accord de traitement des données.
RGPD Article 28 · VaultPAM Security Sp. z o.o.
| Version | 1.0-brouillon |
| Date d’entrée en vigueur | À définir — soumis à l’examen d’un conseil juridique avant publication (AIC-1571) |
| Parties | VaultPAM Security Sp. z o.o. (Sous-traitant) et Client (Responsable du traitement) |
Avis de brouillon : Ce document est un premier brouillon interne destiné à l’examen par un conseil juridique. Pas encore en vigueur.
Considérants
Le présent Accord de traitement des données (« ATD ») est conclu entre :
Responsable du traitement : l’entité cliente qui a accepté les Conditions d’utilisation de VaultPAM ou signé un Bon de commande (« Client » ou « Responsable du traitement ») ;
Sous-traitant : VaultPAM Security Sp. z o.o., ul. Żelazna 51/53, 00-841 Varsovie, Pologne (« VaultPAM » ou « Sous-traitant »).
Le présent ATD fait partie intégrante des Conditions d’utilisation et de tout Bon de commande applicable, et y est incorporé. Il est destiné à satisfaire aux exigences de l’article 28 du Règlement (UE) 2016/679 (« RGPD »).
1. Définitions
« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
« Responsable du traitement », « Sous-traitant », « Personne concernée », « Données à caractère personnel », « Traitement » et « Violation de données à caractère personnel » ont les significations données à l’article 4 du RGPD.
« Service » désigne la plateforme VaultPAM fournie au Client dans le cadre des Conditions d’utilisation.
« Données Client » désigne les données à caractère personnel soumises au Service, collectées ou générées au sein du Service par le Client ou en son nom, y compris les enregistrements de sessions, les journaux d’accès, les métadonnées de crédentiels et les données d’identité des utilisateurs.
« Sous-traitant ultérieur » désigne tout tiers engagé par VaultPAM pour traiter des Données Client pour le compte de VaultPAM.
« Autorité de contrôle » désigne l’autorité nationale compétente de protection des données — à savoir le Président de l’Office de protection des données personnelles (UODO) en Pologne pour VaultPAM, et l’autorité compétente dans l’État membre EEE du Client pour le Client.
2. Objet, durée et nature du traitement
Objet : VaultPAM traite les Données Client afin de fournir le Service de gestion des accès à privilèges décrit dans les Conditions d’utilisation.
Durée : Le traitement commence lorsque le Client soumet pour la première fois des données au Service et se poursuit pendant toute la durée de l’abonnement, plus toute période de conservation requise pour la suppression sécurisée conformément à la clause 3(g).
Nature et finalité : Stockage, récupération, organisation, enregistrement, transmission et analyse des Données Client pour permettre au Client de gérer, auditer et contrôler les accès à privilèges à l’infrastructure informatique du Client.
Types de données à caractère personnel traitées :
- Données d’identité : noms complets des employés, intitulés de poste, adresses électroniques, identifiants employés
- Données d’authentification : enregistrements de défis MFA, horodatages des événements d’authentification, adresses IP, empreintes de périphériques
- Données d’activité de session : heures de début/fin de session, identifiants de l’hôte cible, journaux de frappes, contenu des enregistrements écran, métadonnées de transfert de fichiers
- Métadonnées de crédentiels : noms des entrées du coffre-fort, horodatages de dernière utilisation (le texte en clair des crédentiels n’est pas accessible au personnel de VaultPAM)
- Données de journal d’audit : journaux d’appels API, enregistrements d’actions administratives, événements de modification de politiques
Catégories de personnes concernées :
- Employés, prestataires et autres personnes du Client autorisés à accéder à l’infrastructure à privilèges
- Administrateurs systèmes informatiques et utilisateurs à privilèges dont les événements d’accès sont enregistrés dans la piste d’audit
3. Obligations du Sous-traitant (RGPD Art. 28 par. 3)
3(a) Traitement uniquement sur instruction
VaultPAM traite les Données Client uniquement sur instructions documentées du Client, sauf obligation prévue par le droit de l’Union ou d’un État membre. Lorsque VaultPAM est légalement tenu de traiter des Données Client sans instruction du Client, VaultPAM en informe le Client avant ce traitement, sauf si la loi le lui interdit.
