Skip to main content

Modalités relatives à la protection des renseignements personnels et à la sécurité

Ces modalités relatives à la protection des renseignements personnels et à la sécurité établissent les droits et les obligations de Kyndryl et du Fournisseur concernant la confidentialité, la sécurité et les sujets connexes (les «Modalités»). Les Modalités sont incorporées dans une Description du travail, une Autorisation de travail ou un autre document semblable conclu entre nos entreprises (le «Document transactionnel»), et en font partie intégrante par renvoi dans ces mêmes documents. Les Modalités s'appliquent au mandat particulier qui est décrit dans le Document transactionnel.

À toutes fins utiles, cette page Web permet au Fournisseur de cocher les cases ci-dessous qui caractérisent les particularités du mandat, ce qui a pour effet d'afficher les Modalités pertinentes. Selon ces particularités, il se peut que plus d'une case soit pertinente. Il est entendu que les particularités qui sont décrites dans le Document transactionnel établissent uniquement les Modalités qui s'appliquent au mandat et non celles qui sont affichées une fois que le Fournisseur a coché des cases ci-dessous.

En cas d'incompatibilité entre les Modalités et le Document transactionnel ou tout contrat de base ou autre contrat connexe conclu entre les parties, y compris un contrat relatif au traitement des données, les Modalités prévaudront. Les avis requis par ces Modalités seront donnés conformément aux dispositions du Document transactionnel concernant les avis.

Les termes comportant une majuscule initiale dans les présentes Modalités ont la signification qui leur est donnée dans la section «Définitions» ci-après.

 Cochez les cases qui reflètent les particularités des Services pour ce mandat particulier.

  1. Si tel est le cas, les articles I (Coordonnées professionnelles) et X (Coopération, vérification et correction) s'appliquent à cet accès.

    Exemples :

    • Le Fournisseur utilise le nom, l'adresse de courriel et le numéro de téléphone d'employés de Kyndryl ou du Client aux fins d'assistance ou de maintenance.
    • Kyndryl utilise le nom et l'adresse de courriel d'employés du Fournisseur aux fins d'authentification pour accéder à un Système d'entreprise.

    Remarque : Si le Fournisseur fournit un service de maintenance ou d'assistance, il se peut qu'il ait accès à des renseignements autres que les Coordonnées professionnelles (p. ex., des fichiers journaux comprenant ou non des Données à caractère personnel), auquel cas le Fournisseur doit aussi cocher la case du point 2 (s'il aura accès à des Données à caractère personnel) et du point 3 (s'il aura accès à des Données à caractère non personnel).

    Article I - Coordonnées professionnelles

    Cet article s'applique lorsque le Fournisseur ou Kyndryl Traite les Coordonnées professionnelles de l'autre partie.

    1.1 Kyndryl et le Fournisseur peuvent Traiter les Coordonnées professionnelles de l'autre partie partout où ils font affaire en lien avec la fourniture de Services et de Livrables du Fournisseur.

    1.2 Une partie :

    (a) ne divulguera pas les Coordonnées professionnelles de l'autre partie pour quelque motif que ce soit (il est entendu qu'aucune partie ne Vendra, n'utilisera ou ne divulguera les Coordonnées professionnelles de l'autre partie à des fins de mise en marché, sans obtenir au préalable le consentement écrit de l'autre partie et, lorsque requis, le consentement écrit des Personnes concernées); et

    (b) supprimera, modifiera, corrigera et retournera rapidement les Coordonnées professionnelles de l'autre partie, agira promptement pour fournir de l'information sur le Traitement de ces Coordonnées, en restreindre le Traitement ou prendra rapidement toute autre mesure raisonnable demandée dès la réception d'une demande écrite de l'autre partie.

    1.3 Les parties ne créent aucune relation conjointe à titre de Responsable du traitement concernant les Coordonnées professionnelles de l'autre partie, et aucune disposition du Document transactionnel ne pourra être interprétée comme étant une indication de l'intention d'établir une telle relation.

    1.4 La Déclaration de Kyndryl relative à la protection des renseignements personnels, qui se trouve à l'adresse https://www.kyndryl.com/privacy , fournit des détails supplémentaires concernant le Traitement par Kyndryl des Coordonnées professionnelles.

    1.5 Les parties ont mis en place et maintiendront des mesures de sécurité techniques et organisationnelles pour protéger les Coordonnées professionnelles de l'autre partie contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés et le Traitement illicite.

    1.6 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité touchant les Coordonnées professionnelles de Kyndryl. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant l'Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    1.7 Lorsque le Fournisseur Traite uniquement les Coordonnées professionnelles de Kyndryl et qu'il n'a accès à aucune autre donnée, à aucun autre élément de quelque nature que ce soit, ni à un Système d'entreprise de Kyndryl, le présent article et l'article X (Coopération, vérification et correction) sont les seuls articles qui s'appliquent à un tel Traitement.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  2. Si tel est le cas, les articles II (Mesures techniques et organisationnelles et sécurité des données), III (Protection des renseignements personnels), VIII (Mesures techniques et organisationnelles et sécurité générale) et X (Coopération, vérification et correction) s'appliquent à cet accès.

    Exemples :

    • Le Fournisseur accède à des Données à caractère personnel lors de sa prestation d'un Service hébergé aux fins d'utilisation interne par Kyndryl, par des Clients ou les deux à la fois.
    • Le Fournisseur fournit des Services médicaux ou liés aux soins de santé, des Services de mise en marché, des Services liés aux ressources humaines ou aux avantages sociaux et accède ainsi à des Données à caractère personnel.
    • Le Fournisseur accède à des fichiers journaux qui contiennent des Données à caractère personnel pour fournir des Services d'assistance.

    Article II - Mesures techniques et organisationnelles et sécurité des données

    Cet article s'applique lorsque le Fournisseur Traite des Données de Kyndryl autres que les Coordonnées professionnelles de Kyndryl. Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de Traitement illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Utilisation des données

    1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, dont des Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres. À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de Vendre des Données de Kyndryl.

    1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément.

    2. Demandes de tiers et confidentialité

    2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si un gouvernement ou une autorité de réglementation demande d'accéder à des Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

    2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables auront cet accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et ces Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.

    3. Retour ou suppression des Données de Kyndryl

    3.1 Selon le choix de Kyndryl, le Fournisseur supprimera ou retournera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande. Si Kyndryl exige la suppression, le Fournisseur rendra les données illisibles et impossibles à réassembler ou à reconstituer, conformément aux Meilleures pratiques de l'industrie, et certifiera la suppression à Kyndryl. Si Kyndryl exige le retour des Données de Kyndryl, le Fournisseur retournera ces Données en respectant le délai et les instructions écrites raisonnables de Kyndryl.

    Article III - Protection des renseignements personnels

    Cet article s'applique lorsque le Fournisseur Traite des Données à caractère personnel de Kyndryl.

    1. Traitement

    1.1 Kyndryl désigne le Fournisseur à titre de Sous-traitant pour Traiter les Données à caractère personnel de Kyndryl, aux seules fins de fournir les Livrables et les Services, conformément aux instructions de Kyndryl, y compris celles incluses dans les présentes Modalités, le Document transactionnel et le contrat de base connexe conclu entre les parties. Si le Fournisseur ne respecte pas une instruction, Kyndryl peut mettre fin à la partie concernée des Services en remettant un avis écrit au Fournisseur. Si le Fournisseur estime qu'une instruction enfreint une loi sur la protection des données, il doit en informer promptement Kyndryl et en respectant tout délai exigé par la loi.

    1.2 Le Fournisseur respectera l'ensemble des lois sur la protection des données qui s'appliquent aux Services et aux Livrables.

    1.3 Les éléments d'information suivants concernant les Données de Kyndryl sont définis dans une Annexe du Document transactionnel ou dans le Document transactionnel lui-même :

    (a) catégories de Personnes concernées;

    (b) types de Données à caractère personnel de Kyndryl;

    (c) actions sur les données et activités de Traitement;

    (d) durée et fréquence du Traitement; et

    (e) liste des Sous-traitants ultérieurs.

    2. Mesures techniques et organisationnelles

    2.1 Le Fournisseur mettra en œuvre et maintiendra en vigueur les mesures techniques et organisationnelles définies dans l'article II (Mesures techniques et organisationnelles et sécurité des données) et l'article VIII (Mesures techniques et organisationnelles et sécurité générale), afin d'assurer un niveau de sécurité adapté au risque inhérent que présentes les Services et les Livrables. Le Fournisseur certifie et comprend les restrictions énoncées dans les articles II, III et VIII, et s'engage à les respecter.

    3. Droits et demandes des Personnes concernées

    3.1 Le Fournisseur informera promptement Kyndryl (c.-à-d., dans un délai qui permet à Kyndryl et à tout Autre Responsable du traitement de s'acquitter de leurs obligations juridiques) des demandes qu'il reçoit de Personnes concernées pour exercer leurs droits (notamment, concernant la rectification, la suppression ou le blocage de données) à l'égard des Données à caractère personnel de Kyndryl. Le Fournisseur peut également diriger rapidement une Personne concernée faisant une telle demande vers Kyndryl. Le Fournisseur ne répondra à aucune demande de Personnes concernées, à moins que la loi l'y oblige ou que Kyndryl lui donne des instructions écrites à cet effet.

    3.2 Si Kyndryl est obligée de fournir de l'information relative à des Données à caractère personnel de Kyndryl à d'Autres Responsables du traitement ou à des tiers (p. ex., à des Personnes concernées ou des autorités de réglementation), le Fournisseur offrira immédiatement son assistance à Kyndryl en lui fournissant l'information et en prenant toute mesure raisonnable demandée par Kyndryl, dans un délai qui permet à Kyndryl de répondre en temps opportun aux Autres Responsables du traitement ou aux tiers.

    4. Sous-traitants ultérieurs

    4.1 Le Fournisseur transmettra à Kyndryl un préavis écrit avant d'ajouter un nouveau Sous-traitant ultérieur ou d'accroître l'étendue du Traitement d'un Sous-traitant ultérieur actuel. Ce préavis écrit devra inclure le nom du Sous-traitant ultérieur et décrire la nouvelle étendue ou l'étendue accrue du Traitement. Kyndryl peut refuser en tout temps, pour des motifs raisonnables, la nomination d'un nouveau Sous-traitant ultérieur ou l'étendue accrue du Traitement. En pareil cas, les parties travailleront ensemble de bonne foi en vue de s'entendre sur ce sujet. Sous réserve du droit de refus en tout temps de Kyndryl, le Fournisseur peut mandater le nouveau Sous-traitant ultérieur ou étendre l'étendue du Traitement du Sous-traitant ultérieur en place si Kyndryl n'a pas soulevé d'objection dans les trente (30) Jours suivant la date du préavis écrit du Fournisseur.

    4.2 Le Fournisseur imposera les obligations de protection, de sécurité et de certification définies dans les présentes Modalités à chaque Sous-traitant ultérieur approuvé, avant que ce dernier puisse Traiter des Données de Kyndryl. Le Fournisseur est entièrement responsable envers Kyndryl du respect de ces obligations par chaque Sous-traitant ultérieur.

    5. Traitement de données transfrontalier

    Les termes utilisés ci-dessous ont la signification indiquée ci-après :

    Pays adéquat - Pays offrant un niveau adéquat de protection des données en ce qui concerne le transfert pertinent, conformément aux lois sur la protection des données applicables ou aux décisions des autorités de réglementation.

