logo

Contrat de traitement des données

Entrée en vigueur : 25 juillet 2023

AVIS D'ARBITRAGE : VOUS ÊTES LIÉ PAR LA DISPOSITION D'ARBITRAGE ÉNONCÉE DANS LES CONDITIONS DE SERVICES AUX ENTREPRISES. SI VOUS PASSEZ UN CONTRAT AVEC SNAP INC., VOUS ET SNAP INC. RENONCEZ AU DROIT DE PARTICIPER À UN RECOURS COLLECTIF DEVANT LES TRIBUNAUX OU À UN ARBITRAGE COLLECTIF.

Introduction

Le présent accord de traitement des données ("accord") constitue un accord juridiquement contraignant entre Snap et vous, s'applique dans la mesure où Snap traite les données personnelles du client en votre nom lorsque vous êtes responsable du traitement des données et est incorporé dans les Conditions d'utilisation des services aux entreprises. Certaines conditions utilisées dans cet accord sont définies dans les Conditions d'utilisation des services aux entreprises.

En résumé, cet accord s'applique lorsque Snap traite les données personnelles de vos clients et que vous êtes l'autorité de contrôle des données et Snap est le responsable du traitement des données.

1. Définitions

Le terme "données personnelles du client" désigne les données personnelles des personnes concernées résidant dans l’EEE, en Suisse, au Royaume-Uni et au Brésil fournies à Snap par vous ou en votre nom, lorsque vous êtes responsable du traitement des données.

"Responsable du traitement" désigne le responsable du traitement tel qu'il est défini dans le RGPD ou la LGPD, selon le cas, qui, seul ou conjointement avec d'autres, détermine les objectifs et les moyens du traitement des données personnelles du client.

La "loi sur la protection des données" désigne les lois relatives à la protection des données de l’EEE, de la Suisse, du Royaume-Uni et du Brésil qui s’appliquent au traitement des données personnelles du client en vertu de cet Accord, y compris le RGPD, la loi sur la protection des données au Royaume-Uni et la LGPD.

"EEA" désigne l'Espace économique européen.

"RGPD" désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE.

"LGPD" désigne la loi sur la protection des données du Brésil (Lei Geral de Proteção de Dados Pessoais).

La "violation de données personnelles" désigne la destruction, la perte ou l'altération, la divulgation non autorisée des données personnelles du client ou l'accès non autorisé à de telles données de manière accidentelle ou illicite sur les systèmes gérés ou contrôlés par Snap.

"Sous-traitant ultérieur" désigne un tiers autorisé en vertu du présent accord d’accéder ou de traiter les donnes données personnelles du client pour fournir certains services aux entreprises.

"UK" désigne le Royaume-Uni.

La "loi sur la protection des données au Royaume-Uni" désigne le RGPD tel qu'il fait partie de la loi en Angleterre et au pays de Galles, en Écosse et en Irlande du Nord en vertu de la section 3 de l'accord de retrait de l'Union européenne de 2018 au Royaume-Uni ("RGPD du RU") et de la loi sur la protection des données de 2018.

Les termes "données personnelles", "personne concernée", "traitement", "responsable du traitement", "sous-traitant", "représentant" et "autorité de contrôle" sont utilisés dans le présent Accord ont la signification donnée dans le RGPD, le RGPD au Royaume-Uni ou la LGPD, le cas échéant, indépendamment de l'application de la loi sur la protection des données en vigueur.

2. Traitement des données personnelles du client

a. Rôles des parties. Snap traite les données personnelles du client au nom et comme l'a demandé le responsable du traitement des données conformément à l'article 28 (1) du RGPD, du RGPD au Royaume-Uni et de la LGPD, selon le cas.

b. Nomination. Le responsable du traitement des données nomme Snap pour traiter les données personnelles du client au nom du responsable du traitement des données uniquement si cela est nécessaire pour fournir des services aux entreprises et comme cela peut être convenu par écrit par les parties.

c. Légitimité du traitement. Le responsable du traitement des données est responsable de l'obtention d'une base juridique valide du traitement des données personnelles du client.

