Le présent accord est incorporé par référence (le cas échéant et sous réserve de tout accord exprès contraire) dans les accords de prestation de services où ASK4 Solutions Limited, ASK4 Business Limited ou ASK4 Data Centres Limited, comme indiqué dans votre accord ou commande de prestation de services, ("ASK4") agit en tant que sous-traitant.
Cet accord ne s'applique pas lorsque ASK4 Limited ou d'autres sociétés du groupe ASK4 fournissent des services Internet résidentiels ou gérés en tant que contrôleur.
Définitions
Les termes "contrôleur", "personne concernée", "données personnelles", "sous-traitant" et "sous-traitant ultérieur" ont chacun la signification qui leur est donnée en vertu des lois applicables en matière de protection de la vie privée et des données ;
Le "client" est la personne qui a conclu un contrat avec ASK4 pour la fourniture des services ;
Les "données personnelles du client" ont la signification qui leur est donnée au paragraphe 2.1 du présent accord ;
"Annexe sur le traitement" : l'annexe au présent accord qui détaille le traitement impliqué dans la fourniture des services ;
"Lois sur la protection de la vie privée et des données" désigne la législation applicable protégeant les données personnelles et la vie privée des personnes physiques, y compris en particulier le GDPR britannique, la loi sur la protection des données 2018 et les règlements sur la vie privée et les communications électroniques (directive CE) 2003 (SI 2426/2003), ainsi que toute orientation contraignante applicable et les codes de pratique publiés de temps à autre par les autorités de surveillance compétentes ;
"Incident de sécurité" : violation de la sécurité d'ASK4 entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données personnelles du client ;
"Services" désigne l'assistance informatique, l'hébergement, la colocation dans un centre de données, les télécommunications ou tout autre service fourni au client par ASK4 ;
"GDPR UK" a la signification qui lui est donnée à l'article 3(10) (tel que complété par l'article 205(4)) de la loi sur la protection des données de 2018 ; et
"Incident de sécurité non réussi" : un incident qui n'entraîne aucun accès non autorisé aux données à caractère personnel du client et qui peut inclure, sans s'y limiter, des pings et d'autres attaques de diffusion sur des pare-feu ou des serveurs périphériques, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, le reniflage de paquets (ou tout autre accès non autorisé aux données de trafic qui n'entraîne pas d'accès au-delà des en-têtes) ou d'autres incidents similaires.
1. Champ d'application et rôles
1.1 Le présent accord ne s'applique que lorsque des données personnelles sont traitées dans le cadre de la fourniture des services par le client ("données personnelles du client").
1.2 ASK4 agira en tant que sous-traitant ou soustraitant du client, qui peut agir en tant que contrôleur ou sous-traitant en ce qui concerne les données personnelles du client.
2. Traitement des données
2.1 Le présent contrat et l'annexe relative au traitement constituent les instructions écrites du client à ASK4 pour le traitement des données personnelles qui, pour éviter toute ambiguïté, seront limitées au traitement nécessaire à la fourniture des services ("instructions de traitement").
2.2 Le client n'émettra pas d'instructions de traitement supplémentaires ou alternatives pour modifier la portée du présent contrat, sauf accord contraire avec ASK4.
2.3 Le client garantit que : (a) les instructions de traitement ; (b) la collecte des données personnelles du client ; et (c) sous réserve du respect du présent accord par ASK4, le traitement des données personnelles du client est conforme aux lois sur la protection de la vie privée et des données. Le Client est seul responsable de la fourniture de toute information sur le traitement équitable des données par ASK4 à ses employés ou à d'autres personnes concernées.
3. Confidentialité des données personnelles du Client
3.1 ASK4 gardera les données personnelles du Client confidentielles et n'accèdera pas, n'utilisera pas et ne divulguera pas à un tiers les données personnelles du Client, sauf, dans chaque cas, si cela est nécessaire pour maintenir ou fournir les services, ou si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme d'application de la loi, gouvernemental ou judiciaire (tel qu'une citation à comparaître ou une ordonnance du tribunal). Si un organisme gouvernemental envoie à ASK4 une demande de données personnelles du client, ASK4 tentera de rediriger l'organisme gouvernemental pour qu'il demande ces données directement au client. Dans le cadre de cet effort, ASK4 peut fournir les coordonnées de base du client à l'organisme gouvernemental. Si ASK4 est contraint de divulguer les données personnelles du client à un organisme gouvernemental, il donnera au client (si la loi l'y autorise) un préavis raisonnable de la demande afin de permettre au client de demander une ordonnance de protection ou un autre recours approprié.
4. Sécurité du traitement des données
4.1 ASK4 doit fournir des garanties suffisantes qu'elle a mis en œuvre toutes les mesures techniques et organisationnelles nécessaires ou appropriées pour assurer un niveau de sécurité adapté au risque.
4.2 Les parties reconnaissent et acceptent que le client est tenu de coopérer avec les mesures de sécurité d'ASK4 et ne doit pas contourner ou ne pas suivre les processus de sécurité d'ASK4.