    Importateur de données - Sous-traitant ou Sous-traitant ultérieur qui n'est pas établi dans un Pays adéquat.

    Clauses contractuelles types de l'Union européenne - Clauses contractuelles types de l'Union européenne (Décision de la Commission 2021/914), avec application des clauses facultatives, à l'exception de l'option 1 de la clause 9 a) et de l'option 2 de la clause 17, telles que publiées officiellement à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

    Clauses contractuelles types de la Serbie - Clauses contractuelles types de la Serbie telles qu'adoptées par le «Commissaire serbe à l'information d'importance publique et à la protection des données à caractère personnel», publié à l'adresse https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

    Clauses contractuelles types - Clauses contractuelles requises par les lois sur la protection des données applicables pour le transfert de Données à caractère personnel aux Sous-traitants qui ne sont pas établis dans un Pays adéquat.

    Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de données («Addenda du Royaume-Uni») - Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de données, tel que publié officiellement à l'adresse https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ .

    5.1 Le Fournisseur ne transférera pas ou ne divulguera pas outre-frontière (y compris par un accès à distance) des Données à caractère personnel de Kyndryl, sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, les parties coopéreront pour assurer le respect des lois sur la protection des données applicables. Si ces lois exigent l'utilisation de Clauses contractuelles types, le Fournisseur acceptera promptement lesdites clauses à la demande de Kyndryl.

    5.2 Dispositions relatives aux Clauses contractuelles types de l'Union européenne :

    (a)Si le Fournisseur n'est pas établi dans un Pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de l'Union européenne en tant qu'Importateur de Données avec Kyndryl, et conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 9 des Clauses contractuelles types de l'Union européenne, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    (i) Le module 1 des Clauses contractuelles types de l'Union européenne ne s'applique pas, à moins que les parties en conviennent autrement par écrit.

    (ii) Le module 2 des Clauses contractuelles types de l'Union européenne s'applique lorsque Kyndryl est un Responsable du traitement et le Module 3 s'applique lorsque Kyndryl est un Sous-traitant. Conformément à la clause 13 des Clauses contractuelles types de l'Union européenne, lorsque les modules 2 ou 3 s'appliquent, les parties conviennent que (1) les Clauses contractuelles types de l'Union européenne seront régies par la loi de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente et (2) que tout litige découlant des Clauses contractuelles types de l'Union européenne sera soumis aux tribunaux de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente. Si la loi mentionnée au point (1) n'autorise pas les droits des tiers bénéficiaires, les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et tout litige découlant des Clauses contractuelles types de l'Union européenne en vertu du point (2) sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

    (b) Si le Fournisseur est établi dans l'Espace économique européen et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données 2016/679, le module 4 des Clauses contractuelles types de l'Union européenne s'applique, et le Fournisseur conclut par les présentes des Clauses contractuelles types de l'Union européenne en tant qu'exportateur de données avec Kyndryl. Si le module 4 des Clauses contractuelles types de l'Union européenne s'applique, les parties conviennent que les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et que tout litige découlant des Clauses contractuelles types de l'Union européenne sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

    (c) Si d'Autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent de devenir partie aux Clauses contractuelles types de l'Union européenne conformément à la «clause d'amarrage» de la Clause 7, le Fournisseur accepte par les présentes une telle demande.

    (d) Les mesures techniques et organisationnelles requises pour remplir l'Annexe II des Clauses contractuelles types de l'Union européenne se trouvent dans les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties.

    (e) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

    5.3 Dispositions relatives à ou aux Addendas du Royaume-Uni :

    (a) Si le Fournisseur n'est pas établi dans un Pays adéquat : il (i) convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Importateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées ci-dessus (selon le cas, en fonction des circonstances des activités de traitement); et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    (b) Si le Fournisseur est établi dans un Pays adéquat et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé au droit britannique en vertu de la Loi de 2018 sur le retrait de l'Union européenne), il convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Exportateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées au paragraphe 5.2(b) ci-dessus.

    (c) Si d'autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent à devenir partie à ou aux Addendas du Royaume-Uni, le Fournisseur convient par les présentes d'accepter une telle demande.

    (d) Les informations de l'Annexe (telles que présentées dans le tableau 3) dans le ou les Addendas du Royaume-Uni se trouvent dans les Clauses contractuelles types de l'Union européenne applicables, les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties. Ni Kyndryl ni le Fournisseur ne peuvent mettre fin à ou aux Addendas du Royaume-Uni lorsque ceux-ci changent.

    (e) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

    5.4 Dispositions relatives aux Clauses contractuelles types de la Serbie :

    (a) Si le Fournisseur n'est pas établi dans un Pays adéquat, il : (i) convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie, en son propre nom en tant que Sous-traitant, avec Kyndryl; et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 8 des Clauses contractuelles types de la Serbie, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    (b) Si le Fournisseur est établi dans un Pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie avec Kyndryl au nom de chaque Sous-traitant ultérieur situé dans un Pays inadéquat. Si le Fournisseur est incapable d'accepter lesdites clauses au nom d'un Sous-traitant ultérieur, il convient de fournir à Kyndryl le document d'acceptation des Clauses contractuelles types de la Serbie dûment signé par le Sous-traitant ultérieur en question. Kyndryl contresignera ensuite ce document avant de permettre au Sous-traitant ultérieur de Traiter des Données à caractère personnel de Kyndryl.

    (c) Les Clauses contractuelles types de la Serbie convenues par Kyndryl et le Fournisseur lieront directement le Responsable du traitement et le Sous-traitant ou seront transférées dans un contrat écrit conclu entre le Sous-traitant et le Sous-traitant ultérieur, selon ce qu'exige la situation. En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de la Serbie, ces dernières prévaudront.

    (d) L'information requise pour remplir les Appendices 1 à 8 des Clauses contractuelles types de la Serbie, afin de régir le transfert de Données à caractère personnel à un Pays inadéquat, se trouve dans les présentes modalités et dans l'Annexe du Document transactionnel ou dans le Document transactionnel lui-même.

    6. Assistance et registres

    6.1 Selon la nature du Traitement, le Fournisseur aidera Kyndryl en mettant en place les mesures techniques et organisationnelles appropriées pour remplir les obligations associées aux demandes et aux droits des Personnes concernées. Le Fournisseur aidera également Kyndryl à assurer le respect des obligations concernant la sécurité du Traitement, la notification et la communication d'une Atteinte à la sécurité et la création d'analyses d'impact sur la protection des données, y compris la consultation préalable de l'autorité de réglementation pertinente, si nécessaire, en tenant compte de l'information qui est à la disposition de Fournisseur.

    6.2 Le Fournisseur tiendra à jour dans un registre, le nom et les coordonnées de chaque Sous-traitant ultérieur, y compris du représentant et du délégué à la protection des données de chaque Sous-traitant ultérieur. Le Fournisseur remettra ce registre à Kyndryl sur demande, dans un délai qui permettra à Kyndryl de répondre en temps opportun à une demande d'un Client ou d'un tiers.

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

    2. Incidents de sécurité

    2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

    2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

    2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

    3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

    3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

    4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

    4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

    4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

    6. Prestation de Services

    6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

    7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

    8.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  3. Si tel est le cas, les articles II (Mesures techniques et organisationnelles et sécurité des données), VIII (Mesures techniques et organisationnelles et sécurité générale) et X (Coopération, vérification et correction) s'appliquent à cet accès.

    Exemples :

    • Le Fournisseur stocke ou transmet des Données à caractère non personnel que lui fournissent Kyndryl ou les Clients, ou y a accès ou les Traite autrement.

    Article II - Mesures techniques et organisationnelles et sécurité des données

    Cet article s'applique lorsque le Fournisseur Traite des Données de Kyndryl autres que les Coordonnées professionnelles de Kyndryl. Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de Traitement illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Utilisation des données

    1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, dont des Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres. À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de Vendre des Données de Kyndryl.

    1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément.

    2. Demandes de tiers et confidentialité

    2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si un gouvernement ou une autorité de réglementation demande d'accéder à des Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

    2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables auront cet accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et ces Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.

    3. Retour ou suppression des Données de Kyndryl

    3.1 Selon le choix de Kyndryl, le Fournisseur supprimera ou retournera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande. Si Kyndryl exige la suppression, le Fournisseur rendra les données illisibles et impossibles à réassembler ou à reconstituer, conformément aux Meilleures pratiques de l'industrie, et certifiera la suppression à Kyndryl. Si Kyndryl exige le retour des Données de Kyndryl, le Fournisseur retournera ces Données en respectant le délai et les instructions écrites raisonnables de Kyndryl.

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

    2. Incidents de sécurité

    2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

    2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

    2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

    3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

    3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

    4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

    4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

    4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

    6. Prestation de Services

    6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

    7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

    8.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  4. Si tel est le cas, les articles IV (Mesures techniques et organisationnelles et sécurité du code), V (Développement sécurisé), VIII (Mesures techniques et organisationnelles et sécurité générale) et X (Coopération, vérification et correction) s'appliquent à cet accès.

    Exemples :

    • Le Fournisseur assume des responsabilités associées au développement pour un produit Kyndryl, et Kyndryl rend son Code source accessible au Fournisseur pour ce développement.
    • Le Fournisseur crée un Code source qui appartiendra ensuite à Kyndryl.

    Article IV - Mesures techniques et organisationnelles et sécurité du code

    Cet article s'applique lorsque le Fournisseur a accès au Code source de Kyndryl. Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera le Code source de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés et les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Exigences relatives à la sécurité

    Les termes utilisés ci-dessous ont la signification indiquée ci-après :

    Pays interdit - Tout pays : (a) que le gouvernement américain a désigné comme étant un «adversaire étranger» dans le décret présidentiel du 15 mai 2019 sur la sécurisation de la chaîne d'approvisionnement des technologies et des services de l'information et des communications; (b) énuméré conformément à l'article 1654 de la loi américaine U.S. National Defense Authorization Act de 2019; ou (c) identifié comme étant un «Pays interdit» dans le Document transactionnel.

    1.1 Le Fournisseur ne distribuera pas ou ne mettra pas le Code source de Kyndryl en mains tierces au profit d'un tiers.

    1.2 Le Fournisseur ne permettra pas que du Code source de Kyndryl réside dans des serveurs qui sont situés dans un Pays interdit. Le Fournisseur ne permettra pas à quiconque (même son Personnel) situé dans un Pays interdit ou en visite dans un Pays interdit (pour la durée d'une telle visite) d'accéder à du Code source de Kyndryl ou d'utiliser du Code source de Kyndryl, pour quelque raison que ce soit, sans égard à l'endroit où se trouve ce Code source de Kyndryl dans le monde. En outre, le Fournisseur ne permettra aucun développement, test ou autre travail dans un Pays interdit qui nécessiterait un tel accès ou une telle utilisation.

    1.3 Le Fournisseur n'introduira pas ou ne distribuera pas de Code source de Kyndryl dans un territoire pour lequel la loi ou l'interprétation de la loi exige de divulguer le Code source à un tiers. Si un changement dans la loi ou l'interprétation de la loi d'un territoire dans lequel se trouve du Code source de Kyndryl peut avoir pour effet d'obliger le Fournisseur à divulguer ce Code source à un tiers, le Fournisseur détruira ou retirera immédiatement ce Code source de Kyndryl de ce territoire, et n'introduira aucun autre Code source de Kyndryl dans ce même territoire tant qu'une telle loi ou interprétation de la loi demeurera en vigueur.