d. Détails du traitement. L'objet et les détails relatifs au traitement sont décrits dans l'annexe 1 de cet Accord.

e. Respect de la loi. Chaque partie accepte de se conformer à ses obligations en vertu de la loi sur la protection des données concernant toute donnée personnelle qu'elle traite en vertu de ou en relation avec cet Accord. Sans préjudice de ce qui précède, Snap ne traitera pas les données personnelles du client d'une manière qui entraînera, ou est susceptible d'entraîner, la violation par le responsable du traitement des données de ses obligations en vertu de la loi sur la protection des données. Snap informera rapidement le responsable du traitement des données si Snap est d'avis que les instructions données par le responsable du traitement des données enfreignent la loi sur la protection des données.

En résumé, vous nommez Snap pour le traitement des données personnelles du client en votre nom. Vous demeurez responsable de l'établissement d'une base juridique valide pour le traitement des données personnelles. Vous et Snap acceptez de vous conformer à toutes les lois sur la protection des données.

3. Obligations de Snap

a. Traitement données personnelles du client. Snap ne traitera les données personnelles des clients que conformément aux Conditions d'utilisation des services aux entreprises et au présent accord, et ni n'utilisera, ni ne traitera les données personnelles du client à d'autres fins qu'en qualité de votre sous-traitant désigné par le responsable du traitement de données.

b. Sécurité des données. Conformément à l'article 32 du GDPR, du GDPR au Royaume-Uni et à la LGPD, selon le cas, et comme décrit à l'annexe 2 du présent accord, Snap mettra en œuvre et maintiendra toutes les mesures techniques, administratives et organisationnelles appropriées requises pour : (i) assurer un niveau de confidentialité et de sécurité adapté aux risques représentés par le traitement et à la nature des données personnelles du client ; et (ii) empêcher le traitement non autorisé ou illégal des données personnelles du client, la perte, la divulgation ou la destruction accidentelle, ou l'endommagement des données personnelles du client.

c. Non-divulgation. Snap ne publiera pas, ne divulguera pas (et s'assurera que son personnel ne publie pas, ne divulgue pas) les données personnelles du client à un tiers, sauf si le responsable du traitement des données lui a donné son consentement préalable par écrit.

d. Confidentialité. Snap s'assurerera que seul le personnel qui peut être requis pour aider à remplir ses obligations en vertu des Conditions d'utilisation des services aux entreprises ou du présent accord aura accès aux données personnelles du client et que ce personnel est lié par des obligations de confidentialité appropriées, et qu'il prendra toutes les mesures raisonnables conformément aux meilleures pratiques de l'industrie pour assurer la confidentialité des données personnelles du client.

e. Coopération. Snap fournira une coopération et une assistance raisonnables au responsable du traitement des données comme ce dernier peut l'exiger raisonnablement pour permettre au responsable du traitement des données de se conformer à ses obligations en vertu des articles 32 à 36 du RGPD, du RGPD au Royaume-Uni et de la LGPD, selon le cas, y compris en ce qui concerne la sécurité des données, la notification des violations de données, les évaluations d'impact sur la protection des données, la consultation préalable des autorités de contrôle, le respect des droits des personnes concernées et toute demande, notification ou enquête d'une autorité de contrôle, comme indiqué plus en détail dans le présent accord.

f. Personne concernée et demandes de surveillance. Snap informera rapidement le responsable du traitement des données, et quoi qu'il en soit, dans un délai de deux jours ouvrables, de toute demande d'informations ou plainte que Snap reçoit d'une personne concernée ou d'une autorité de contrôle concernant les données personnelles du client. Snap aidera le responsable du traitement des données dans la mesure où cela est commercialement raisonnable, à remplir l'obligation du responsable du traitement des données à répondre aux demandes des personnes concernées et des autorités de contrôle comme l'exige la loi sur la protection des données.

g. Évaluation de l'impact sur la protection des données. Sur demande, Snap fournira au responsable du traitement des données des informations et une assistance commercialement raisonnables, en prenant en compte la nature de l'activité de traitement et les informations disponibles pour Snap, pour aider le responsable du traitement des données à mener une évaluation d'impact sur la protection des données, comme l'exige la loi sur la protection des données.