4.3 ASK4 n'ayant aucune connaissance, ou une connaissance limitée, des Données Personnelles du Client, le Client est seul responsable de toute : (a) la pseudonymisation et le cryptage pour assurer un niveau de sécurité approprié ; (b) les mesures visant à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de traitement et des services exploités par le Client ; (c) des mesures permettant au Client de sauvegarder et d'archiver de manière appropriée afin de restaurer la disponibilité et l'accès aux Données Personnelles du Client en temps utile en cas d'incident physique ou technique ; et (d) des processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en œuvre par le Client (mais ASK4 veillera à tester régulièrement l'efficacité de ses mesures de sécurité).
5. Sous-Traitement
5.1 Le Client accepte qu'ASK4 utilise des Sous-Traitants listés dans l'Annexe sur le Traitement pour remplir ses obligations contractuelles de fournir les Services.
5.2 Si ASK4 engage un nouveau Sous-Traitant pour effectuer des activités de traitement sur les Données Personnelles du Client au nom du Client, ASK4 notifiera ou fournira au Client un mécanisme permettant d'obtenir une notification de cette mise à jour. Si le client s'oppose à un nouveau sous-traitant dans les 14 jours suivant la notification d'ASK4, le client et ASK4 discuteront en toute bonne foi de la manière de répondre aux préoccupations du client, à condition que si le client a des motifs raisonnables d'objection qui ne peuvent être traités par ASK4 dans un délai raisonnable à compter de la date de l'objection, il peut résilier son contrat pour les services avec un préavis écrit de 14 jours à ASK4. Sauf dans les cas prévus par le présent contrat, en cas d'urgence, ou si le Client l'autorise, ASK4 ne permettra à aucun Sous-Traitant d'effectuer des activités de traitement des Données Personnelles du Client pour le compte du Client.
5.3 ASK4 limitera l'accès de tous les Sous-Traitants aux Données Personnelles du Client dans la mesure nécessaire à la maintenance des Services ou à la fourniture des Services au Client et ASK4 interdira aux Sous-Traitants d'accéder aux Données Personnelles du Client à toute autre fin.
5.4 ASK4 conclura un contrat avec ASK4 pour la fourniture des Services..4 ASK4 conclura un accord écrit avec le Sous-Traitant et, dans la mesure où le Sous-Traitant effectue les mêmes services de traitement de données que ceux fournis par ASK4 dans le cadre de cet accord, ASK4 imposera au Sous-Traitant les obligations contractuelles équivalentes à celles d'ASK4 dans le cadre de cet accord et ASK4 restera responsable de son respect des obligations de cet accord et de tous les actes ou omissions des Sous-Traitants qui amènent ASK4 à manquer à l'une des obligations d'ASK4 dans le cadre de cet accord.
6. Droits des personnes concernées
6.1 Compte tenu de la nature des services, ASK4 conseille au client de mettre en place ses propres procédures pour s'assurer qu'il peut se conformer à ses obligations envers les personnes concernées. Sur demande écrite, ASK4 assistera le Client dans ses obligations envers les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose ASK4, à condition que les obligations d'ASK envers le Client en ce qui concerne les demandes d'accès des personnes concernées soient limitées au minimum requis par les lois sur la protection de la vie privée et des données, et que toute responsabilité concernant les demandes d'accès des personnes concernées incombe au Client.
6.2 Si une personne concernée contacte ASK4 au sujet de la correction ou de la suppression de ses données personnelles, ASK4 fera des efforts commercialement raisonnables pour transmettre de telles demandes au Client.
7. Notification des atteintes à la sécurité
7.1 ASK4 s'engage à : (a) notifier au client un incident de sécurité dans un délai raisonnable après en avoir pris connaissance ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser les dommages résultant de l'incident de sécurité.
7.2 Le client accepte qu'un incident de sécurité non réussi ne soit pas soumis au présent paragraphe 8..2 Le client accepte qu'un incident de sécurité non réussi ne soit pas soumis au présent paragraphe 8.
7.3 L'obligation d'ASK4 de signaler un incident de sécurité ou d'y répondre en vertu du présent paragraphe 8 n'est pas et ne sera pas interprétée comme une reconnaissance par ASK4 d'une faute ou d'une responsabilité d'ASK4 en ce qui concerne l'incident de sécurité.
7.4 Afin d'aider le client dans le cadre de toute notification de violation de données personnelles qu'il est tenu de faire en vertu des lois applicables en matière de protection de la vie privée et des données, ASK4 inclura dans la notification prévue au paragraphe 1 les informations relatives à l'incident de sécurité qu'ASK4 est raisonnablement en mesure de divulguer au client, compte tenu de la nature des services, des informations dont dispose ASK4 et de toute restriction à la divulgation des informations, telle que la confidentialité.