    1.4 Le Fournisseur ne prendra aucune mesure, directement ou indirectement, y compris la conclusion d'un contrat, qui aurait pour effet de créer une obligation de divulgation pour le Fournisseur, Kyndryl ou un tiers aux termes des articles 1654 ou 1655 de la loi américaine U.S. National Defense Authorization Act de 2019. À moins d'une autorisation expressément formulée dans le Document transactionnel ou dans le contrat de base connexe conclu entre les parties, il est entendu que le Fournisseur n'est pas autorisé à divulguer du Code source de Kyndryl à un tiers, quelle que soit la circonstance, sans obtenir au préalable le consentement écrit de Kyndryl.

    1.5 Si Kyndryl avise le Fournisseur ou si un tiers avise l'une ou l'autre des parties que : (a) le Fournisseur a permis d'introduire du Code source de Kyndryl dans un Pays interdit ou dans un territoire assujetti au paragraphe 1.3 plus haut; (b) le Fournisseur a autrement diffusé ou utilisé du Code source de Kyndryl ou y a accédé d'une façon interdite dans le Document transactionnel, dans le contrat de base connexe ou un autre contrat conclu entre les parties; ou (c) le Fournisseur n'a pas respecté les dispositions du paragraphe 1.4 plus haut, alors, sans limiter les droits de Kyndryl concernant ce non-respect, en droit ou en equity ou aux termes du Document transactionnel, du contrat de base connexe ou d'un autre contrat conclu entre les parties : (i) si la notification est transmise au Fournisseur, alors ce dernier partagera promptement cette notification avec Kyndryl; et (ii) le Fournisseur investiguera cette affaire et corrigera la situation en suivant les directives raisonnables de Kyndryl et dans un délai que déterminera raisonnablement Kyndryl (après avoir consulté le Fournisseur).

    1.6 Si Kyndryl a des motifs raisonnables de croire que des changements dans les politiques, procédures, contrôles ou pratiques du Fournisseur concernant l'accès au Code source peuvent être nécessaires pour contrer les risques en cybersécurité, de vol de propriété intellectuelle ou des risques semblables ou connexes, y compris le fait de ne pas apporter de tels changements, qui risque d'empêcher Kyndryl de vendre à certains Clients ou dans certains marchés ou de répondre autrement aux exigences concernant la sécurité des Clients ou de la chaîne d'approvisionnement, alors Kyndryl peut communiquer avec le Fournisseur en vue de discuter des mesures nécessaires pour contrer de tels risques, dont des changements à ses politiques, procédures, contrôles et pratiques. À la demande de Kyndryl, le Fournisseur coopérera avec Kyndryl pour déterminer si de tels changements sont nécessaires et pour apporter les modifications appropriées convenues par les deux parties.

    Article V - Développement sécurisé

    Cet article s'applique lorsque le Fournisseur fournira son Code Source ou ses Logiciels sur site, ou ceux d'un tiers, à Kyndryl, ou si l'un des Livrables ou Services du Fournisseur sera fourni à un Client de Kyndryl dans le cadre d'un produit ou d'un service Kyndryl.

    1. État de préparation pour la sécurité

    1.1 Le Fournisseur coopérera avec Kyndryl concernant les processus internes de Kyndryl qui permettent d'évaluer l'état de préparation pour la sécurité des produits et services de Kyndryl qui s'appuient sur des Livrables du Fournisseur, notamment en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues de membres pertinents du Personnel ou d'autres moyens semblables.

    2. Développement sécurisé

    2.1 Cette section 2 s'applique uniquement lorsque le Fournisseur fournit des Logiciels sur site à Kyndryl.

    2.2 Le Fournisseur a mis en place et maintiendra pendant toute la durée du Document transactionnel, conformément aux Meilleures pratiques de l'industrie, les politiques, procédures et contrôles de sécurité axés sur le réseau, la plateforme, le système, l'application, l'appareil, l'infrastructure physique, la réponse aux incidents et le Personnel, qui sont nécessaires pour protéger : (a) les systèmes et les environnements de développement, de réalisation, de test et d'exploitation que le Fournisseur ou tout tiers engagé par le Fournisseur exploite, gère ou utilise, ou sur lequel il compte autrement à l'égard des Livrables et (b) tout code source de Livrables contre la perte, les moyens de manipulation illicites, et l'accès, la divulgation ou la modification non autorisé.

    3. Certification ISO 20243

    3.1 Cette section 3 s'applique uniquement si les Livrables ou les Services du Fournisseur seront fournis à un Client de Kyndryl dans le cadre d'un produit ou d'un service Kyndryl.

    3.2 Le Fournisseur obtiendra une certification de conformité à la norme ISO 20243, Technologies de l'information, Fournisseur de technologie de confiance (O-TTPS), Atténuation des produits contrefaits et malicieusement contaminés, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé. Comme solution de rechange, le Fournisseur peut aussi obtenir une certification de conformité à une norme de l'industrie essentiellement équivalente, qui encadre les pratiques de développement et de chaîne d'approvisionnement sécurisées, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé, en faisant une demande de reconnaissance d'une telle certification à Kyndryl et en obtenant l'approbation écrite de Kyndryl.

    3.3 Le Fournisseur obtiendra la certification de conformité à la norme ISO 20243 ou à une norme essentiellement équivalente de l'industrie (avec l'approbation écrite de Kyndryl) dans les 180 Jours qui suivent la date d'entrée en vigueur du Document transactionnel, puis renouvellera cette certification tous les 12 mois par la suite, en fonction de la plus récente version de la norme ISO 20243 ou d'une norme de l'industrie essentiellement équivalente (avec l'approbation écrite de Kyndryl) qui s'applique aux pratiques de développement et de chaînes d'approvisionnement sécurisées.

    3.4 À la demande de Kyndryl, le Fournisseur remettra promptement à Kyndryl une copie des certifications qu'il est tenu d'obtenir aux termes des paragraphes 3.1 et 3.2 plus haut.

    4. Vulnérabilités de sécurité

    Les termes utilisés ci-dessous ont la signification indiquée ci-après :

    Correction d'erreur - Correction et révision d'un bogue qui ont pour effet de corriger des erreurs ou des défauts, y compris des Vulnérabilités de sécurité dans les Livrables.

    Mesure d'atténuation - Tout moyen connu d'atténuer ou d'éviter les risques que pose une Vulnérabilité de sécurité.

    Vulnérabilité de sécurité - État de la conception, du code, du développement, de la mise en œuvre, des tests, de l'exploitation, de la prise en charge, de la maintenance ou de la gestion d'un Livrable qui permet à quelqu'un d'effectuer une attaque pouvant donner lieu à un accès non autorisé, à une exploitation, y compris : (a) l'accès à un système, son contrôle ou la perturbation de son fonctionnement; (b) l'accès aux données ou leur suppression, leur modification ou leur extraction; ou (c) des changements d'identité, d'autorisations ou de droits d'accès des utilisateurs ou des administrateurs. Il peut y avoir une Vulnérabilité de sécurité même si une telle vulnérabilité n'a pas été identifiée dans le dictionnaire Common Vulnerabilities and Exposures (CVE), et qu'aucune classification officielle ne lui a été attribuée.

    4.1 Le Fournisseur déclare et garantit qu'il : (a) utilisera les Meilleures pratiques de l'industrie pour détecter les Vulnérabilités de sécurité, notamment en procédant de manière continue à une analyse de la sécurité des applications utilisant du code source statique et dynamique, à une analyse de la sécurité du code source libre et des vulnérabilités des systèmes; et (b) respectera les exigences des présentes Modalités pour aider à prévenir, à détecter et à corriger les Vulnérabilités de sécurité dans les Livrables et dans l'ensemble des applications, des plateformes et de l'infrastructure informatiques dans lesquelles et par lesquelles il crée et fournit les Services et les Livrables.

    4.2 S'il découvre une Vulnérabilité de sécurité dans un Livrable ou dans une application, une plateforme ou une infrastructure informatique, le Fournisseur fournira à Kyndryl une Correction d'erreur et des Mesures d'atténuation pour toutes les versions et les éditions de ce Livrable, en fonction des niveaux de gravité et des délais indiqués dans le tableau qui suit.

    Niveau de gravité*

    Vulnérabilité de sécurité urgente – Vulnérabilité de sécurité présentant une sérieuse menace potentiellement mondiale. Kyndryl détermine à sa seule discrétion quelles sont les Vulnérabilités de sécurité urgentes, sans égard à la cote de base du système d'évaluation des vulnérabilités CVSS.

    Critique - Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 9 et 10,0.

    Élevé - Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 7,0 et 8,9.

    Moyen - Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 4,0 et 6,9.

    Faible – Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 0,0 et 3,9.

    Délais

    Urgent

    Critique

    Élevé

    Moyen

    Faible

    4 Jours ou moins, tel que déterminé
    par le bureau du chef
    de la sécurité des informations Kyndryl

    30 Jours

    30 Jours

    90 Jours

    Selon les Meilleures pratiques de l'industrie

    Si une cote de base CVSS n'a pas déjà été attribuée à une Vulnérabilité de sécurité, le Fournisseur proposera un Niveau de gravité qui est approprié compte tenu de la nature et des circonstances associées à cette vulnérabilité.

    4.3 Dans le cas d'une Vulnérabilité de sécurité qui a été signalée publiquement et pour laquelle le Fournisseur n'a pas encore fourni à Kyndryl une Correction d'erreur ou une Mesure d'atténuation, le Fournisseur mettra en place tous les contrôles de sécurité supplémentaires techniquement praticables pouvant atténuer les risques que pose cette vulnérabilité.

    4.4 Si Kyndryl est insatisfaite de l'intervention du Fournisseur en réponse à une Vulnérabilité de sécurité dans un Livrable ou dans une application, une plateforme ou une infrastructure susmentionnée, le Fournisseur veillera à organiser rapidement une communication entre Kyndryl et un vice-président ou un dirigeant équivalent du Fournisseur qui est responsable de la livraison de la Correction d'erreur afin de discuter de cette préoccupation de Kyndryl, et ce, sans porter préjudice à aucun autre droit de Kyndryl.

    4.5 Voici des exemples de Vulnérabilités de sécurité : du code d'un tiers ou du code source libre en fin de service pour lequel il n'est plus possible de recevoir des correctifs de sécurité.

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

    2. Incidents de sécurité

    2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

    2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

    2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

    3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

    3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

    4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

    4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

    4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

    6. Prestation de Services

    6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

    7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

    8.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  5. Si tel est le cas, lorsque le Fournisseur fournit à Kyndryl son Code Source ou celui d'un tiers, ou lorsque l'un des Livrables ou Services du Fournisseur sera fourni à un Client de Kyndryl dans le cadre d'un produit ou service Kyndryl, les articles V (Développement sécurisé), VIII (Mesures techniques et organisationnelles et sécurité générale) et X (Coopération, vérification et correction) s'appliquent.

    Lorsque le Fournisseur fournit à Kyndryl uniquement des Logiciels sur site, les articles V (Développement sécurisé) et X (Coopération, vérification et correction) s'appliquent.

