ANNEX No. 3 aux conditions d'utilisation : Contrat de traitement de données

Date d’entrée en vigueur : 26 novembre 2025

Ce contrat de traitement de données s’applique entre vous et ESET chaque fois que vous traitez des données personnelles en tant que responsable du traitement par l’utilisation des services ESET fournis en vertu des conditions, et ESET traite ces données personnelles en votre nom en tant que sous-traitant de données.

Conformément aux exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en ce qui concerne le traitement des données personnelles et à la libre circulation de ces données, abrogeant la directive 95/46/CE (« le RGPD »), ESET (le « sous-traitant ») et vous (le « responsable du traitement ») entrez dans la relation contractuelle de traitement des données afin de définir les modalités du traitement des données personnelles, les modalités de sa protection, ainsi que la définition des autres droits et obligations des deux parties dans le traitement des données personnelles des personnes concernées pour le compte du responsable du traitement au cours de l’exécution des tâches, objet des présentes conditions comme contrat principal.

1. Traitement des données personnelles. Les services fournis en conformité avec les présentes conditions comprennent le traitement de renseignements relatifs à une personne physique identifiée ou identifiable au nom du responsable du traitement, comme spécifié dans la politique de confidentialité (ci-après dénommées les « données personnelles »).

2. Autorisation. Le responsable du traitement autorise le sous-traitant à traiter des données personnelles, y compris les instructions suivantes :

(i) Le but du traitement désigne la fourniture de services conformément aux présentes conditions générales et à la documentation. Le sous-traitant n’est autorisé à traiter des données personnelles qu’au nom du responsable du traitement concernant la fourniture de services demandés par le responsable du traitement. Toutes les informations collectées à des fins supplémentaires sont traitées en dehors de la relation contractuelle responsable du traitement-sous-traitant.

(ii) La période de traitement désigne la période qui s’écoule entre le début de la coopération en vertu des présentes conditions et la cessation des services

(iii) « portée et catégories de données personnelles » désigne toute donnée personnelle fournie ou mise à disposition par le responsable du traitement lors de la fourniture des services. Les services sont destinés uniquement au traitement de données personnelles générales. Toutefois, le responsable du traitement est seul responsable de la détermination du champ d'application des données personnelles.

(iv) La personne concernée désigne une personne physique en tant qu’utilisateur autorisé des périphériques du responsable du traitement pour lesquels les services sont fournis

(v) « Opérations de traitement » : toutes les opérations nécessaires au traitement,

(vi) « Instructions documentées » : désigne les instructions décrites dans les présentes conditions, ses annexes, la politique de confidentialité et la documentation. Le responsable du traitement est responsable de l’admissibilité juridique du traitement des données personnelles par le sous-traitant en ce qui concerne les dispositions applicables respectives de la loi sur la protection des données.

3. Obligations du sous-traitant. Le processeur est tenu de :

(i) traiter les données personnelles uniquement sur la base d'instructions documentées et conformément à la finalité du traitement,

(ii) faire connaître aux personnes autorisées chargées de traiter les données à caractère personnel (« personnes autorisées ») leurs droits et leurs obligations en vertu du RGPD, leur responsabilité en cas de violation, et de s’assurer que les personnes autorisées se sont engagées à respecter la confidentialité et à suivre les instructions documentées,

(iii) prendre toutes les mesures liées à la sécurité du traitement comme l'exige l'article 32 du RGPD, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de l'étendue, du contexte et des finalités du traitement, ainsi que du risque de variabilité de probabilité et de gravité pour les droits et libertés des personnes physiques, afin d'assurer un niveau de sécurité lors du traitement des données personnelles du responsable du traitement approprié au risque,

(iv) selon la nature du traitement, d’aider le responsable du traitement à répondre aux demandes relatives aux droits des personnes concernées. Le sous-traitant ne doit pas corriger, supprimer ni restreindre le traitement des données personnelles sans avoir reçu d'instructions du responsable du traitement. Toutes les demandes de la personne concernée relatives aux données personnelles traitées au nom du responsable du traitement doivent être transmises au responsable du traitement sans délai.