VaultPAM informera immédiatement le Client si, de l’avis de VaultPAM, une instruction enfreint le RGPD ou d’autres lois applicables en matière de protection des données.
Les instructions documentées du Client sont : (i) les termes du présent ATD ; (ii) les Conditions d’utilisation ; (iii) la configuration du Service par le Client ; et (iv) toutes autres instructions écrites que le Client fournit de temps à autre.
3(b) Confidentialité du traitement
VaultPAM s’assure que les personnes autorisées à traiter les Données Client sont soumises à des obligations de confidentialité — contractuelles ou légales — au moins aussi protectrices que celles du présent ATD.
3(c) Mesures de sécurité (Art. 32)
VaultPAM met en œuvre et maintient les mesures de sécurité techniques et organisationnelles définies à l’Annexe I pour protéger les Données Client contre tout traitement non autorisé ou illicite, toute perte, destruction ou détérioration accidentelle. VaultPAM révise et met à jour ces mesures périodiquement pour refléter l’évolution des risques et l’état de l’art.
3(d) Conditions relatives aux sous-traitants ultérieurs
VaultPAM ne fera pas appel à un nouveau Sous-traitant ultérieur sans en informer le Client à l’avance et lui donner la possibilité de s’y opposer pour des motifs légitimes. VaultPAM imposera à chaque Sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent ATD par contrat écrit. La liste actuelle des Sous-traitants ultérieurs approuvés figure à l’Annexe II.
Si le Client s’oppose légitimement à un nouveau Sous-traitant ultérieur et que VaultPAM ne peut fournir le Service sans ce Sous-traitant ultérieur, l’une ou l’autre partie peut résilier les Services concernés avec un préavis écrit de 30 jours sans pénalité.
VaultPAM demeure responsable vis-à-vis du Client des actes et omissions de ses Sous-traitants ultérieurs dans la même mesure que si VaultPAM avait effectué le traitement lui-même.
3(e) Assistance pour les droits des personnes concernées
VaultPAM aidera le Client, compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de répondre aux demandes d’exercice des droits des personnes concernées en vertu du chapitre III du RGPD (accès, rectification, effacement, limitation, portabilité, opposition).
VaultPAM transmettra au Client sans délai toute demande d’une personne concernée portant sur des Données Client, et ne répondra pas à de telles demandes au nom du Client sans instruction écrite préalable du Client.
3(f) Assistance pour les obligations des Art. 32–36
VaultPAM aidera le Client à respecter ses obligations en vertu des articles 32–36 du RGPD, notamment en ce qui concerne la sécurité du traitement, la notification des violations de données aux autorités de contrôle, les analyses d’impact relatives à la protection des données et la consultation préalable.
3(g) Suppression ou restitution des données
À l’expiration ou à la résiliation de l’abonnement, VaultPAM, au choix du Client, supprimera ou restituera toutes les Données Client dans les 30 jours et confirmera la suppression par écrit, sauf si le droit de l’Union ou d’un État membre impose un stockage continu. Le Client est responsable d’exporter les données requises avant l’expiration de la période de 30 jours suivant la résiliation.
Exception WORM : L’engagement de suppression à 30 jours ne s’applique pas aux données bloquées sous la fonctionnalité de stockage immuable (WORM) (clause 6.2). Les données verrouillées en WORM ne peuvent pas être supprimées avant l’expiration de la période de verrouillage configurée. VaultPAM conserve les données verrouillées en WORM après résiliation sur la base de l’article 17 paragraphe 3 point e) du RGPD (constatation, exercice ou défense de droits en justice) ou de l’article 17 paragraphe 3 point b) (respect d’une obligation légale ou accomplissement d’une mission d’intérêt public), selon ce qui est applicable aux finalités de conformité du Client. En activant le WORM, le Client reconnaît que les demandes d’effacement de personnes concernées relatives aux enregistrements verrouillés en WORM peuvent être limitées jusqu’à l’expiration de la période de verrouillage, et le Client, en tant que Responsable du traitement, est tenu d’informer les personnes concernées de cette limitation conformément à l’article 11 paragraphe 2 du RGPD.