    Exemples :

    • Le Fournisseur crée un Code source qui lui appartiendra pour un produit que Kyndryl mettra en marché et vendra.
    • Le Fournisseur concède à Kyndryl une licence pour l'autoriser à utiliser un logiciel sur site.
    • Kyndryl modifie la marque d'un Service hébergé par le Fournisseur, qui sera fourni et géré par ce dernier, pour en faire un produit ou un service de marque Kyndryl.
    • Remarque : L'article VIII (Mesures techniques et organisationnelles et sécurité générale) s'appliquera également à un Fournisseur qui fournit des Logiciels sur site à Kyndryl, si les autres particularités d'un mandat font que l'article VIII s'applique (p. ex., lorsque le Fournisseur a accès à des renseignements autres que les Coordonnées professionnelles, tels que des Données à caractère personnel ou des Données à caractère non personnel de Kyndryl).

    Article V - Développement sécurisé

    Cet article s'applique lorsque le Fournisseur fournira son Code Source ou ses Logiciels sur site, ou ceux d'un tiers, à Kyndryl, ou si l'un des Livrables ou Services du Fournisseur sera fourni à un Client de Kyndryl dans le cadre d'un produit ou d'un service Kyndryl.

    1. État de préparation pour la sécurité

    1.1 Le Fournisseur coopérera avec Kyndryl concernant les processus internes de Kyndryl qui permettent d'évaluer l'état de préparation pour la sécurité des produits et services de Kyndryl qui s'appuient sur des Livrables du Fournisseur, notamment en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues de membres pertinents du Personnel ou d'autres moyens semblables.

    2. Développement sécurisé

    2.1 Cette section 2 s'applique uniquement lorsque le Fournisseur fournit des Logiciels sur site à Kyndryl.

    2.2 Le Fournisseur a mis en place et maintiendra pendant toute la durée du Document transactionnel, conformément aux Meilleures pratiques de l'industrie, les politiques, procédures et contrôles de sécurité axés sur le réseau, la plateforme, le système, l'application, l'appareil, l'infrastructure physique, la réponse aux incidents et le Personnel, qui sont nécessaires pour protéger : (a) les systèmes et les environnements de développement, de réalisation, de test et d'exploitation que le Fournisseur ou tout tiers engagé par le Fournisseur exploite, gère ou utilise, ou sur lequel il compte autrement à l'égard des Livrables et (b) tout code source de Livrables contre la perte, les moyens de manipulation illicites, et l'accès, la divulgation ou la modification non autorisé.

    3. Certification ISO 20243

    3.1 Cette section 3 s'applique uniquement si les Livrables ou les Services du Fournisseur seront fournis à un Client de Kyndryl dans le cadre d'un produit ou d'un service Kyndryl.

    3.2 Le Fournisseur obtiendra une certification de conformité à la norme ISO 20243, Technologies de l'information, Fournisseur de technologie de confiance (O-TTPS), Atténuation des produits contrefaits et malicieusement contaminés, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé. Comme solution de rechange, le Fournisseur peut aussi obtenir une certification de conformité à une norme de l'industrie essentiellement équivalente, qui encadre les pratiques de développement et de chaîne d'approvisionnement sécurisées, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé, en faisant une demande de reconnaissance d'une telle certification à Kyndryl et en obtenant l'approbation écrite de Kyndryl.

    3.3 Le Fournisseur obtiendra la certification de conformité à la norme ISO 20243 ou à une norme essentiellement équivalente de l'industrie (avec l'approbation écrite de Kyndryl) dans les 180 Jours qui suivent la date d'entrée en vigueur du Document transactionnel, puis renouvellera cette certification tous les 12 mois par la suite, en fonction de la plus récente version de la norme ISO 20243 ou d'une norme de l'industrie essentiellement équivalente (avec l'approbation écrite de Kyndryl) qui s'applique aux pratiques de développement et de chaînes d'approvisionnement sécurisées.

    3.4 À la demande de Kyndryl, le Fournisseur remettra promptement à Kyndryl une copie des certifications qu'il est tenu d'obtenir aux termes des paragraphes 3.1 et 3.2 plus haut.

    4. Vulnérabilités de sécurité

    Les termes utilisés ci-dessous ont la signification indiquée ci-après :

    Correction d'erreur - Correction et révision d'un bogue qui ont pour effet de corriger des erreurs ou des défauts, y compris des Vulnérabilités de sécurité dans les Livrables.

    Mesure d'atténuation - Tout moyen connu d'atténuer ou d'éviter les risques que pose une Vulnérabilité de sécurité.

    Vulnérabilité de sécurité - État de la conception, du code, du développement, de la mise en œuvre, des tests, de l'exploitation, de la prise en charge, de la maintenance ou de la gestion d'un Livrable qui permet à quelqu'un d'effectuer une attaque pouvant donner lieu à un accès non autorisé, à une exploitation, y compris : (a) l'accès à un système, son contrôle ou la perturbation de son fonctionnement; (b) l'accès aux données ou leur suppression, leur modification ou leur extraction; ou (c) des changements d'identité, d'autorisations ou de droits d'accès des utilisateurs ou des administrateurs. Il peut y avoir une Vulnérabilité de sécurité même si une telle vulnérabilité n'a pas été identifiée dans le dictionnaire Common Vulnerabilities and Exposures (CVE), et qu'aucune classification officielle ne lui a été attribuée.

    4.1 Le Fournisseur déclare et garantit qu'il : (a) utilisera les Meilleures pratiques de l'industrie pour détecter les Vulnérabilités de sécurité, notamment en procédant de manière continue à une analyse de la sécurité des applications utilisant du code source statique et dynamique, à une analyse de la sécurité du code source libre et des vulnérabilités des systèmes; et (b) respectera les exigences des présentes Modalités pour aider à prévenir, à détecter et à corriger les Vulnérabilités de sécurité dans les Livrables et dans l'ensemble des applications, des plateformes et de l'infrastructure informatiques dans lesquelles et par lesquelles il crée et fournit les Services et les Livrables.

    4.2 S'il découvre une Vulnérabilité de sécurité dans un Livrable ou dans une application, une plateforme ou une infrastructure informatique, le Fournisseur fournira à Kyndryl une Correction d'erreur et des Mesures d'atténuation pour toutes les versions et les éditions de ce Livrable, en fonction des niveaux de gravité et des délais indiqués dans le tableau qui suit.

    Niveau de gravité*

    Vulnérabilité de sécurité urgente – Vulnérabilité de sécurité présentant une sérieuse menace potentiellement mondiale. Kyndryl détermine à sa seule discrétion quelles sont les Vulnérabilités de sécurité urgentes, sans égard à la cote de base du système d'évaluation des vulnérabilités CVSS.

    Critique - Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 9 et 10,0.

    Élevé - Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 7,0 et 8,9.

    Moyen - Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 4,0 et 6,9.

    Faible – Vulnérabilité de sécurité dont la cote de base CVSS se situe entre 0,0 et 3,9.

    Délais

    Urgent

    Critique

    Élevé

    Moyen

    Faible

    4 Jours ou moins, tel que déterminé
    par le bureau du chef
    de la sécurité des informations Kyndryl

    30 Jours

    30 Jours

    90 Jours

    Selon les Meilleures pratiques de l'industrie

    Si une cote de base CVSS n'a pas déjà été attribuée à une Vulnérabilité de sécurité, le Fournisseur proposera un Niveau de gravité qui est approprié compte tenu de la nature et des circonstances associées à cette vulnérabilité.

    4.3 Dans le cas d'une Vulnérabilité de sécurité qui a été signalée publiquement et pour laquelle le Fournisseur n'a pas encore fourni à Kyndryl une Correction d'erreur ou une Mesure d'atténuation, le Fournisseur mettra en place tous les contrôles de sécurité supplémentaires techniquement praticables pouvant atténuer les risques que pose cette vulnérabilité.

    4.4 Si Kyndryl est insatisfaite de l'intervention du Fournisseur en réponse à une Vulnérabilité de sécurité dans un Livrable ou dans une application, une plateforme ou une infrastructure susmentionnée, le Fournisseur veillera à organiser rapidement une communication entre Kyndryl et un vice-président ou un dirigeant équivalent du Fournisseur qui est responsable de la livraison de la Correction d'erreur afin de discuter de cette préoccupation de Kyndryl, et ce, sans porter préjudice à aucun autre droit de Kyndryl.

    4.5 Voici des exemples de Vulnérabilités de sécurité : du code d'un tiers ou du code source libre en fin de service pour lequel il n'est plus possible de recevoir des correctifs de sécurité.

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

    2. Incidents de sécurité

    2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

    2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

    2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

    3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

    3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

    4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

    4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

    4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

    6. Prestation de Services

    6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

    7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

    8.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  6. Si tel est le cas, les articles VI (Accès aux Systèmes d'entreprise), VIII (Mesures techniques et organisationnelles et sécurité générale) et X (Coopération, vérification et correction) s'appliquent à cet accès.

    Exemples :

    • Le Fournisseur assume des responsabilités pour le développement qui l'obligent à accéder aux référentiels de Code source deKyndryl.

    Remarque : Les articles II (Mesures techniques et organisationnelles et sécurité des données), III (Protection des renseignements personnels), IV (Mesures techniques et organisationnelles et sécurité du code) et V (Développement sécurisé) peuvent aussi s'appliquer, selon les Articles de Kyndryl auxquels le Fournisseur est autorisé à accéder dans les Systèmes d'entreprise.

    Article VI - Accès aux Systèmes d'entreprise

    Cet article s'applique lorsque des employés du Fournisseur auront accès à un Système d'entreprise.

    1. Modalités générales

    1.1 Kyndryl déterminera s'il faut ou non autoriser des employés du Fournisseur à accéder aux Systèmes d'entreprise. Si Kyndryl accorde cette autorisation, le Fournisseur devra respecter les exigences du présent article et veiller à ce que ses employés qui obtiennent un tel droit d'accès respectent également ces mêmes exigences.

    1.2 Kyndryl indiquera les moyens par lesquels les employés du Fournisseur pourront accéder aux Systèmes d'entreprise, notamment si ces employés accéderont aux Systèmes d'entreprise à l'aide d'Appareils fournis par Kyndryl ou le Fournisseur.

    1.3 Les employés du Fournisseur peuvent uniquement accéder aux Systèmes d'entreprise et utiliser les Appareils que Kyndryl autorise pour un tel accès seulement pour fournir des Services. Ces employés ne sont pas autorisés à se servir des Appareils que Kyndryl autorise pour fournir des services à toute autre personne ou entité, ni pour accéder à des systèmes informatiques, des réseaux, des applications, des sites Web, des outils de courriel ou de collaboration ou des composants semblables du Fournisseur ou d'un tiers pour les Services ou en lien avec ceux-ci.

    1.4 Il est entendu que les employés du Fournisseur ne peuvent pas utiliser les Appareils autorisés par Kyndryl pour accéder aux Systèmes d'entreprise à des fins personnelles (p. ex., pour enregistrer dans ces Appareils des fichiers personnels contenant de la musique, des vidéos, des photos ou d'autres contenus semblables ou pour utiliser Internet).