(v) aider le responsable du traitement à signaler toute violation de données personnelles à l'autorité de contrôle et à la personne concernée, Le sous-traitant doit informer le contrôleur de toute violation liée au traitement des données personnelles ou à la sécurité des données personnelles dès sa découverte. Le sous-traitant doit coopérer dans une mesure raisonnable à l'enquête et à la correction d'une telle violation et prendre des mesures raisonnables pour limiter les conséquences négatives qui pourraient en découler.

(vi) au choix du responsable du traitement, de supprimer ou de renvoyer toutes les données personnelles au responsable du traitement dès la fin de la période de traitement. Le responsable du traitement s'engage à informer le sous-traitant de sa décision dans les dix (10) jours suivant la fin de la période de traitement. Cette disposition n'affecte pas le droit du sous-traitant de conserver les données personnelles dans la mesure nécessaire à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique, à des fins statistiques ou à des fins de constatation, d'exercice ou de défense d'un droit en justice.

(vii) tenir un registre à jour de toutes les catégories d'activités de traitement qu'il a effectuées pour le compte du contrôleur,

(viii) mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer la conformité dans le cadre des conditions, de ses annexes, de la politique de confidentialité et de la documentation. Lorsqu’un audit ou un contrôle du traitement des données personnelles par le responsable du traitement est prévu, ce dernier est tenu d'informer le sous-traitant par écrit au moins trente (30) jours avant l'audit ou le contrôle prévu.

4. Engager un autre sous-traitant. En règle générale le sous-traitant est autorisé à engager un autre sous-traitant pour effectuer des activités de traitement précises, telles que la fourniture de stockage en nuage et l’infrastructure du service conformément aux présentes conditions, à l’annexe, à la politique de confidentialité et à la documentation. Même dans ce cas, le processeur reste le seul point de contact et la partie responsable de la conformité. Le sous-traitant s'engage à informer le responsable du traitement de l'ajout ou du remplacement d'un autre sous-traitant afin de lui donner la possibilité de s'opposer à ce changement. Les sous-traitants actuellement engagés sont spécifiés dans la politique de confidentialité du sous-traitant.

5. Territoire du traitement. Le processeur veille à ce que le traitement ait lieu dans l'Espace économique européen ou dans un pays désigné comme sûr par décision de la Commission européenne sur la base de la décision du contrôleur. Les clauses contractuelles types s'appliquent aux transferts et aux traitements effectués en dehors de l'Espace économique européen ou d'un pays désigné comme sûr par décision de la Commission européenne à la demande du responsable du traitement.

6. Sécurité. Le processeur est certifié ISO 27001 et utilise le cadre ISO 27001 pour mettre en œuvre une stratégie de sécurité de la défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. La conformité aux exigences réglementaires et contractuelles est régulièrement évaluée et examinée de la même manière que les autres infrastructures et opérations du processeur, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. Le sous-traitant a pris des mesures pourla sécurité des données à l’aide de l’ISMS basé sur ISO 27001. La documentation de sécurité comprend principalement des documents de politique pour la sécurité des informations, la sécurité physique et la sécurité des équipements, la gestion des incidents, le traitement des fuites de données et des incidents de sécurité, etc.

7. Mesures techniques et organisationnelles. Le sous-traitant doit protéger les données personnelles contre les dommages et la destruction occasionnels et illégaux, la perte occasionnelle, le changement, l’accès non autorisé et la divulgation. À cette fin, le sous-traitant doit adopter des mesures techniques et organisationnelles adéquates correspondant au mode de traitement et au risque que présente le traitement pour les droits des personnes concernées, conformément aux exigences du RGPD. Une description détaillée des mesures techniques et organisationnelles est énoncée dans la politique de sécurité.

8. Coordonnées du sous-traitant. Toutes les notifications, les requêtes, les demandes et les autres communications relatives à la protection des données personnelles sont adressées à ESET, spol. s.r.o., attention de : Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.