Privacy and Security Terms

Est-ce que le Fournisseur ou Kyndryl aura accès aux Coordonnées professionnelles de l'autre partie?

Si tel est le cas, les articles I (Coordonnées professionnelles) et X (Coopération, vérification et correction) s'appliquent à cet accès.

Exemples :

Le Fournisseur utilise le nom, l'adresse de courriel et le numéro de téléphone d'employés de Kyndryl ou du Client aux fins d'assistance ou de maintenance.
Kyndryl utilise le nom et l'adresse de courriel d'employés du Fournisseur aux fins d'authentification pour accéder à un Système d'entreprise.

Remarque : Si le Fournisseur fournit un service de maintenance ou d'assistance, il se peut qu'il ait accès à des renseignements autres que les Coordonnées professionnelles (p. ex., des fichiers journaux comprenant ou non des Données à caractère personnel), auquel cas le Fournisseur doit aussi cocher la case du point 2 (s'il aura accès à des Données à caractère personnel) et du point 3 (s'il aura accès à des Données à caractère non personnel).

Article I - Coordonnées professionnelles

Cet article s'applique lorsque le Fournisseur ou Kyndryl Traite les Coordonnées professionnelles de l'autre partie.

1.1 Kyndryl et le Fournisseur peuvent Traiter les Coordonnées professionnelles de l'autre partie partout où ils font affaire en lien avec la fourniture de Services et de Livrables du Fournisseur.

1.2 Une partie :

(a) ne divulguera pas les Coordonnées professionnelles de l'autre partie pour quelque motif que ce soit (il est entendu qu'aucune partie ne Vendra, n'utilisera ou ne divulguera les Coordonnées professionnelles de l'autre partie à des fins de mise en marché, sans obtenir au préalable le consentement écrit de l'autre partie et, lorsque requis, le consentement écrit des Personnes concernées); et

(b) supprimera, modifiera, corrigera et retournera rapidement les Coordonnées professionnelles de l'autre partie, agira promptement pour fournir de l'information sur le Traitement de ces Coordonnées, en restreindre le Traitement ou prendra rapidement toute autre mesure raisonnable demandée dès la réception d'une demande écrite de l'autre partie.

1.3 Les parties ne créent aucune relation conjointe à titre de Responsable du traitement concernant les Coordonnées professionnelles de l'autre partie, et aucune disposition du Document transactionnel ne pourra être interprétée comme étant une indication de l'intention d'établir une telle relation.

1.4 La Déclaration de Kyndryl relative à la protection des renseignements personnels, qui se trouve à l'adresse https://www.kyndryl.com/privacy , fournit des détails supplémentaires concernant le Traitement par Kyndryl des Coordonnées professionnelles.

1.5 Les parties ont mis en place et maintiendront des mesures de sécurité techniques et organisationnelles pour protéger les Coordonnées professionnelles de l'autre partie contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés et le Traitement illicite.

1.6 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité touchant les Coordonnées professionnelles de Kyndryl. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant l'Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

1.7 Lorsque le Fournisseur Traite uniquement les Coordonnées professionnelles de Kyndryl et qu'il n'a accès à aucune autre donnée, à aucun autre élément de quelque nature que ce soit, ni à un Système d'entreprise de Kyndryl, le présent article et l'article X (Coopération, vérification et correction) sont les seuls articles qui s'appliquent à un tel Traitement.

Article X - Coopération, vérification et correction

Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

1. Coopération du Fournisseur

1.1 Si Kyndryl a des raisons de se demander si des Services ou des Livrables ont pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du Personnel du Fournisseur, ou d'autres moyens semblables.

1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels autres documents; et (c) de poser les gestes que l'autre partie demande raisonnablement en vue de respecter l'intention des présentes Modalités et des documents cités en référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les modalités axées sur la protection des renseignements personnels et la sécurité utilisées dans ses contrats écrits avec les Sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

2. Vérification (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) Jours, Kyndryl, seule ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre informatique dans lequel le Fournisseur Traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl pour cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues du Personnel pertinent du Fournisseur ou d'autres moyens semblables. Le Fournisseur peut transmettre à Kyndryl une preuve de l'application d'un code de conduite approuvé ou d'un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une Atteinte à la sécurité est survenue et que Kyndryl désire vérifier le respect des obligations pertinentes dans cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) Jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'Atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) Jours suivant son préavis écrit.