    1.5 Les employés du Fournisseur ne copieront pas d'Articles de Kyndryl qui sont accessibles par l'entremise d'un Système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl, et ne copieront jamais de tels Articles de Kyndryl dans un dispositif de stockage amovible, comme une clé USB, un disque dur externe ou un autre dispositif semblable.

    1.6 À la demande de Kyndryl, le Fournisseur confirmera le nom de chacun de ses employés qui est autorisé à accéder à un Système d'entreprise, ainsi que les Systèmes d'entreprise auxquels ces employés ont accédé au cours de toute période déterminée par Kyndryl.

    1.7 Le Fournisseur avisera Kyndryl dans les vingt-quatre (24) heures lorsqu'un de ses employés ayant accès à un Système d'entreprise : (a) ne fait plus partie du Personnel du Fournisseur; ou (b) n'exerce plus d'activités qui nécessitent un tel accès. Le Fournisseur travaillera avec Kyndryl pour assurer que le droit d'accès d'un tel ex-employé ou d'un employé actuel est immédiatement révoqué.

    1.8 Le Fournisseur signalera immédiatement à Kyndryl tout incident de sécurité réel ou soupçonné (comme la perte d'un Appareil de Kyndryl ou du Fournisseur, l'accès non autorisé à un Appareil ou à des données, à des articles ou à d'autres informations de quelque nature que ce soit) et coopérera avec Kyndryl dans l'enquête menée sur de tels incidents.

    1.9 Le Fournisseur ne peut autoriser un agent, un entrepreneur indépendant ou l'employé d'un sous-contractant à accéder à un Système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, le Fournisseur devra obliger contractuellement ces personnes et leur employeur à respecter les exigences du présent article, comme si ces personnes étaient des employés du Fournisseur, et sera responsable envers Kyndryl de toutes les actions et omissions d'agir de ces personnes ou de ces employeurs en ce qui concerne l'accès à un Système d'entreprise.

    2. Logiciel des Appareils

    2.1 Le Fournisseur demandera à ses employés d'installer en temps opportun tous les logiciels des Appareils exigés par Kyndryl pour faciliter l'accès aux Systèmes d'entreprise de manière sécurisée. Le Fournisseur et ses employés ne sont pas autorisés à entraver le fonctionnement de ces logiciels ou des fonctions de sécurité activées par ces logiciels.

    2.2 Le Fournisseur et ses employés respecteront les règles de configuration des Appareils établies par Kyndryl, et travailleront avec Kyndryl pour aider à assurer que les logiciels fonctionnent comme le désire Kyndryl. Par exemple, le Fournisseur ne contournera pas un blocage de sites Web par les logiciels ou des fonctions de correction logicielle automatisées.

    2.3 Les employés du Fournisseur ne sont pas autorisés à partager avec quiconque les Appareils qu'ils utilisent pour accéder à des Systèmes d'entreprise, ni leur nom d'utilisateur, leur mot de passe ou toute information semblable utilisés avec ces Appareils.

    2.4 Si Kyndryl autorise des employés du Fournisseur à accéder à des Systèmes d'entreprise à l'aide d'Appareils du Fournisseur, ce dernier devra installer et exécuter dans ces Appareils un système d'exploitation approuvé par Kyndryl, mais aussi effectuer une mise à niveau à une nouvelle version de ce système d'exploitation ou à un nouveau système d'exploitation dans un délai raisonnable après avoir reçu de telles instructions de Kyndryl.

    3.Supervision et coopération

    3.1 Kyndryl a le droit absolu de surveiller et de contrecarrer une intrusion potentielle et de contrer d'autres menaces à la cybersécurité, de la façon, à partir des endroits et à l'aide des moyens que Kyndryl juge nécessaires ou appropriés, sans fournir de préavis au Fournisseur, aux employés du Fournisseur ou à toute autre personne. À titre d'exemple, Kyndryl peut en tout temps : (a) effectuer un test de sécurité sur tout Appareil; (b) surveiller, récupérer par des moyens techniques ou autres et passer en revue les communications (y compris les courriels issus de tout compte de messagerie), les enregistrements, les fichiers et autres éléments stockés dans un Appareil quelconque ou transmis par l'entremise d'un Système d'entreprise; et (c) acquérir une copie-image intégrale de tout Appareil. Si Kyndryl nécessite la coopération du Fournisseur pour exercer ses droits, le Fournisseur répondra entièrement et en temps opportun aux demandes de Kyndryl pour une telle coopération. Il peut s'agir, par exemple, de demandes pour configurer un logiciel de surveillance ou un autre type de logiciel dans un Appareil, de partager des détails sur les connexions à un système, de participer aux mesures d'intervention en cas d'incident avec un Appareil, de fournir un accès physique à un Appareil pour permettre à Kyndryl d'obtenir une copie-image intégrale ou d'autres demandes semblables et connexes.

    3.2 Si Kyndryl croit qu'une telle mesure est nécessaire pour se protéger, elle peut révoquer en tout temps le droit d'accès aux Systèmes d'entreprise pour un ou l'ensemble des employés du Fournisseur, sans fournir de préavis au Fournisseur, aux employés du Fournisseur ou à toute autre personne.

    3.3 Les droits de Kyndryl ne sont pas bloqués, affaiblis ou restreints par aucune disposition du Document transactionnel, du contrat de base connexe ou de tout autre contrat conclu entre les parties, y compris toute disposition pouvant exiger de conserver des données, des articles ou d'autres informations de quelque nature que ce soit à un ou des endroits définis, ou que seules des personnes situées à un ou des endroits définis aient accès à ces données, articles ou autres informations.

    4.Appareils de Kyndryl

    4.1 Kyndryl conservera le titre de propriété de tous ses Appareils, alors que le Fournisseur assumera le risque de perte de ces Appareils, y compris en raison d'un vol, de vandalisme ou de négligence. Le Fournisseur ne modifiera pas ou ne permettra pas de modifier les Appareils de Kyndryl sans obtenir au préalable le consentement écrit de Kyndryl. La modification d'un Appareil comprend notamment toute modification apportée aux logiciels, aux applications, à la conception et à la configuration de la sécurité de l'Appareil ou à sa conception physique, mécanique ou électrique.

    4.2 Le Fournisseur retournera tous les Appareils de Kyndryl dans les cinq (5) jours ouvrables suivant la fin du besoin d'utiliser ces Appareils pour fournir les Services. Il devra aussi, si Kyndryl le demande, détruire simultanément dans ces Appareils l'ensemble des données, des articles et d'autres informations de quelque nature que ce soit, sans conserver aucune copie, en suivant les Meilleures pratiques de l'industrie, afin d'effacer de manière permanente toutes ces données, articles et autres informations. Le Fournisseur emballera et retournera à ses propres frais les Appareils de Kyndryl à l'endroit indiqué par Kyndryl, et ce, dans la même condition qu'ils étaient au moment de leur livraison au Fournisseur, exception faite de l'usure raisonnable. Tout manquement du Fournisseur à l'une ou l'autre des obligations définies dans le présent paragraphe 4.2 constituera une violation substantielle du Document transactionnel, du contrat de base connexe et de tout contrat afférent conclu entre les parties. Un contrat est considéré comme étant «afférent» si l'accès à un Système d'entreprise facilite les tâches ou d'autres activités du Fournisseur aux termes de ce même contrat.

    4.3 Kyndryl fournira de l'assistance pour ses Appareils et procédera notamment à leur inspection et à leur maintenance préventive et corrective. Le Fournisseur doit aviser promptement Kyndryl de tout besoin de maintenance corrective.

    4.4 Pour les logiciels qui appartiennent à Kyndryl ou que Kyndryl a le droit de fournir sous licence, Kyndryl accorde au Fournisseur un droit temporaire d'utiliser, d'enregistrer et de faire suffisamment de copies pour permettre son utilisation autorisée des Appareils de Kyndryl. Il est interdit au Fournisseur de transférer les logiciels à quiconque, de faire des copies de l'information sur la licence des logiciels ou de désassembler, de décompiler, de rétroconcevoir ou de convertir autrement les logiciels, à moins que cela ne soit expressément permis par les lois applicables, sans possibilité de renonciation contractuelle.

    5. Mises à jour

    5.1 Nonobstant toute disposition contraire dans le Document transactionnel ou le contrat de base connexe conclu entre les parties, dès l'émission d'un avis écrit au Fournisseur et sans devoir obtenir le consentement de ce dernier, Kyndryl peut mettre à jour, compléter ou modifier autrement le présent article pour répondre à une exigence des lois applicables ou à une obligation du Client, afin de refléter toute évolution dans les meilleures pratiques de sécurité ou comme Kyndryl le juge nécessaire pour se protéger ou pour protéger les Systèmes d'entreprise.

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

    2. Incidents de sécurité

    2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

    2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

    2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

    3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

    3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

    4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

    4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

    4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

    6. Prestation de Services

    6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

    7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

    8.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  7. Si tel est le cas, les articles VI (Accès aux Systèmes d'entreprise), VII (Augmentation des effectifs) et X (Coopération, vérification et correction) s'appliquent.

    Remarque : Les articles II (Mesures techniques et organisationnelles et sécurité des données), III (Protection des renseignements personnels), IV (Mesures techniques et organisationnelles et sécurité du code) et V (Développement sécurisé) peuvent aussi s'appliquer, selon les Articles de Kyndryl auxquels le Fournisseur est autorisé à accéder dans les Systèmes d'entreprise.

    Article VI - Accès aux Systèmes d'entreprise

    Cet article s'applique lorsque des employés du Fournisseur auront accès à un Système d'entreprise.

    1. Modalités générales

    1.1 Kyndryl déterminera s'il faut ou non autoriser des employés du Fournisseur à accéder aux Systèmes d'entreprise. Si Kyndryl accorde cette autorisation, le Fournisseur devra respecter les exigences du présent article et veiller à ce que ses employés qui obtiennent un tel droit d'accès respectent également ces mêmes exigences.

    1.2 Kyndryl indiquera les moyens par lesquels les employés du Fournisseur pourront accéder aux Systèmes d'entreprise, notamment si ces employés accéderont aux Systèmes d'entreprise à l'aide d'Appareils fournis par Kyndryl ou le Fournisseur.

    1.3 Les employés du Fournisseur peuvent uniquement accéder aux Systèmes d'entreprise et utiliser les Appareils que Kyndryl autorise pour un tel accès seulement pour fournir des Services. Ces employés ne sont pas autorisés à se servir des Appareils que Kyndryl autorise pour fournir des services à toute autre personne ou entité, ni pour accéder à des systèmes informatiques, des réseaux, des applications, des sites Web, des outils de courriel ou de collaboration ou des composants semblables du Fournisseur ou d'un tiers pour les Services ou en lien avec ceux-ci.

    1.4 Il est entendu que les employés du Fournisseur ne peuvent pas utiliser les Appareils autorisés par Kyndryl pour accéder aux Systèmes d'entreprise à des fins personnelles (p. ex., pour enregistrer dans ces Appareils des fichiers personnels contenant de la musique, des vidéos, des photos ou d'autres contenus semblables ou pour utiliser Internet).

    1.5 Les employés du Fournisseur ne copieront pas d'Articles de Kyndryl qui sont accessibles par l'entremise d'un Système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl, et ne copieront jamais de tels Articles de Kyndryl dans un dispositif de stockage amovible, comme une clé USB, un disque dur externe ou un autre dispositif semblable.

