

5.1.1 Documentation des droits d'entrée

L'exigence est satisfaite par la mesure suivante :

(a) Il existe une documentation indiquant quelles personnes sont autorisées, en raison de leurs responsabilités professionnelles, à introduire des données dans le système de traitement des données.

Exigences visant à garantir que, dans le cas d'un traitement commandé de données à caractère personnel, les données sont traitées en stricte conformité avec les instructions du responsable du traitement.

L'exigence est satisfaite par la mesure suivante :

(a) Le contrôle des emplois est mis en œuvre dans l'accord sur le traitement des données ainsi que par le contrôle de l'organisation dans la section 9 de l'annexe 2.

Exigences visant à garantir que les données à caractère personnel sont protégées contre la destruction accidentelle ou la perte (contrôle de la disponibilité).

7.1 Concept de sauvegarde

Les mesures suivantes permettent de répondre à cette exigence :

(a) Un programme de sauvegarde des systèmes est mis en œuvre.

(b) Des sauvegardes régulières sont effectuées en fonction des objectifs de délai de restauration à l'exploitation ("RTO") et de temps de reprise ("RPO").

(c) Une organisation responsable des opérations de sauvegarde et un représentant sont désignés.

7.2 Reprise après sinistre

7.2.1 Plan d'urgence

L'exigence est satisfaite par la mesure suivante :

(a) Il existe un plan d'urgence dans lequel les mesures à prendre sont énumérées et qui précise quelles personnes doivent être informées de l'incident. Le responsable du traitement a indiqué les contacts pertinents dans l'accord sur le traitement des données.

7.2.2 Stockage de la sauvegarde

Les mesures suivantes permettent de répondre à cette exigence :

(a) Les sauvegardes de données, tant électroniques que sur papier, sont stockées dans des installations de stockage sécurisées conformes aux normes de l'industrie.

Exigences visant à garantir que les données collectées à des fins différentes puissent être traitées séparément.

8.1 Exigences générales

8.1.1 Traitement séparé

L'exigence est satisfaite par la mesure suivante :

(a) Il existe des règles et des mesures techniques et organisationnelles pour garantir un traitement (stockage, modification, suppression, transfert, etc.) et/ou un stockage séparés des données et/ou des supports de données ayant des finalités contractuelles différentes.

9.1 Formation/obligation

Les mesures suivantes permettent de répondre à cette exigence :

(a) Principes de la protection des données, y compris les mesures techniques et organisationnelles.

(b) Obligation de confidentialité concernant les secrets d'exploitation et d'entreprise, y compris les procédés du responsable du traitement.

(c) Manipulation correcte et prudente des données, des fichiers, des supports de données et autres documents.

(d) le cas échéant, des obligations spéciales de confidentialité supplémentaires.

(e) La formation a été documentée et fait l'objet d'un suivi.

(f) La formation est répétée régulièrement, au moins une fois par an. Des intervalles plus courts peuvent être requis par les lois applicables dans des territoires spécifiques.

9.2 Formation/obligation des personnes externes

Les mesures suivantes permettent de répondre à cette exigence :

(a) Il existe des règles concernant l'accès des personnes extérieures (invités, fournisseurs, etc.) aux installations de traitement des données.

(b) Ces règles prévoient au moins que les personnes extérieures ne peuvent avoir accès aux systèmes de traitement des données que lorsqu'elles se sont engagées à respecter le secret des données et, le cas échéant, le secret des télécommunications ou d'autres obligations de confidentialité, et qu'elles ont été formées, avant de pouvoir mettre en service et utiliser les systèmes de traitement des données.

9.3 Règle représentative

Les mesures suivantes permettent de répondre à cette exigence :

(a) Un représentant a été désigné pour toutes les fonctions nécessaires sur le plan opérationnel.

(b) Le représentant ne doit recevoir les droits d'accès et d'admission requis que dans le cas où il agit en tant que représentant.

10.1 Gestion des activités de maintenance

L'exigence est satisfaite par la mesure suivante :

(a) Pour l'assistance à distance sur les postes clients, l'outil d'administration à distance doit être configuré pour obtenir le consentement de l'utilisateur avant toute intervention sur son poste de travail. L'utilisateur doit pouvoir voir que l'assistance à distance est en cours.

10.2 Gestion des sous-traitements

Les mesures suivantes permettent de répondre à cette exigence :

(a) Rédiger une clause spécifique à inclure dans les accords avec les responsables du traitement des données/sous-traitants.

(b) Prévoir les conditions de destruction des données à l'expiration et à la résiliation de l'accord.

10.3 Software Développement

L'exigence est satisfaite par la mesure suivante :

(a) Effectuer le développement software dans un environnement informatique distinct de celui de la production (par exemple, sur des segments de réseau définis de manière appropriée).

10.4 Chiffrement

Les mesures suivantes permettent de répondre à cette exigence :

(a) En ce qui concerne le cryptage symétrique :

1. Utiliser des algorithmes de pointe (AES, triple DES).
2. Longueur des clés d'au moins 256 bits.

(b) En ce qui concerne le cryptage asymétrique :

1. Utiliser des algorithmes de pointe (RSA, ECC).
2. La longueur des clés doit suivre les recommandations de l'annexe B1 du référentiel général de sécurité françaishttp://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdf, c'est-à-dire une longueur de clé de 2048 bits.

 

Pour les transferts aux (sous)-traitants, décrivez également les mesures techniques et organisationnelles spécifiques que le (sous)-traitant doit prendre pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d'un sous-traitant à un soustraitant, à l'exportateur de données.

Microsoft Corporation - Mesures techniques et organisationnelles - Microsoft conserve des copies de son document Professional Services Data Protection sur le lien suivant : https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA. Le document comprend une vue d'ensemble des mesures techniques et organisationnelles de l'entreprise.

Salesforce.com, Inc. - Mesures techniques et organisationnelles - Salesforce met à disposition un addendum au traitement des données en ligne qui comprend un bref aperçu de ses mesures techniques et organisationnelles : https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf. Salesforce déclare : "L'importateur de données maintiendra des garanties administratives, physiques et techniques pour la protection de la sécurité, de la confidentialité et de l'intégrité des données personnelles téléchargées vers les services SCC, comme décrit dans la documentation relative à la sécurité, à la confidentialité et à l'architecture applicable aux services SCC spécifiques achetés par l'exportateur de données, et accessible via http://help.salesforce.com ou rendue raisonnablement disponible par l'importateur de données. L'importateur de données ne diminuera pas matériellement la sécurité globale des Services du CCN au cours d'une période d'abonnement".

Rapid7 - Rapid7 fournit une copie de son addendum sur le traitement des données, qui comprend un aperçu des mesures techniques et organisationnelles mises en œuvre par l'entreprise, à l'adresse suivante : https://www.rapid7.com/legal/dpa/.

Mailgun / Sinch Email - Mailgun fournit une copie de son addendum sur le traitement des données, qui comprend une vue d'ensemble des mesures techniques et organisationnelles qu'il complète, à l'adresse suivante : https://www.mailgun.com/legal/dpa/.