2.4 Une autorité de réglementation ou un Autre Responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'une autorité de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une ou l'autre des présentes Modalités, que ce motif découle d'une vérification menée aux termes de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

3. Programme anti-contrefaçon

3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des unités à semiconducteurs, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

4. Correction

4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations aux termes des présentes Modalités et que ce manquement a pour effet de causer une Atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'Atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si, toutefois, l'Atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et que, par conséquent, elle se répercute sur de nombreux clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, compte tenu de la nature de l'Atteinte à la sécurité, corrigera en temps utile et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'Atteinte à la sécurité, tout en accordant une attention particulière à toute contribution de Kyndryl sur ces corrections.

4.2 Kyndryl aura le droit de participer à la correction de toute Atteinte à la sécurité mentionnée au paragraphe 4.1, si elle le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il engage pour corriger son manquement, de même que les frais et les dépenses que les parties engagent pour remédier à la situation.

4.3 À titre d'exemple, les frais et les dépenses de correction associés à une Atteinte à la sécurité peuvent comprendre les frais engagés pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'Atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de services de surveillance et de réhabilitation du crédit, le rechargement des données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités précitées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour corriger les effets préjudiciables de l'Atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction ne comprennent pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

Est-ce que le Fournisseur aura accès à des Données à caractère personnel?

Si tel est le cas, les articles II (Mesures techniques et organisationnelles et sécurité des données), III (Protection des renseignements personnels), VIII (Mesures techniques et organisationnelles et sécurité générale) et X (Coopération, vérification et correction) s'appliquent à cet accès.

Exemples :

Le Fournisseur accède à des Données à caractère personnel lors de sa prestation d'un Service hébergé aux fins d'utilisation interne par Kyndryl, par des Clients ou les deux à la fois.
Le Fournisseur fournit des Services médicaux ou liés aux soins de santé, des Services de mise en marché, des Services liés aux ressources humaines ou aux avantages sociaux et accède ainsi à des Données à caractère personnel.
Le Fournisseur accède à des fichiers journaux qui contiennent des Données à caractère personnel pour fournir des Services d'assistance.

Article II - Mesures techniques et organisationnelles et sécurité des données

Cet article s'applique lorsque le Fournisseur Traite des Données de Kyndryl autres que les Coordonnées professionnelles de Kyndryl. Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de Traitement illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

1. Utilisation des données

1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, dont des Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres. À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de Vendre des Données de Kyndryl.

1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément.

2. Demandes de tiers et confidentialité

2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si un gouvernement ou une autorité de réglementation demande d'accéder à des Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables auront cet accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et ces Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.

3. Retour ou suppression des Données de Kyndryl

3.1 Selon le choix de Kyndryl, le Fournisseur supprimera ou retournera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande. Si Kyndryl exige la suppression, le Fournisseur rendra les données illisibles et impossibles à réassembler ou à reconstituer, conformément aux Meilleures pratiques de l'industrie, et certifiera la suppression à Kyndryl. Si Kyndryl exige le retour des Données de Kyndryl, le Fournisseur retournera ces Données en respectant le délai et les instructions écrites raisonnables de Kyndryl.

Article III - Protection des renseignements personnels

Cet article s'applique lorsque le Fournisseur Traite des Données à caractère personnel de Kyndryl.

1. Traitement

1.1 Kyndryl désigne le Fournisseur à titre de Sous-traitant pour Traiter les Données à caractère personnel de Kyndryl, aux seules fins de fournir les Livrables et les Services, conformément aux instructions de Kyndryl, y compris celles incluses dans les présentes Modalités, le Document transactionnel et le contrat de base connexe conclu entre les parties. Si le Fournisseur ne respecte pas une instruction, Kyndryl peut mettre fin à la partie concernée des Services en remettant un avis écrit au Fournisseur. Si le Fournisseur estime qu'une instruction enfreint une loi sur la protection des données, il doit en informer promptement Kyndryl et en respectant tout délai exigé par la loi.

1.2 Le Fournisseur respectera l'ensemble des lois sur la protection des données qui s'appliquent aux Services et aux Livrables.

1.3 Les éléments d'information suivants concernant les Données de Kyndryl sont définis dans une Annexe du Document transactionnel ou dans le Document transactionnel lui-même :

(a) catégories de Personnes concernées;

(b) types de Données à caractère personnel de Kyndryl;

(c) actions sur les données et activités de Traitement;

(d) durée et fréquence du Traitement; et

(e) liste des Sous-traitants ultérieurs.

2. Mesures techniques et organisationnelles

2.1 Le Fournisseur mettra en œuvre et maintiendra en vigueur les mesures techniques et organisationnelles définies dans l'article II (Mesures techniques et organisationnelles et sécurité des données) et l'article VIII (Mesures techniques et organisationnelles et sécurité générale), afin d'assurer un niveau de sécurité adapté au risque inhérent que présentes les Services et les Livrables. Le Fournisseur certifie et comprend les restrictions énoncées dans les articles II, III et VIII, et s'engage à les respecter.