    1.6 À la demande de Kyndryl, le Fournisseur confirmera le nom de chacun de ses employés qui est autorisé à accéder à un Système d'entreprise, ainsi que les Systèmes d'entreprise auxquels ces employés ont accédé au cours de toute période déterminée par Kyndryl.

    1.7 Le Fournisseur avisera Kyndryl dans les vingt-quatre (24) heures lorsqu'un de ses employés ayant accès à un Système d'entreprise : (a) ne fait plus partie du Personnel du Fournisseur; ou (b) n'exerce plus d'activités qui nécessitent un tel accès. Le Fournisseur travaillera avec Kyndryl pour assurer que le droit d'accès d'un tel ex-employé ou d'un employé actuel est immédiatement révoqué.

    1.8 Le Fournisseur signalera immédiatement à Kyndryl tout incident de sécurité réel ou soupçonné (comme la perte d'un Appareil de Kyndryl ou du Fournisseur, l'accès non autorisé à un Appareil ou à des données, à des articles ou à d'autres informations de quelque nature que ce soit) et coopérera avec Kyndryl dans l'enquête menée sur de tels incidents.

    1.9 Le Fournisseur ne peut autoriser un agent, un entrepreneur indépendant ou l'employé d'un sous-contractant à accéder à un Système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, le Fournisseur devra obliger contractuellement ces personnes et leur employeur à respecter les exigences du présent article, comme si ces personnes étaient des employés du Fournisseur, et sera responsable envers Kyndryl de toutes les actions et omissions d'agir de ces personnes ou de ces employeurs en ce qui concerne l'accès à un Système d'entreprise.

    2. Logiciel des Appareils

    2.1 Le Fournisseur demandera à ses employés d'installer en temps opportun tous les logiciels des Appareils exigés par Kyndryl pour faciliter l'accès aux Systèmes d'entreprise de manière sécurisée. Le Fournisseur et ses employés ne sont pas autorisés à entraver le fonctionnement de ces logiciels ou des fonctions de sécurité activées par ces logiciels.

    2.2 Le Fournisseur et ses employés respecteront les règles de configuration des Appareils établies par Kyndryl, et travailleront avec Kyndryl pour aider à assurer que les logiciels fonctionnent comme le désire Kyndryl. Par exemple, le Fournisseur ne contournera pas un blocage de sites Web par les logiciels ou des fonctions de correction logicielle automatisées.

    2.3 Les employés du Fournisseur ne sont pas autorisés à partager avec quiconque les Appareils qu'ils utilisent pour accéder à des Systèmes d'entreprise, ni leur nom d'utilisateur, leur mot de passe ou toute information semblable utilisés avec ces Appareils.

    2.4 Si Kyndryl autorise des employés du Fournisseur à accéder à des Systèmes d'entreprise à l'aide d'Appareils du Fournisseur, ce dernier devra installer et exécuter dans ces Appareils un système d'exploitation approuvé par Kyndryl, mais aussi effectuer une mise à niveau à une nouvelle version de ce système d'exploitation ou à un nouveau système d'exploitation dans un délai raisonnable après avoir reçu de telles instructions de Kyndryl.

    3.Supervision et coopération

    3.1 Kyndryl a le droit absolu de surveiller et de contrecarrer une intrusion potentielle et de contrer d'autres menaces à la cybersécurité, de la façon, à partir des endroits et à l'aide des moyens que Kyndryl juge nécessaires ou appropriés, sans fournir de préavis au Fournisseur, aux employés du Fournisseur ou à toute autre personne. À titre d'exemple, Kyndryl peut en tout temps : (a) effectuer un test de sécurité sur tout Appareil; (b) surveiller, récupérer par des moyens techniques ou autres et passer en revue les communications (y compris les courriels issus de tout compte de messagerie), les enregistrements, les fichiers et autres éléments stockés dans un Appareil quelconque ou transmis par l'entremise d'un Système d'entreprise; et (c) acquérir une copie-image intégrale de tout Appareil. Si Kyndryl nécessite la coopération du Fournisseur pour exercer ses droits, le Fournisseur répondra entièrement et en temps opportun aux demandes de Kyndryl pour une telle coopération. Il peut s'agir, par exemple, de demandes pour configurer un logiciel de surveillance ou un autre type de logiciel dans un Appareil, de partager des détails sur les connexions à un système, de participer aux mesures d'intervention en cas d'incident avec un Appareil, de fournir un accès physique à un Appareil pour permettre à Kyndryl d'obtenir une copie-image intégrale ou d'autres demandes semblables et connexes.

    3.2 Si Kyndryl croit qu'une telle mesure est nécessaire pour se protéger, elle peut révoquer en tout temps le droit d'accès aux Systèmes d'entreprise pour un ou l'ensemble des employés du Fournisseur, sans fournir de préavis au Fournisseur, aux employés du Fournisseur ou à toute autre personne.

    3.3 Les droits de Kyndryl ne sont pas bloqués, affaiblis ou restreints par aucune disposition du Document transactionnel, du contrat de base connexe ou de tout autre contrat conclu entre les parties, y compris toute disposition pouvant exiger de conserver des données, des articles ou d'autres informations de quelque nature que ce soit à un ou des endroits définis, ou que seules des personnes situées à un ou des endroits définis aient accès à ces données, articles ou autres informations.

    4.Appareils de Kyndryl

    4.1 Kyndryl conservera le titre de propriété de tous ses Appareils, alors que le Fournisseur assumera le risque de perte de ces Appareils, y compris en raison d'un vol, de vandalisme ou de négligence. Le Fournisseur ne modifiera pas ou ne permettra pas de modifier les Appareils de Kyndryl sans obtenir au préalable le consentement écrit de Kyndryl. La modification d'un Appareil comprend notamment toute modification apportée aux logiciels, aux applications, à la conception et à la configuration de la sécurité de l'Appareil ou à sa conception physique, mécanique ou électrique.

    4.2 Le Fournisseur retournera tous les Appareils de Kyndryl dans les cinq (5) jours ouvrables suivant la fin du besoin d'utiliser ces Appareils pour fournir les Services. Il devra aussi, si Kyndryl le demande, détruire simultanément dans ces Appareils l'ensemble des données, des articles et d'autres informations de quelque nature que ce soit, sans conserver aucune copie, en suivant les Meilleures pratiques de l'industrie, afin d'effacer de manière permanente toutes ces données, articles et autres informations. Le Fournisseur emballera et retournera à ses propres frais les Appareils de Kyndryl à l'endroit indiqué par Kyndryl, et ce, dans la même condition qu'ils étaient au moment de leur livraison au Fournisseur, exception faite de l'usure raisonnable. Tout manquement du Fournisseur à l'une ou l'autre des obligations définies dans le présent paragraphe 4.2 constituera une violation substantielle du Document transactionnel, du contrat de base connexe et de tout contrat afférent conclu entre les parties. Un contrat est considéré comme étant «afférent» si l'accès à un Système d'entreprise facilite les tâches ou d'autres activités du Fournisseur aux termes de ce même contrat.

    4.3 Kyndryl fournira de l'assistance pour ses Appareils et procédera notamment à leur inspection et à leur maintenance préventive et corrective. Le Fournisseur doit aviser promptement Kyndryl de tout besoin de maintenance corrective.

    4.4 Pour les logiciels qui appartiennent à Kyndryl ou que Kyndryl a le droit de fournir sous licence, Kyndryl accorde au Fournisseur un droit temporaire d'utiliser, d'enregistrer et de faire suffisamment de copies pour permettre son utilisation autorisée des Appareils de Kyndryl. Il est interdit au Fournisseur de transférer les logiciels à quiconque, de faire des copies de l'information sur la licence des logiciels ou de désassembler, de décompiler, de rétroconcevoir ou de convertir autrement les logiciels, à moins que cela ne soit expressément permis par les lois applicables, sans possibilité de renonciation contractuelle.

    5. Mises à jour

    5.1 Nonobstant toute disposition contraire dans le Document transactionnel ou le contrat de base connexe conclu entre les parties, dès l'émission d'un avis écrit au Fournisseur et sans devoir obtenir le consentement de ce dernier, Kyndryl peut mettre à jour, compléter ou modifier autrement le présent article pour répondre à une exigence des lois applicables ou à une obligation du Client, afin de refléter toute évolution dans les meilleures pratiques de sécurité ou comme Kyndryl le juge nécessaire pour se protéger ou pour protéger les Systèmes d'entreprise.

    Article VII - Augmentation des effectifs

    Cet article s'applique lorsque des employés du Fournisseur travailleront à temps plein pour fournir des Services au nom de Kyndryl, rendront tous ces Services dans les locaux de Kyndryl, dans les locaux d'un Client ou à partir de leur domicile et uniquement à l'aide d'Appareils de Kyndryl pour accéder aux Systèmes d'entreprise.

    1. Accès aux Systèmes d'entreprise et aux environnements de Kyndryl

    1.1 Le Fournisseur peut fournir des Services uniquement en accédant aux Systèmes d'entreprise à l'aide des Appareils fournis par Kyndryl.

    1.2 Le Fournisseur respectera les modalités établies dans l'article VI (Accès aux Systèmes d'entreprise) pour tous les accès aux Systèmes d'entreprise.

    1.3 Les Appareils fournis par Kyndryl sont les seuls Appareils que peuvent utiliser le Fournisseur et ses employés pour fournir les Services, et seuls le Fournisseur et ses employés peuvent utiliser ces Appareils. Il est entendu que le Fournisseur ou ses employés ne pourront en aucun cas utiliser d'autres appareils pour fournir des Services ni utiliser les Appareils de Kyndryl pour tout autre client du Fournisseur ou à toute autre fin que la prestation de Services à Kyndryl.

    1.4 Les employés du Fournisseur qui utilisent les Appareils de Kyndryl peuvent partager entre eux des Articles de Kyndryl et stocker de tels articles dans les Appareils de Kyndryl, mais uniquement dans la mesure où ce partage et ce stockage sont nécessaires pour réussir la prestation des Services.

    1.5 Exception faite du stockage susmentionné dans les Appareils de Kyndryl, le Fournisseur ou ses employés ne peuvent en aucun cas retirer des Articles de Kyndryl des référentiels, des environnements, des outils ou de l'infrastructure de Kyndryl dans lesquels Kyndryl les conserve.

    1.6 Il est entendu que le Fournisseur et ses employés ne sont pas autorisés à transférer des Articles de Kyndryl dans un référentiel, un environnement, une infrastructure ou un autre système, un réseau ou autre composant semblable du Fournisseur, sans obtenir au préalable le consentement écrit de Kyndryl.

    1.7 L'article VIII (Mesures techniques et organisationnelles et sécurité générale) ne s'applique pas aux Services du Fournisseur lorsque les employés du Fournisseur travailleront à temps plein pour fournir des Services pour Kyndryl, fourniront tous ces Services dans les locaux de Kyndryl, les locaux d'un Client ou à partir de leur domicile et fourniront les Services uniquement en utilisant les Appareils de Kyndryl pour accéder aux Systèmes d'entreprise. Dans le cas contraire, l'article VIII s'applique aux Services du Fournisseur.