3(h) Audit et information
VaultPAM mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent ATD, et contribuera aux audits et inspections réalisés par le Client ou un auditeur mandaté, sous réserve :
- d’un préavis écrit d’au moins 30 jours ;
- d’un accord sur le périmètre et une répartition raisonnable des coûts ; et
- de la signature d’un engagement de confidentialité par l’auditeur.
Le Client s’engage à exercer ses droits d’audit au plus une fois par année civile, sauf si une autorité de contrôle l’exige ou à la suite d’une violation de données confirmée.
4. Notification de violations de données
4.1 VaultPAM notifiera au Client toute violation de données à caractère personnel confirmée ou raisonnablement soupçonnée affectant les Données Client sans délai injustifié et, dans la mesure du possible, dans les 72 heures suivant sa prise de connaissance.
4.2 La notification initiale comprendra, dans la mesure où elles sont alors disponibles : (a) une description de la nature de la violation ; (b) les catégories et le nombre approximatifs d’enregistrements et de personnes concernées ; (c) les coordonnées du contact en matière de protection des données de VaultPAM ; (d) les conséquences probables ; et (e) les mesures prises ou proposées pour faire face à la violation et en atténuer les effets.
4.3 VaultPAM communiquera des informations complémentaires au fur et à mesure de leur disponibilité. Lorsque toutes les informations requises ne sont pas disponibles lors de la première notification, elles seront fournies par phases.
4.4 Le Client est seul responsable d’évaluer si une notification aux autorités de contrôle (Art. 33) ou aux personnes concernées (Art. 34) est requise, et d’effectuer ces notifications.
5. Transferts internationaux de données
5.1 VaultPAM ne transfère pas les Données Client vers un pays en dehors de l’Espace économique européen (« EEE ») sans le consentement écrit préalable du Client, sauf si le transfert est effectué vers un pays bénéficiant d’une décision d’adéquation de l’UE ou est soumis à des garanties appropriées en vertu de l’article 46 du RGPD (p. ex. Clauses contractuelles types — CCT).
5.2 Par défaut, les Données Client au repos sont stockées dans l’UE — Google Cloud Platform, région europe-central2, Varsovie, Pologne.
5.3 Lorsque les Sous-traitants ultérieurs répertoriés à l’Annexe II traitent des données en dehors de l’EEE, VaultPAM a mis en place des CCT ou des garanties équivalentes, telles qu’indiquées à l’Annexe II.
6. Clauses de traitement spécifiques à la gestion des accès à privilèges
6.1 Enregistrements de sessions
VaultPAM enregistre les journaux de frappes, le contenu des écrans et les métadonnées de transfert de fichiers générés lors des sessions à privilèges strictement au nom du Client et sur instruction du Client (via la configuration des politiques d’enregistrement du Client).
Le Client, en tant que Responsable du traitement, est tenu de s’assurer que :
- les employés et prestataires dont les sessions sont enregistrées sont informés conformément au droit du travail et à la législation applicable en matière de protection des données ;
- les approbations requises du comité d’entreprise, les consultations des employés ou les procédures équivalentes sont achevées avant d’activer l’enregistrement pour toute catégorie d’utilisateurs ;
- les politiques d’enregistrement reflètent les finalités légitimes et les besoins de conservation du Client.
VaultPAM stocke les enregistrements de sessions sous forme chiffrée. Le contenu des enregistrements est accessible uniquement aux administrateurs désignés par le Client avec le rôle RBAC assigné. Le personnel de support de VaultPAM n’accède pas au contenu des enregistrements, sauf sur demande écrite explicite du Client aux fins de résoudre un problème technique.
6.2 Conservation et stockage immuable (WORM)
Le Client peut configurer des politiques de conservation pour les enregistrements de sessions et les journaux d’audit. Lorsque le Client active la fonctionnalité de stockage immuable (WORM — Write Once, Read Many) :
- Les enregistrements et journaux d’audit écrits en mode WORM ne peuvent être ni modifiés ni supprimés avant l’expiration de la période de conservation configurée, même sur instruction du Client ou à la résiliation de l’abonnement.