3. Droits et demandes des Personnes concernées

3.1 Le Fournisseur informera promptement Kyndryl (c.-à-d., dans un délai qui permet à Kyndryl et à tout Autre Responsable du traitement de s'acquitter de leurs obligations juridiques) des demandes qu'il reçoit de Personnes concernées pour exercer leurs droits (notamment, concernant la rectification, la suppression ou le blocage de données) à l'égard des Données à caractère personnel de Kyndryl. Le Fournisseur peut également diriger rapidement une Personne concernée faisant une telle demande vers Kyndryl. Le Fournisseur ne répondra à aucune demande de Personnes concernées, à moins que la loi l'y oblige ou que Kyndryl lui donne des instructions écrites à cet effet.

3.2 Si Kyndryl est obligée de fournir de l'information relative à des Données à caractère personnel de Kyndryl à d'Autres Responsables du traitement ou à des tiers (p. ex., à des Personnes concernées ou des autorités de réglementation), le Fournisseur offrira immédiatement son assistance à Kyndryl en lui fournissant l'information et en prenant toute mesure raisonnable demandée par Kyndryl, dans un délai qui permet à Kyndryl de répondre en temps opportun aux Autres Responsables du traitement ou aux tiers.

4. Sous-traitants ultérieurs

4.1 Le Fournisseur transmettra à Kyndryl un préavis écrit avant d'ajouter un nouveau Sous-traitant ultérieur ou d'accroître l'étendue du Traitement d'un Sous-traitant ultérieur actuel. Ce préavis écrit devra inclure le nom du Sous-traitant ultérieur et décrire la nouvelle étendue ou l'étendue accrue du Traitement. Kyndryl peut refuser en tout temps, pour des motifs raisonnables, la nomination d'un nouveau Sous-traitant ultérieur ou l'étendue accrue du Traitement. En pareil cas, les parties travailleront ensemble de bonne foi en vue de s'entendre sur ce sujet. Sous réserve du droit de refus en tout temps de Kyndryl, le Fournisseur peut mandater le nouveau Sous-traitant ultérieur ou étendre l'étendue du Traitement du Sous-traitant ultérieur en place si Kyndryl n'a pas soulevé d'objection dans les trente (30) Jours suivant la date du préavis écrit du Fournisseur.

4.2 Le Fournisseur imposera les obligations de protection, de sécurité et de certification définies dans les présentes Modalités à chaque Sous-traitant ultérieur approuvé, avant que ce dernier puisse Traiter des Données de Kyndryl. Le Fournisseur est entièrement responsable envers Kyndryl du respect de ces obligations par chaque Sous-traitant ultérieur.

5. Traitement de données transfrontalier

Les termes utilisés ci-dessous ont la signification indiquée ci-après :

Pays adéquat - Pays offrant un niveau adéquat de protection des données en ce qui concerne le transfert pertinent, conformément aux lois sur la protection des données applicables ou aux décisions des autorités de réglementation.

Importateur de données - Sous-traitant ou Sous-traitant ultérieur qui n'est pas établi dans un Pays adéquat.

Clauses contractuelles types de l'Union européenne - Clauses contractuelles types de l'Union européenne (Décision de la Commission 2021/914), avec application des clauses facultatives, à l'exception de l'option 1 de la clause 9 a) et de l'option 2 de la clause 17, telles que publiées officiellement à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

Clauses contractuelles types de la Serbie - Clauses contractuelles types de la Serbie telles qu'adoptées par le «Commissaire serbe à l'information d'importance publique et à la protection des données à caractère personnel», publié à l'adresse https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

Clauses contractuelles types - Clauses contractuelles requises par les lois sur la protection des données applicables pour le transfert de Données à caractère personnel aux Sous-traitants qui ne sont pas établis dans un Pays adéquat.

Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de données («Addenda du Royaume-Uni») - Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de données, tel que publié officiellement à l'adresse https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ .

5.1 Le Fournisseur ne transférera pas ou ne divulguera pas outre-frontière (y compris par un accès à distance) des Données à caractère personnel de Kyndryl, sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, les parties coopéreront pour assurer le respect des lois sur la protection des données applicables. Si ces lois exigent l'utilisation de Clauses contractuelles types, le Fournisseur acceptera promptement lesdites clauses à la demande de Kyndryl.