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  8. Si tel est le cas, les articles II (Mesures techniques et organisationnelles et sécurité des données), VIII (Mesures techniques et organisationnelles et sécurité générale), IX (Certifications et rapports pour les Services hébergés) et X (Coopération, vérification et correction) s'appliquent. L'article III (Protection des renseignements personnels) s'appliquera également si le Fournisseur a accès à des Données à caractère personnel de Kyndryl lors de la prestation d'un Service d'hébergement.

    Exemples :

    • Le Fournisseur fournit à Kyndryl une offre «sous forme de service», comme un logiciel-service, une plateforme-service ou une infrastructure-service.

    Article II - Mesures techniques et organisationnelles et sécurité des données

    Cet article s'applique lorsque le Fournisseur Traite des Données de Kyndryl autres que les Coordonnées professionnelles de Kyndryl. Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de Traitement illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Utilisation des données

    1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, dont des Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres. À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de Vendre des Données de Kyndryl.

    1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément.

    2. Demandes de tiers et confidentialité

    2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si un gouvernement ou une autorité de réglementation demande d'accéder à des Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

    2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables auront cet accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et ces Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.

    3. Retour ou suppression des Données de Kyndryl

    3.1 Selon le choix de Kyndryl, le Fournisseur supprimera ou retournera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande. Si Kyndryl exige la suppression, le Fournisseur rendra les données illisibles et impossibles à réassembler ou à reconstituer, conformément aux Meilleures pratiques de l'industrie, et certifiera la suppression à Kyndryl. Si Kyndryl exige le retour des Données de Kyndryl, le Fournisseur retournera ces Données en respectant le délai et les instructions écrites raisonnables de Kyndryl.

    Article III - Protection des renseignements personnels

    Cet article s'applique lorsque le Fournisseur Traite des Données à caractère personnel de Kyndryl.

    1. Traitement

    1.1 Kyndryl désigne le Fournisseur à titre de Sous-traitant pour Traiter les Données à caractère personnel de Kyndryl, aux seules fins de fournir les Livrables et les Services, conformément aux instructions de Kyndryl, y compris celles incluses dans les présentes Modalités, le Document transactionnel et le contrat de base connexe conclu entre les parties. Si le Fournisseur ne respecte pas une instruction, Kyndryl peut mettre fin à la partie concernée des Services en remettant un avis écrit au Fournisseur. Si le Fournisseur estime qu'une instruction enfreint une loi sur la protection des données, il doit en informer promptement Kyndryl et en respectant tout délai exigé par la loi.

    1.2 Le Fournisseur respectera l'ensemble des lois sur la protection des données qui s'appliquent aux Services et aux Livrables.

    1.3 Les éléments d'information suivants concernant les Données de Kyndryl sont définis dans une Annexe du Document transactionnel ou dans le Document transactionnel lui-même :

    (a) catégories de Personnes concernées;

    (b) types de Données à caractère personnel de Kyndryl;

    (c) actions sur les données et activités de Traitement;

    (d) durée et fréquence du Traitement; et

    (e) liste des Sous-traitants ultérieurs.

    2. Mesures techniques et organisationnelles

    2.1 Le Fournisseur mettra en œuvre et maintiendra en vigueur les mesures techniques et organisationnelles définies dans l'article II (Mesures techniques et organisationnelles et sécurité des données) et l'article VIII (Mesures techniques et organisationnelles et sécurité générale), afin d'assurer un niveau de sécurité adapté au risque inhérent que présentes les Services et les Livrables. Le Fournisseur certifie et comprend les restrictions énoncées dans les articles II, III et VIII, et s'engage à les respecter.

    3. Droits et demandes des Personnes concernées

    3.1 Le Fournisseur informera promptement Kyndryl (c.-à-d., dans un délai qui permet à Kyndryl et à tout Autre Responsable du traitement de s'acquitter de leurs obligations juridiques) des demandes qu'il reçoit de Personnes concernées pour exercer leurs droits (notamment, concernant la rectification, la suppression ou le blocage de données) à l'égard des Données à caractère personnel de Kyndryl. Le Fournisseur peut également diriger rapidement une Personne concernée faisant une telle demande vers Kyndryl. Le Fournisseur ne répondra à aucune demande de Personnes concernées, à moins que la loi l'y oblige ou que Kyndryl lui donne des instructions écrites à cet effet.

    3.2 Si Kyndryl est obligée de fournir de l'information relative à des Données à caractère personnel de Kyndryl à d'Autres Responsables du traitement ou à des tiers (p. ex., à des Personnes concernées ou des autorités de réglementation), le Fournisseur offrira immédiatement son assistance à Kyndryl en lui fournissant l'information et en prenant toute mesure raisonnable demandée par Kyndryl, dans un délai qui permet à Kyndryl de répondre en temps opportun aux Autres Responsables du traitement ou aux tiers.

    4. Sous-traitants ultérieurs

    4.1 Le Fournisseur transmettra à Kyndryl un préavis écrit avant d'ajouter un nouveau Sous-traitant ultérieur ou d'accroître l'étendue du Traitement d'un Sous-traitant ultérieur actuel. Ce préavis écrit devra inclure le nom du Sous-traitant ultérieur et décrire la nouvelle étendue ou l'étendue accrue du Traitement. Kyndryl peut refuser en tout temps, pour des motifs raisonnables, la nomination d'un nouveau Sous-traitant ultérieur ou l'étendue accrue du Traitement. En pareil cas, les parties travailleront ensemble de bonne foi en vue de s'entendre sur ce sujet. Sous réserve du droit de refus en tout temps de Kyndryl, le Fournisseur peut mandater le nouveau Sous-traitant ultérieur ou étendre l'étendue du Traitement du Sous-traitant ultérieur en place si Kyndryl n'a pas soulevé d'objection dans les trente (30) Jours suivant la date du préavis écrit du Fournisseur.

    4.2 Le Fournisseur imposera les obligations de protection, de sécurité et de certification définies dans les présentes Modalités à chaque Sous-traitant ultérieur approuvé, avant que ce dernier puisse Traiter des Données de Kyndryl. Le Fournisseur est entièrement responsable envers Kyndryl du respect de ces obligations par chaque Sous-traitant ultérieur.

    5. Traitement de données transfrontalier

    Les termes utilisés ci-dessous ont la signification indiquée ci-après :

    Pays adéquat - Pays offrant un niveau adéquat de protection des données en ce qui concerne le transfert pertinent, conformément aux lois sur la protection des données applicables ou aux décisions des autorités de réglementation.

    Importateur de données - Sous-traitant ou Sous-traitant ultérieur qui n'est pas établi dans un Pays adéquat.

    Clauses contractuelles types de l'Union européenne - Clauses contractuelles types de l'Union européenne (Décision de la Commission 2021/914), avec application des clauses facultatives, à l'exception de l'option 1 de la clause 9 a) et de l'option 2 de la clause 17, telles que publiées officiellement à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

    Clauses contractuelles types de la Serbie - Clauses contractuelles types de la Serbie telles qu'adoptées par le «Commissaire serbe à l'information d'importance publique et à la protection des données à caractère personnel», publié à l'adresse https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

    Clauses contractuelles types - Clauses contractuelles requises par les lois sur la protection des données applicables pour le transfert de Données à caractère personnel aux Sous-traitants qui ne sont pas établis dans un Pays adéquat.

    Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de données («Addenda du Royaume-Uni») - Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de données, tel que publié officiellement à l'adresse https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ .

    5.1 Le Fournisseur ne transférera pas ou ne divulguera pas outre-frontière (y compris par un accès à distance) des Données à caractère personnel de Kyndryl, sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, les parties coopéreront pour assurer le respect des lois sur la protection des données applicables. Si ces lois exigent l'utilisation de Clauses contractuelles types, le Fournisseur acceptera promptement lesdites clauses à la demande de Kyndryl.

    5.2 Dispositions relatives aux Clauses contractuelles types de l'Union européenne :

    (a)Si le Fournisseur n'est pas établi dans un Pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de l'Union européenne en tant qu'Importateur de Données avec Kyndryl, et conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 9 des Clauses contractuelles types de l'Union européenne, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    (i) Le module 1 des Clauses contractuelles types de l'Union européenne ne s'applique pas, à moins que les parties en conviennent autrement par écrit.

    (ii) Le module 2 des Clauses contractuelles types de l'Union européenne s'applique lorsque Kyndryl est un Responsable du traitement et le Module 3 s'applique lorsque Kyndryl est un Sous-traitant. Conformément à la clause 13 des Clauses contractuelles types de l'Union européenne, lorsque les modules 2 ou 3 s'appliquent, les parties conviennent que (1) les Clauses contractuelles types de l'Union européenne seront régies par la loi de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente et (2) que tout litige découlant des Clauses contractuelles types de l'Union européenne sera soumis aux tribunaux de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente. Si la loi mentionnée au point (1) n'autorise pas les droits des tiers bénéficiaires, les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et tout litige découlant des Clauses contractuelles types de l'Union européenne en vertu du point (2) sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

    (b) Si le Fournisseur est établi dans l'Espace économique européen et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données 2016/679, le module 4 des Clauses contractuelles types de l'Union européenne s'applique, et le Fournisseur conclut par les présentes des Clauses contractuelles types de l'Union européenne en tant qu'exportateur de données avec Kyndryl. Si le module 4 des Clauses contractuelles types de l'Union européenne s'applique, les parties conviennent que les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et que tout litige découlant des Clauses contractuelles types de l'Union européenne sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

    (c) Si d'Autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent de devenir partie aux Clauses contractuelles types de l'Union européenne conformément à la «clause d'amarrage» de la Clause 7, le Fournisseur accepte par les présentes une telle demande.

    (d) Les mesures techniques et organisationnelles requises pour remplir l'Annexe II des Clauses contractuelles types de l'Union européenne se trouvent dans les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties.

    (e) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

    5.3 Dispositions relatives à ou aux Addendas du Royaume-Uni :

    (a) Si le Fournisseur n'est pas établi dans un Pays adéquat : il (i) convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Importateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées ci-dessus (selon le cas, en fonction des circonstances des activités de traitement); et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    (b) Si le Fournisseur est établi dans un Pays adéquat et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé au droit britannique en vertu de la Loi de 2018 sur le retrait de l'Union européenne), il convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Exportateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées au paragraphe 5.2(b) ci-dessus.

    (c) Si d'autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent à devenir partie à ou aux Addendas du Royaume-Uni, le Fournisseur convient par les présentes d'accepter une telle demande.

    (d) Les informations de l'Annexe (telles que présentées dans le tableau 3) dans le ou les Addendas du Royaume-Uni se trouvent dans les Clauses contractuelles types de l'Union européenne applicables, les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties. Ni Kyndryl ni le Fournisseur ne peuvent mettre fin à ou aux Addendas du Royaume-Uni lorsque ceux-ci changent.

    (e) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

    5.4 Dispositions relatives aux Clauses contractuelles types de la Serbie :

    (a) Si le Fournisseur n'est pas établi dans un Pays adéquat, il : (i) convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie, en son propre nom en tant que Sous-traitant, avec Kyndryl; et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 8 des Clauses contractuelles types de la Serbie, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    (b) Si le Fournisseur est établi dans un Pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie avec Kyndryl au nom de chaque Sous-traitant ultérieur situé dans un Pays inadéquat. Si le Fournisseur est incapable d'accepter lesdites clauses au nom d'un Sous-traitant ultérieur, il convient de fournir à Kyndryl le document d'acceptation des Clauses contractuelles types de la Serbie dûment signé par le Sous-traitant ultérieur en question. Kyndryl contresignera ensuite ce document avant de permettre au Sous-traitant ultérieur de Traiter des Données à caractère personnel de Kyndryl.