8. Certifications et audits d'ASK4
8.1 ASK4 mettra à disposition sa certification ISO 27001 sur demande.
8.2 ASK4 fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité. Cet audit : (a) sera effectué au moins une fois par an ; (b) sera effectué selon les normes ISO 27001 ou d'autres normes alternatives qui sont substantiellement équivalentes à ISO 27001 ; (c) sera effectué par des professionnels de la sécurité tiers indépendants, au choix et aux frais d'ASK4 ; et (d) aboutira à la production d'un rapport d'audit ("Rapport"), qui sera une information confidentielle d'ASK4.
8..3 Sur demande écrite du client, ASK4 (sous réserve que les parties aient conclu un accord de non-divulgation) pourra à sa discrétion : (a) fournir au client une copie du rapport afin que le client puisse raisonnablement vérifier le respect par ASK4 de ses obligations au titre du présent contrat ; ou (b) moyennant un préavis raisonnable et pas plus d'une fois par période de 12 mois, permettre au client de réaliser un audit supervisé dans les heures qui lui sont imparties.
9. Evaluation de l'impact sur la vie privée et consultation préalable
9.1 Compte tenu de la nature des Services et des informations dont dispose ASK4, ASK4 fournira une assistance raisonnable au Client, si nécessaire, afin que ce dernier puisse se conformer à ses obligations en matière d'évaluation de l'impact sur la protection des données et de consultation préalable, conformément aux lois applicables en matière de protection de la vie privée et des données personnelles.
10. Transferts
10.1 Tout transfert de données en dehors du Royaume-Uni se fera dans le respect du GDPR britannique, de telle sorte qu'ASK4 s'assurera que le pays vers lequel les données sont transférées garantit un niveau de protection adéquat ou qu'ASK4 utilisera des clauses contractuelles standard pour garantir un niveau de protection adéquat.
11. Retour ou suppression des données personnelles du client
11.1 En général, les services : (a) fournissent au client des contrôles qu'il peut utiliser pour récupérer ou supprimer les données personnelles du client ; ou (b) permettent au client de conserver le contrôle de son accès aux données personnelles du client et de leur suppression. Sur demande écrite, ASK4 fera des efforts commercialement raisonnables pour aider le client à récupérer ou à supprimer ses données personnelles.
11.2 ASK4 cessera de traiter les données personnelles du client, immédiatement après la résiliation ou l'expiration de la fourniture des services et (sauf si ASK4 a un intérêt légitime à conserver les données personnelles du client ou est légalement tenu de conserver les données personnelles du client), au choix du client, soit de renvoyer, soit de supprimer en toute sécurité les données personnelles du client.
ANNEXE SUR LA TRANSFORMATION
Objet: L'objet du traitement des données dans le cadre du présent accord est constitué par les données à caractère personnel du client.
Durée du traitement: Entre ASK4 et le client, la durée du traitement des données est la durée de fourniture des services.
Finalité: La finalité du traitement est la fourniture des services demandés par le client de temps à autre. Il incombe au client d'informer ASK4 de toute autre finalité du traitement et de toute modification de cette nature ou de cette finalité.
Nature du traitement: Calcul, stockage, support informatique et autres services tels que décrits dans la commande du client ou initiés par le client de temps à autre.
Type de données personnelles du client: Nom de l'employé, coordonnées, rôle (y compris les autorisations) et informations techniques (telles que les informations sur les demandes d'assistance qui peuvent être ou non des données à caractère personnel) liées au service fourni. Les données à caractère personnel du client téléchargées sur les services lorsque des services d'hébergement ou de stockage sont fournis. Lorsque de tels services sont fournis, il est de la responsabilité du client d'informer ASK4 des types de données personnelles du client à traiter et de toute modification de ces types de données.
Catégories de personnes concernées: Les personnes concernées peuvent être les clients, les employés, les fournisseurs et les utilisateurs finaux du client. Il est de la responsabilité du client d'informer ASK4 de toute autre catégorie de personnes concernées par les données personnelles du client et de toute modification de ces catégories.
Sous-processeurs:
- DRD Communications Ltd (en tant qu'acquéreur d'Inclarity Communications Limited (basé au Royaume-Uni)) - où les services VoiP sont fournis
- Gamma Telecomm Limited (basée au Royaume-Uni) - où les services VoiP sont fournis
- Le fournisseur de lignes de télécommunication en gros - où les services de location de lignes sont fournis (cette information sera fournie lors de la commande ou sur demande).
- Formagrid, Inc. fournit Airtable - que nous utilisons comme logiciel de processus d'entreprise.
- Aspire Community Enterprise (Sheffield) Ltd - pour la destruction sécurisée d'équipements électriques
- Utopi Limited - où nous fournissons des compteurs intelligents et les rapports ESG associés via la plateforme et l'équipement Utopi.
REMARQUE : ASK4 peut revendre des solutions logicielles fournies par des tiers dans le cadre des services (par exemple, des produits Microsoft). Le CLUF/Contrat client pertinent (et toute annexe relative au traitement des données ou similaire qui y est incorporée) entre le client et le fournisseur s'applique au traitement des données à caractère personnel, et non le présent accord.