- La fonctionnalité est fournie à des fins de conformité du Client (p. ex. preuves d’audit NIS2, SOC 2, ISO 27001).
- VaultPAM ne supprimera pas les données verrouillées en WORM avant l’expiration de la période de verrouillage, sauf si le Client fournit une autorité légale documentée (décision de justice ou équivalent) pour une suppression anticipée.
- Période de conservation WORM par défaut : 90 jours. Période maximale configurable : 7 ans.
6.3 Coffre-fort de crédentiels
VaultPAM stocke les crédentiels à privilèges (mots de passe, clés SSH, jetons API) au nom du Client dans un coffre-fort chiffré avec les contrôles suivants :
- Le texte en clair des crédentiels est chiffré au repos avec AES-256 avec une hiérarchie de clés par client gérée par une instance HashiCorp Vault dédiée.
- Le personnel opérationnel de VaultPAM n’a pas accès au texte en clair des crédentiels ; tout accès est médiatisé par le plan de contrôle PAM sous application RBAC avec une piste d’audit complète.
- Les événements d’extraction, d’utilisation et de restitution des crédentiels sont enregistrés et inclus dans la piste d’audit immuable du Client.
- Le Client peut configurer la rotation juste-à-temps des crédentiels et des plannings de rotation automatique.
Le Client, en tant que Responsable du traitement, est responsable de la configuration des politiques de rotation adaptées à ses exigences de sécurité et aux normes applicables.
6.4 Interception légale et demandes des forces de l’ordre
6.4.1 Lorsque VaultPAM reçoit d’une autorité judiciaire ou gouvernementale une demande contraignante de Données Client (assignation, décision de justice, notification réglementaire ou équivalent), VaultPAM :
- notifiera rapidement le Client et à l’avance de toute divulgation, sauf si la loi ou une décision de justice le lui interdit ;
- contestera la demande si VaultPAM estime raisonnablement qu’elle est juridiquement invalide, excessive ou incompatible avec le droit de l’UE applicable ou le RGPD ;
- limitera toute divulgation aux données strictement requises par la demande ; et
- documentera la contestation et son issue dans le dossier du compte client.
6.4.2 VaultPAM ne divulguera pas volontairement ou de manière proactive les Données Client à une autorité gouvernementale en l’absence d’une demande contraignante.
6.4.3 Si VaultPAM est légalement empêché de notifier le Client d’une demande, VaultPAM : enregistrera la demande en interne ; notifiera le Client dès que la loi le permet ; et cherchera à réduire ou contester toute interdiction de notification dans la mesure légalement possible.
6.4.4 Le Client reconnaît que la capacité de VaultPAM à contester une demande est soumise au droit applicable et que VaultPAM ne peut pas garantir un résultat favorable dans toutes les circonstances.
7. Contact en matière de protection des données
Contact en matière de protection des données de VaultPAM : dpa@vaultpam.com
8. Responsabilité
8.1 Périmètre du plafond des Conditions d’utilisation. Les limitations de responsabilité et le plafond global fixés dans les Conditions d’utilisation (article 10) s’appliquent également aux réclamations découlant du présent ATD ou s’y rapportant, y compris les réclamations pour manquement aux obligations du RGPD.
8.2 Indemnisation mutuelle. Chaque partie indemnisera et dégagera l’autre partie de tout dommage, amende, pénalité ou coût (y compris les honoraires d’avocat raisonnables) prononcés par une autorité de contrôle ou un tribunal contre l’autre partie dans la mesure où ils sont directement imputables au manquement de la partie indemnisatrice à ses obligations au titre du présent ATD ou du RGPD.
8.3 Contribution au titre de l’article 82 du RGPD. Si l’une des parties verse une indemnisation à une personne concernée au titre de l’article 82 du RGPD pour un dommage imputable en tout ou en partie au manquement de l’autre partie, la partie payante peut récupérer auprès de l’autre partie la portion de l’indemnisation attribuable à la faute de cette dernière. Les parties coopéreront de bonne foi pour répartir la responsabilité.