    (c) Les Clauses contractuelles types de la Serbie convenues par Kyndryl et le Fournisseur lieront directement le Responsable du traitement et le Sous-traitant ou seront transférées dans un contrat écrit conclu entre le Sous-traitant et le Sous-traitant ultérieur, selon ce qu'exige la situation. En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de la Serbie, ces dernières prévaudront.

    (d) L'information requise pour remplir les Appendices 1 à 8 des Clauses contractuelles types de la Serbie, afin de régir le transfert de Données à caractère personnel à un Pays inadéquat, se trouve dans les présentes modalités et dans l'Annexe du Document transactionnel ou dans le Document transactionnel lui-même.

    6. Assistance et registres

    6.1 Selon la nature du Traitement, le Fournisseur aidera Kyndryl en mettant en place les mesures techniques et organisationnelles appropriées pour remplir les obligations associées aux demandes et aux droits des Personnes concernées. Le Fournisseur aidera également Kyndryl à assurer le respect des obligations concernant la sécurité du Traitement, la notification et la communication d'une Atteinte à la sécurité et la création d'analyses d'impact sur la protection des données, y compris la consultation préalable de l'autorité de réglementation pertinente, si nécessaire, en tenant compte de l'information qui est à la disposition de Fournisseur.

    6.2 Le Fournisseur tiendra à jour dans un registre, le nom et les coordonnées de chaque Sous-traitant ultérieur, y compris du représentant et du délégué à la protection des données de chaque Sous-traitant ultérieur. Le Fournisseur remettra ce registre à Kyndryl sur demande, dans un délai qui permettra à Kyndryl de répondre en temps opportun à une demande d'un Client ou d'un tiers.

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

    2. Incidents de sécurité

    2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

    2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

    2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

    3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

    3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

    4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

    4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

    4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

    6. Prestation de Services

    6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

    7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

    8.

    Article IX - Certifications et rapports pour les Services hébergés

    Cet article s'applique lorsque le Fournisseur fournit un Service hébergé à Kyndryl.

    1.1 Le Fournisseur obtiendra chacune des certifications et chacun des rapports suivants selon l'échéancier défini ci-après.

    Certifications et rapports

    Échéancier

    Pour la prestation de Services hébergés par le Fournisseur

    Certification de conformité à la norme ISO 27001, Technologies de l'information, techniques de sécurité, systèmes de management de la sécurité de l'information attribuée par un auditeur indépendant réputé

    ou

    SOC 2 Type 2 : Rapport par un auditeur indépendant réputé reflétant son examen des systèmes, des contrôles et des opérations du Fournisseur conformément à une certification SOC 2 Type 2 (comprenant au minimum la sécurité, la disponibilité et la confidentialité)

    Le Fournisseur obtiendra la certification ISO 27001 dans les 120 Jours qui suivent la date d'entrée en vigueur du Document transactionnel* ou la Date de prise en charge**, puis renouvellera cette certification tous les douze (12) mois par la suite, par une évaluation menée par un auditeur indépendant réputé (en fonction de la plus récente version de la norme).

    Le Fournisseur obtiendra le rapport SOC 2 Type 2 au plus tard 240 Jours après la date d'entrée en vigueur du Document transactionnel* ou la Date de prise en charge**, puis obtiendra, tous les 12 mois par la suite, un nouveau rapport produit par un auditeur indépendant réputé reflétant son examen des systèmes, des contrôles et des opérations du Fournisseur conformément à la norme SOC 2 Type 2 (y compris, au minimum, la sécurité, la confidentialité et la disponibilité).

    * Si le Fournisseur rend un Service hébergé à compter de la date d'entrée en vigueur.

    ** La date à laquelle le Fournisseur prend en charge une obligation de fournir un Service hébergé.

    1.2 Si le Fournisseur en fait la demande par écrit et que Kyndryl approuve cette demande par écrit, le Fournisseur pourra obtenir une certification ou un rapport essentiellement équivalents à ceux mentionnés plus haut. Il est toutefois entendu que les délais définis dans le tableau plus haut s'appliqueraient alors tels quels à la certification ou au rapport essentiellement équivalents.

    1.3 Le Fournisseur s'engage à : (a) fournir promptement à Kyndryl, sur demande, une copie de chaque certification et de chaque rapport qu'il est tenu d'obtenir; et (b) corriger rapidement toute faiblesse dans les contrôles internes relevée lors des examens SOC 2 ou les examens essentiellement équivalents (avec l'approbation de Kyndryl).

    Article X - Coopération, vérification et correction

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

    1. Coopération du Fournisseur

    1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

    2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

    4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

View All Terms

Définitions
Les termes qui comportent une majuscule initiale ont la signification qui leur est donnée ci-dessous, autrement dans les présentes Modalités ou dans un Document transactionnel ou un contrat de base connexe conclu entre les parties. Les termes «Services» et «Livrables» sont probablement définis dans le Document transactionnel ou le contrat de base connexe conclu entre les parties. Sinon, le terme «Services» désigne des Services hébergés, des services-conseils, d'installation, de personnalisation, de maintenance, d'assistance, d'augmentation des effectifs, de gestion, techniques ou d'autres travaux que le Fournisseur effectue pour Kyndryl, tel que décrit dans le Document transactionnel. Le terme «Livrables» désigne pour sa part des logiciels, des plateformes, des applications ou d'autres produits ou éléments et leurs composants respectifs que le Fournisseur fournit à Kyndryl, tel que spécifié dans le Document transactionnel.

Coordonnées professionnelles - Données à caractère personnel qui sont utilisées pour identifier ou authentifier une personne ou communiquer avec elle dans son rôle professionnel ou en entreprise. Le plus souvent, les Coordonnées professionnelles comprennent le nom d'une personne, de même que son adresse de courriel, son adresse municipale et son numéro de téléphone au travail ou des renseignements semblables.

Service infonuagique - Toute offre «sous forme de service» que le Fournisseur héberge ou gère, dont un «logiciel-service», une «plateforme-service» et une «infrastructure-service».

Responsable du traitement - Personne physique ou morale, autorité publique, agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données à caractère personnel.

Système d'entreprise - Système informatique, plateforme, application, réseau ou élément semblable sur lesquels s'appuie Kyndryl pour mener ses activités d'entreprise, y compris ceux qui se trouvent sur ou qui sont accessibles par l'intranet de Kyndryl, l'Internet ou autrement.

Client - Client de Kyndryl.

Personne concernée - Personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Jour - Jour civil, à moins que jour ne soit immédiatement suivi du mot «ouvrable», auquel cas il s'agit d'un jour ouvrable.

Appareil - Poste de travail, ordinateur portable, tablette, téléphone intelligent ou assistant numérique personnel fourni par Kyndryl ou le Fournisseur.

Manipuler ou Manipulation - Accès à la Technologie Kyndryl, ou utilisation et stockage et toute autre manipulation de celle-ci.

Service hébergé - Service d'un centre de données, service d'application, service informatique ou Service infonuagique que le Fournisseur héberge ou gère.

Données de Kyndryl - Ensemble des fichiers électroniques, des articles, des textes, des fichiers audio et vidéo, des images et autres données, y compris les Données à caractère personnel et Données à caractère non personnel de Kyndryl, que Kyndryl, son personnel, un Client, l'employé d'un Client ou toute autre personne ou entité, dans le cadre du Document transactionnel, remet au Fournisseur, téléverse ou stocke dans un Service hébergé, ou auquel le Fournisseur a accès autrement et qu'il Traite pour le compte de Kyndryl.

Articles de Kyndryl - Ensemble des Données de Kyndryl et de la Technologie Kyndryl.

Données à caractère personnel de Kyndryl - Données à caractère personnel que le Fournisseur Traite pour le compte de Kyndryl. Les Données à caractère personnel de Kyndryl comprennent les Données à caractère personnel que Kyndryl gère et Traite au nom d'Autres Responsables du traitement.

Code source de Kyndryl - Code source qui appartient à Kyndryl ou que Kyndryl fournit sous licence.

Technologie Kyndryl - Code source, autre code, langages de description, micrologiciels, logiciels, outils, conceptions, schémas, représentations graphiques, clés intégrées, certificats et autres informations, articles, ressources, documents et technologies que Kyndryl a directement ou indirectement accordé sous licence au Fournisseur ou mis autrement à sa disposition en lien avec le Document transactionnel ou un contrat connexe conclu entre Kyndryl et le Fournisseur.

Comprend et y compris - Avec ou sans majuscule initiale, ces termes ne peuvent pas être interprétés comme étant des restrictions.

Meilleures pratiques de l'industrie - Pratiques qui respectent celles qui sont recommandées ou exigées par la National Institute of Standards and Technology, l'Organisation internationale de normalisation ou tout autre organisme jouissant d'une réputation et présentant un savoir-faire semblables.

TI - Technologies de l'information.

Autre Responsable du traitement - Toute entité autre que Kyndryl qui agit en tant que Responsable du traitement des Données de Kyndryl, comme une société affiliée de Kyndryl, un Client ou la société affiliée d'un Client.

Logiciels sur site - Logiciels que Kyndryl ou un sous-contractant exécute, installe ou exploite sur les serveurs ou systèmes de Kyndryl ou du sous-contractant. Pour plus de clarté, les Logiciels sur site constituent un Livrable du Fournisseur.

Données à caractère personnel - Toute information se rapportant à une Personne concernée et toute autre information qualifiée de «données à caractère personnel» ou quelque chose du genre en vertu de toute loi sur la protection des données.

Personnel - Personnes qui sont des employé(e)s ou des agents de Kyndryl ou du Fournisseur, des entrepreneurs indépendants engagés par Kyndryl ou le Fournisseur ou qui sont fournis à une partie par un sous-contractant.

Traiter ou Traitement - Opération ou ensemble d'opérations exécutées sur les Données de Kyndryl, y compris le stockage, l'utilisation, l'accès et la lecture.

Sous-traitant - Personne physique ou morale qui Traite des Données à caractère personnel au nom d'un Responsable du traitement.

Atteinte à la sécurité - Brèche de sécurité ayant pour effet : (a) la perte, la destruction, la modification ou la divulgation accidentelle ou non autorisée d'Articles de Kyndryl; (b) l'accès accidentel ou non autorisé à des Articles de Kyndryl; (c) le Traitement illicite de Données de Kyndryl; ou (d) la Manipulation illicite de la Technologie Kyndryl.

Vendre (ou Vente) - Vente, location, diffusion, divulgation, dissémination, mise en disponibilité, transfert ou communication autrement de données en contrepartie d'une somme monétaire ou à titre onéreux, que ce soit verbalement, par écrit, par voie électronique ou autrement.

Code source - Code de programmation lisible en clair dont se servent les développeurs pour créer un produit ou en assurer la maintenance, mais qui n'est pas livré aux utilisateurs finals dans le cours normal de la distribution ou de l'utilisation commerciale du produit.

Sous-traitant ultérieur - Tout sous-contractant du Fournisseur, y compris une société affiliée du Fournisseur, qui Traite des Données de Kyndryl.