h. Fournir des preuves. Pendant la durée du présent accord et pour une période d'un an par la suite, Snap mettra à la disposition du responsable du traitement des données ou d'un cabinet d'audit internationalement reconnue agissant au nom du responsable du traitement des données, toutes les informations raisonnablement nécessaires pour démontrer la conformité de Snap au présent accord et Snap permettra et contribuera aux audits menés par le responsable du traitement des données ou ses représentants qui sont liés par des obligations de confidentialité adéquates ; si : (i) le responsable du traitement des données fournit moins d'une dizaine de jours ouvrables avant d'envoyer un avis écrit à Snap ; (ii) cet audit est effectué pendant les heures d'ouverture normales de Snap et d'une manière qui n'interfère pas de manière déraisonnable avec les activités commerciales normales de Snap ; (iii) cet audit ne dure pas plus de trois jours ouvrables ; (iv) en aucun cas, le responsable du traitement des données (ou, pour éviter le doute, tout auditeur tiers autorisé) n'a le droit d'accéder ou de recevoir les informations de propriété ou confidentielles de Snap, sauf dans une mesure strictement nécessaire pour démontrer la conformité au présent accord et (v) le responsable du traitement des données est tenu de rembourser Snap pour les coûts raisonnables documentés de Snap si cet audit détermine que Snap est conforme au présent accord. Si l'audit détermine que Snap n'est pas en conformité avec le présent accord, Snap sera tenu de payer tous les coûts raisonnables de cet audit.

i. Renvoi ou destruction les données personnelles du client. À l'achèvement des obligations de Snap relatives au traitement des données personnelles du client en vertu du présent accord ou à la demande du responsable du traitement des données à tout moment pendant la durée du présent accord (et, si le responsable du traitement des données le demande, à intervalles réguliers fixés par le responsable du traitement des données), Snap va soit : renvoyer l'ensemble ou une partie des données personnelles du client en possession de Snap au responsable du traitement des données ; (ii) rendre l'ensemble ou une partie des données personnelles du client anonymisées de manière as ce que les données ne constituent plus des données personnelles ; ou (iii) supprimer définitivement les données personnelles du client non lisibles. À la demande du responsable du traitement des données, Snap devra fournir une confirmation écrite au responsable du traitement des données de l'anonymisation, du retour et de la suppression des données personnelles du client.

j. Données personnelles du client hachées. Si Snap reçoit des données personnelles du client dans un format haché ou autrement offusqué, Snap doit : (i) ne pas tenter de faire de l'ingénierie inverse ou d'essayer de toute autre manière de ré-identifier les données personnelles du client qui sont hachées ou offusquées, sauf si le responsable du traitement des données lui en donne l'instruction ; et (ii) ne partager les données personnelles du client que dans le format dans lequel Snap les a reçues du responsable du traitement des données.

En résumé, Snap respectera un certain nombre d'obligations, dont certaines sont des exigences légales, lors du traitement des données personnelles du client que vous avez fournies, tel que décrit ci-dessus.

4. Violation de données personnelles

a. Notification. Conformément à l'article 33 du RGPD, du RGPD au Royaume-Uni et de la LGPD, selon le cas, Snap informera le responsable du traitement des données sans retard injustifié et, dans la mesure du possible, pas plus de 72 heures après avoir pris connaissance d'une violation de données personnelles Snap fournira également au responsable du traitement des données une description de la violation de données personnelles, du type de données qui a fait l'objet de la violation de données personnelles (dans la mesure où Snap la connait), les catégories de personnes concernées affectées et d'autres informations requises par la loi sur la protection des données en vigueur, dès que ces informations peuvent être collectées ou deviennent autrement disponibles, et Snap coopérera avec toute demande raisonnable faite par le responsable du traitement des données concernant la violation de données personnelles.

b. Enquête. Snap acceptera de prendre des mesures immédiates pour mener une enquête sur la violation de données personnelles, pour identifier, prévenir et atténuer les effets de cette violation de données personnelles et, avec l'accord préalable du responsable de traitement des données, de mener à bien toute récupération ou toute autre action nécessaire pour remédier à la violation de données personnelles.