8.4 Aucune disposition du présent article ne limite la responsabilité de l’une ou l’autre partie en cas de négligence grave ou de faute intentionnelle.
9. Droit applicable
Le présent ATD est régi par le droit polonais. Les litiges sont résolus conformément aux Conditions d’utilisation.
Annexe I — Mesures de sécurité techniques et organisationnelles (Art. 32 RGPD)
| Catégorie | Mesure |
|---|---|
| Chiffrement au repos | AES-256 pour toutes les Données Client stockées sur la plateforme (base de données, enregistrements de sessions, coffre-fort de crédentiels) |
| Chiffrement en transit | TLS 1.2+ pour toutes les données en transit ; les sessions RDP et SSH utilisent le chiffrement natif au protocole |
| Contrôles d’accès | RBAC appliqué par le plan de contrôle ; MFA obligatoire pour tous les accès administrateur |
| Coffre-fort de crédentiels | Crédentiels à privilèges stockés dans HashiCorp Vault avec une hiérarchie de clés par client ; aucun accès en clair pour le personnel de VaultPAM |
| Intégrité des enregistrements de sessions | Stockage WORM avec sommes de contrôle cryptographiques ; preuve d’inviolabilité vérifiée à la récupération |
| Journal d’audit | Piste d’audit immuable complète de toutes les actions administratives, événements de session et appels API |
| Gestion des vulnérabilités | Analyse automatique des dépendances (cargo-audit, Dependabot) ; tests de pénétration réguliers par des tiers |
| Gestion des correctifs | Correctifs de sécurité critiques appliqués dans les 72 heures ; correctifs courants dans les 30 jours |
| Réponse aux incidents | Plan de réponse aux incidents documenté ; SLA de notification de violation de 72 heures au Client |
| Continuité d’activité | Services gérés GCP avec redondance régionale ; objectifs RTO/RPO documentés |
| Sécurité des sous-traitants ultérieurs | Chaque Sous-traitant ultérieur évalué pour l’adéquation RGPD ; ATD de Sous-traitants ultérieurs en place |
| Sécurité physique | Données traitées exclusivement dans les centres de données GCP (europe-central2, Varsovie, Pologne) ; GCP détient les certifications ISO 27001 et SOC 2 |
| Formation du personnel | Tout le personnel de VaultPAM ayant accès aux Données Client suit une formation en protection des données et en sécurité |
| Pseudonymisation | Les journaux de session et les pistes d’audit utilisent des identifiants utilisateurs internes ; le mappage des DCP est conservé séparément avec des contrôles d’accès |
Annexe II — Sous-traitants ultérieurs approuvés
| Sous-traitant ultérieur | Localisation | Activité de traitement | Catégories de données |
|---|---|---|---|
| Google Cloud Platform (GCP) | Google Ireland Ltd., Dublin 4, Irlande ; infrastructure à europe-central2, Varsovie, Pologne (UE) | Calcul cloud, bases de données PostgreSQL gérées, stockage d’objets (enregistrements de sessions), Kubernetes (GKE) | Toutes les Données Client |
| Google Workspace (relais SMTP) | Google Ireland Ltd., Dublin 4, Irlande (UE) | Livraison d’e-mails transactionnels (notifications de compte, notifications de violation) | Adresse électronique, contenu des notifications |
| SMSAPI Sp. z o.o. | ul. Trakt Lubelski 352, 04-667 Varsovie, Pologne (UE) | Livraison d’OTP par SMS pour la MFA | Numéro de téléphone mobile, contenu de l’OTP |
| SerwerSMS Sp. z o.o. | Pologne (UE) | Livraison d’OTP par SMS pour la MFA (fournisseur alternatif) | Numéro de téléphone mobile, contenu de l’OTP |
VaultPAM mettra à jour cette Annexe lors de l’ajout ou du remplacement de Sous-traitants ultérieurs et informera le Client à l’avance conformément à la clause 3(d).
Disponible également en : English · Polski · Deutsch
Des questions sur cet ATD ? Contactez-nous à dpa@vaultpam.com. Voir aussi : Politique de confidentialité · Conditions d’utilisation.