En résumé, en cas de violation de données, Snap vous notifiera dans un délai de 72 heures après en avoir pris connaissance, vous fournira des informations pertinentes et prendra des mesures immédiates pour enquêter sur la violation et en atténuer les effets.

5. Sous-traitants ultérieurs

a. Sous-traitants ultérieurs autorisés. Le responsable du traitement des données autorise spécifiquement l'implication des affiliés de Snap dans l'exploitation des données personnelles du client et le responsable du traitement des données autorise l'implication de tout autre tiers en tant que sous-traitant ultérieur pour exploiter les données personnelles du client.

b. Obligations du sous-traitant ultérieur. Conformément à l'article 28 (4) RGPD, RGPD et LGPD du Royaume-Uni, le cas échéant, Snap imposera des conditions contractuelles juridiquement contraignantes à chaque sous-traitant ultérieur, lesquelles conditions devront être aussi restrictives que celles contenues dans le présent accord.

c. Accès restreint. Snap veillera à ce que chaque sous-traitant ultérieur n'accède aux données personnelles du client et ne les utilise qu'en cas de nécessité pour l'exécution des obligations consenties et conformément aux termes du présent accord.

d. Mises à jour des sous-traitants ultérieurs. Conformément à l'article 28 (2) du RGPD et du RGPD du Royaume-Uni (le cas échéant), vous trouverez ici une liste à jour de : (i) tous les sous-traitants ultérieurs impliqués dans le traitement des données personnelles du client ; (ii) les objectifs pour lesquels les sous-traitants ultérieurs traitent les données personnelles du client : et (iii) la localisation de chaque sous-traitant ultérieur. Snap notifiera le responsable du traitement des données au moins 30 jours avant l'ajout d'un nouveau sous-traitant ultérieur. 

e. Droit d'opposition. Le responsable du traitement des données a le droit de s'opposer à l'ajout d'un nouveau sous-traitant ultérieur, selon les termes de la présente section. Au cas où le responsable du traitement des données s'opposerait à l'exploitation des données personnelles du client par un sous-traitant ultérieur nouvellement recruté, Snap sera immédiatement informé, après quoi Snap pourra soit, (i) demander au sous-traitant ultérieur de cesser toute exploitation des données personnelles du client, auquel cas le présent accord continue sans être affecté ; ou (ii) permettre au responsable du traitement des données de résilier immédiatement le présent accord.

En résumé, en plus d'autoriser Snap à agir en tant que responsable du traitement des données, vous autorisez également les affiliés de Snap à traiter les données personnelles du client en tant que sous-traitants ultérieurs. Snap conclura un accord juridiquement contraignant avec tous les sous-traitants ultérieurs et maintiendra une liste de ceux qui ont été nommés. Vous avez le droit de vous opposer à la nomination d'un sous-traitant ultérieur par Snap.

6. Transferts des données

a. Si le Responsable du traitement des données est établi dans l'EEE, en Suisse ou au Royaume-Uni et transfère les données personnelles à Snap Inc., alors l'accord de transfert de données devra :

(i) s'appliquer à ces transferts ; 

(ii) prévaloir sur toutes les autres conditions, y compris les conditions du présent accord, en ce qui concerne ces transferts ;

(iii) former un accord juridiquement contraignant entre vous en tant qu'exportateur de données et Snap ou au de nom de Snap en tant qu'importateur de données ; et 

(iv) être inclus dans les Conditions des services aux entreprises.

b. En ce qui concerne les données personnelles des personnes concernées de l'EEA, de la Suisse et du Royaume-Uni, Snap et le responsable du traitement des données acceptent que Snap puisse traiter les données personnelles en dehors de l'EEA, de la Suisse et du Royaume-Uni où les exigences relatives à la loi sur la protection des données (y compris, le cas échéant, les articles 44 à 47 du RGPD) sont remplies, ou une exception (y compris, le cas échéant, celles énumérées dans l'article 49 du RGPD) s'applique.

c. En ce qui concerne les données personnelles des personnes au Brésil, le responsable du traitement des données accepte que Snap puisse traiter les données personnelles du client en dehors du Brésil et que ce transfert des données personnelles du client soit conforme à la LGPD.

En résumé, si vous êtes basé à l'EEE, en Suisse ou au Royaume-Uni, l'accord de transfert de données s'applique à tous les transferts de données à caractère personnel vers Snap. En ce qui concerne les données personnelles des personnes concernées de l'EEE, de la Suisse et du Royaume-Uni, vous et Snap acceptez de vous conformer aux dispositions relatives aux transferts internationaux en vertu du RGPD. En ce qui concerne les données personnelles des personnes concernées au Brésil, vous assurez à Snap que le traitement de ces données personnelles par Snap en dehors du Brésil sera conforme à la Loi sur la protection des données du Brésil. 

7. Indemnité ; responsabilité du sous-traitant ultérieur

a. Indemnité. Snap accepte d'indemniser le responsable du traitement des données contre toutes les plaintes, frais, réclamations, dommages-intérêts, pertes, coûts, responsabilités et dépenses dus ou découlant de quelque manière que ce soit de la violation du présent accord par Snap.

b. Processus d'indemnité. Le responsable du traitement des données notifiera rapidement par écrit à Snap toute demande d'indemnisation, mais tout manquement à cette obligation de notification ne libérera pas Snap de toute responsabilité ou obligation d'indemnisation qui lui incombe, sauf dans la mesure où Snap est matériellement lésé par ce manquement. Le responsable du traitement des données coopérera dans la limite du raisonnable avec Snap, aux frais de l'entreprise, dans le cadre de la défense, du compromis ou du règlement de toute demande d'indemnisation. Snap ne fera pas de compromis ou ne réglera pas une réclamation de quelque manière que ce soit, ni ne reconnaîtra sa responsabilité, sans le consentement écrit préalable du responsable du traitement des données, que ce dernier peut donner à sa seule discrétion. Le responsable du traitement des données peut participer (à ses frais) à la défense, au compromis et au règlement de la demande avec le défenseur du choix du responsable du traitement des données.

c. Responsabilité du sous-traitant. Snap reconnaît et accepte qu'il restera responsable envers le responsable du traitement des données en cas de violation des termes de cet accord par un sous-traitant secondaire et tout autre sous-traitant tiers ultérieur nommé par ses soins.

En résumé, en cas de pertes subies par des tiers en rapport avec la violation de cet accord par Snap, Snap vous indemnisera. 

8. Résiliation

a. Résiliation. Cet accord prendra automatiquement fin lors de la résiliation des Conditions d'utilisation des services aux entreprises.

b. Survie. Les obligations de Snap relatives au retour et à la suppression des données personnelles du client survivront à la résiliation des Conditions d'utilisation des services aux entreprises et du présent accord jusqu'à ce que Snap ait retourné ou supprimé les données personnelles du client conformément au présent accord.

En résumé, cet accord prendra fin simultanément à la résiliation des Conditions d'utilisation des services aux entreprises. Toutefois, les obligations de Snap relatives à la restitution ou à la suppression des données personnelles de ses clients seront maintenues. 

9. Conflits

En cas de conflit ou d'inconsistence entre le présent accord, l'Accord du transfert des données, les Conditions d'utilisation des services aux entreprises, toute condition ou politique applicable, ou des Conditions d'utilisation du service de Snap, l'ordre de priorité sera : l'Accord du transfert des données, (mais uniquement dans la mesure où il s'applique en vertu de la section 6.a ci-dessus), le présent accord, les conditions et politiques supplémentaires les Conditions d'utilisation des services aux entreprises et les Conditions d'utilisation du service de Snap.

En résumé, en cas de conflit entre les dispositions des différentes conditions et politiques de Snap, l'ordre de priorité est celui énoncé ci-dessus. 

L'annexe 1 : Détails concernant le traitement des données
A. Liste des parties
Exportateur(s) des données

L'exportateur de données sera le responsable du traitement des données tel que défini dans le présent accord, avec le nom, l'adresse et les coordonnées fournis à Snap via les services aux entreprises. Les activités pertinentes aux données transférées en vertu des présentes clauses comprennent l'utilisation des services aux entreprises en conformité avec les Conditions d'utilisation des services aux entreprises et aux conditions et politiques supplémentaires applicables. L’exportateur des données aura le rôle du responsable du traitement des données. 

Importateur(s) des données

L’importateur de données est :

Snap Inc., domicilié au 3000 31st Street, Santa Monica, Californie 90405.

Les activités pertinentes aux données transférées en vertu des présentes clauses comprennent la disposition des services aux entreprises en conformité avec les Conditions d’utilisation des services aux entreprises et des conditions et politique supplémentaires applicables. L’importateur des données aura le rôle d’un sous-traitant.

B. Description du transfert

Les activités de traitement des données menées par Snap en vertu du présent accord sont les suivantes :

Sujet

La disposition des services aux entreprises de Snap au responsable du traitement des données.

Durée du traitement et de la conservation

Pour la durée du présent accord, plus la période d'expiration du présent accord jusqu'à l'anonymisation, le retour ou la suppression des données conformément au présent accord.

Nature et objectif

Snap traitera les données personnelles du client aux fins de fournir des services aux entreprises au responsable du traitement des données conformément et comme décrit dans les Conditions d'utilisation des services aux entreprises et du présent accord.

Catégories de données

Les données personnelles du client relatives aux personnes fournies à Snap via les services aux entreprises par (ou sur les instructions du) responsable du traitement des données peuvent inclure :

  • l’adresse e-mail

  • le numéro de téléphone

  • l'identifiant de la publicité mobile (IDFA/AAID)

  • l'adresse IP

  • l'identifiant du cookie

  • l’agent utilisateur du navigateur

  • les mesures prises et les activités qui ont eu lieu sur les sites Web et les applications, y compris les pages consultées, les achats, les recherches, les activités de paiement, les listes de souhaits, les installations et les méthodes d'inscription de l'utilisateur.

Les données sensibles transférées

Non applicable

Fréquence du transfert 

En continu

Personnes concernées

Les personnes concernées comprennent les personnes résidant dans l'EEA, en Suisse, au Royaume-Uni et au Brésil dont les données personnelles sont fournies à Snap via les services aux entreprises par (ou sur les instructions du) responsable du traitement des données.

C. Autorité de contrôle compétente

L'autorité de contrôle compétente sera l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP).

En résumé, l'objet et les détails du traitement des données sont décrits ci-dessus.

Annexe 2 - les mesures de sécurité de Snap

1. Assurer la mise en œuvre et le respect d'un programme écrit de sécurité des informations conformément aux normes de l'industrie établies comprenant des dispositifs de protection administrative, technique et physique appropriés à la nature des données personnelles du client et conçu pour protéger ces informations de : l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés ; l'accès non autorisé ou l'utilisation qui pourrait entraîner un préjudice ou des désagréments substantiels au responsable du traitement des données ou aux clients du responsable du traitement des données ou aux employés du responsable du traitement des données ; et toute menace ou risque prévu à la sécurité ou à l'intégrité de ces informations.

2. Adopter et mettre en œuvre des politiques et normes raisonnables relatives à la sécurité.

3. Attribuer la responsabilité concernant la gestion de la sécurité des informations.

4. Consacrer des ressources du personnel adéquates à la sécurité des informations.

5. Effectuer des vérifications auprès du personnel permanent qui a accès aux données personnelles du client.

6. Procéder à des vérifications d'antécédents et exiger que les employés, les fournisseurs et d'autres personnes ayant accès aux données personnelles du client concluent des accords de confidentialité écrits.

7. Former les employés et d'autres personnes ayant accès aux données personnelles du client pour qu'ils prennent conscience des risques de sécurité des informations et pour améliorer le respect des politiques et normes de Snap relatives à la protection des

8. Prévenir l'accès non autorisé aux données personnelles du client par l'utilisation, le cas échéant, des contrôles de saisie physiques et logiques (mots de passe), des zones sécurisées pour le traitement des données et des procédures pour le contrôle de l'utilisation des installations de traitement des données, des pistes de vérification intégrées, l'utilisation des mots de passe sécurisés, de la technologie de détection d'intrusion du réseau, de la technologie d'authentification, des procédures de connexion sécurisées et de la protection contre les virus, de la surveillance du respect des politiques et normes de Snap relatives données de façon continue. En particulier, Snap a mis en œuvre et se conforme à, selon le besoin et sans s'y limiter :

  • Des mesures de contrôle de l'accès physique pour empêcher l'accès non autorisé aux systèmes de traitement des données (par exemple, les badges d'accès, les lecteurs de carte, agents de sécurité, systèmes d'alarme, détecteurs de mouvement, alarmes anti-intrusion, surveillance vidéo et sécurité extérieure) ;

  • Des mesures de contrôle du refus d'utilisation pour empêcher l'utilisation non autorisée des systèmes de protection des données (par exemple, la complexité du mot de passe et les exigences de modification automatiquement appliqués et les pare-feux.)  ;

  • Un régime d'autorisation et des droits d'accès fondé sur des exigences, ainsi que la surveillance et l'enregistrement de l'accès au système pour s'assurer que les personnes habilitées à utiliser le système de traitement des données n'ont accès qu'aux données auxquelles elles ont le droit d'accéder et que les données personnelles du client ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation ;

  • Des mesures de contrôle de la transmission des données pour s'assurer que les données personnelles du client ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, le transport ou le stockage des supports de données, ainsi que le transfert et la réception des enregistrements. En particulier, le programme de sécurité des informations de Snap sera conçu pour :

    • crypter dans le stockage tout ensemble de données en possession de Snap, y compris les données personnelles sensibles, à l'aide des niveaux de cryptage appropriés basés sur des normes de cryptage de pointe, y compris AES -256, et le stockage de l'identité de l'utilisateur dans le système à l'aide d'une paire clé-valeur telle que ghost_id pour empêcher le stockage de l'identifiant de l'utilisateur ;

    • s'assurer que toutes les données personnelles sensibles qui ont été transmises électroniquement (autre que par fac-similé) à une personne en dehors du système informatique de Snap ou transmises via un réseau public sont cryptées à l'aide des versions les plus récentes de protocole TLS 1.2 pris en charge pour protéger la sécurité de la transmission ;

  • Des mesures de contrôle de saisie pour s'assurer que Snap peut vérifier et établir si et par qui les données personnelles du client ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données ;

  • Des mesures d'évaluation en continu de la sécurité pour s'assurer que les pratiques de sécurité des informations restent pertinentes, efficaces et à jour, y compris les essais de pénétration annuels, les programmes de prime de bogue, l'utilisation des outils d'analyse du système, des exercices de simulation, des tests de restauration de la sauvegarde, des basculements de la préproduction et la conduite d'analyses rétrospectives de tout incident réel pour mettre à jour les plans de récupération d'urgence pertinents ;

  • Des mesures de contrôle du sous-traitant ultérieur pour s'assurer que, si Snap est autorisé à utiliser des sous-traitants ultérieurs, les données personnelles du client sont strictement traitées conformément aux instructions du responsable du traitement des données y compris le cas échéant :

    • Des mesures pour s'assurer les données personnelles du client sont protégées contre la destruction ou la perte accidentel y compris, le cas échéant et sans s'y limiter, la sauvegarde des données, les politiques de conservation et de destruction sécurisées ; le stockage sécurisé en dehors du site des données suffisantes pour la récupération d'urgence ; l'alimentation électrique sans interruption et des programmes de récupération d'urgence ; et

    • Des mesures pour s'assurer que les données collectées à différentes fins peuvent être traitées séparément, y compris, le cas échéant, la séparation physique ou logique adéquate des données personnelles du client. 

9. Prendre d'autres mesures qui peuvent être appropriées aux circonstances.

En résumé, Snap a adopté un certain nombre de mesures visant à garantir la sécurité des données des clients, tel que décrit ci-dessus.