5.2 Dispositions relatives aux Clauses contractuelles types de l'Union européenne :

(a)Si le Fournisseur n'est pas établi dans un Pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de l'Union européenne en tant qu'Importateur de Données avec Kyndryl, et conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 9 des Clauses contractuelles types de l'Union européenne, et fournira à Kyndryl une copie d'un tel contrat sur demande.

(i) Le module 1 des Clauses contractuelles types de l'Union européenne ne s'applique pas, à moins que les parties en conviennent autrement par écrit.

(ii) Le module 2 des Clauses contractuelles types de l'Union européenne s'applique lorsque Kyndryl est un Responsable du traitement et le Module 3 s'applique lorsque Kyndryl est un Sous-traitant. Conformément à la clause 13 des Clauses contractuelles types de l'Union européenne, lorsque les modules 2 ou 3 s'appliquent, les parties conviennent que (1) les Clauses contractuelles types de l'Union européenne seront régies par la loi de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente et (2) que tout litige découlant des Clauses contractuelles types de l'Union européenne sera soumis aux tribunaux de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente. Si la loi mentionnée au point (1) n'autorise pas les droits des tiers bénéficiaires, les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et tout litige découlant des Clauses contractuelles types de l'Union européenne en vertu du point (2) sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

(b) Si le Fournisseur est établi dans l'Espace économique européen et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données 2016/679, le module 4 des Clauses contractuelles types de l'Union européenne s'applique, et le Fournisseur conclut par les présentes des Clauses contractuelles types de l'Union européenne en tant qu'exportateur de données avec Kyndryl. Si le module 4 des Clauses contractuelles types de l'Union européenne s'applique, les parties conviennent que les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et que tout litige découlant des Clauses contractuelles types de l'Union européenne sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

(c) Si d'Autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent de devenir partie aux Clauses contractuelles types de l'Union européenne conformément à la «clause d'amarrage» de la Clause 7, le Fournisseur accepte par les présentes une telle demande.

(d) Les mesures techniques et organisationnelles requises pour remplir l'Annexe II des Clauses contractuelles types de l'Union européenne se trouvent dans les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties.

(e) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

5.3 Dispositions relatives à ou aux Addendas du Royaume-Uni :

(a) Si le Fournisseur n'est pas établi dans un Pays adéquat : il (i) convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Importateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées ci-dessus (selon le cas, en fonction des circonstances des activités de traitement); et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, et fournira à Kyndryl une copie d'un tel contrat sur demande.

(b) Si le Fournisseur est établi dans un Pays adéquat et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé au droit britannique en vertu de la Loi de 2018 sur le retrait de l'Union européenne), il convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Exportateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées au paragraphe 5.2(b) ci-dessus.

(c) Si d'autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent à devenir partie à ou aux Addendas du Royaume-Uni, le Fournisseur convient par les présentes d'accepter une telle demande.

(d) Les informations de l'Annexe (telles que présentées dans le tableau 3) dans le ou les Addendas du Royaume-Uni se trouvent dans les Clauses contractuelles types de l'Union européenne applicables, les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties. Ni Kyndryl ni le Fournisseur ne peuvent mettre fin à ou aux Addendas du Royaume-Uni lorsque ceux-ci changent.

(e) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

5.4 Dispositions relatives aux Clauses contractuelles types de la Serbie :

(a) Si le Fournisseur n'est pas établi dans un Pays adéquat, il : (i) convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie, en son propre nom en tant que Sous-traitant, avec Kyndryl; et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 8 des Clauses contractuelles types de la Serbie, et fournira à Kyndryl une copie d'un tel contrat sur demande.

(b) Si le Fournisseur est établi dans un Pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie avec Kyndryl au nom de chaque Sous-traitant ultérieur situé dans un Pays inadéquat. Si le Fournisseur est incapable d'accepter lesdites clauses au nom d'un Sous-traitant ultérieur, il convient de fournir à Kyndryl le document d'acceptation des Clauses contractuelles types de la Serbie dûment signé par le Sous-traitant ultérieur en question. Kyndryl contresignera ensuite ce document avant de permettre au Sous-traitant ultérieur de Traiter des Données à caractère personnel de Kyndryl.

(c) Les Clauses contractuelles types de la Serbie convenues par Kyndryl et le Fournisseur lieront directement le Responsable du traitement et le Sous-traitant ou seront transférées dans un contrat écrit conclu entre le Sous-traitant et le Sous-traitant ultérieur, selon ce qu'exige la situation. En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de la Serbie, ces dernières prévaudront.

(d) L'information requise pour remplir les Appendices 1 à 8 des Clauses contractuelles types de la Serbie, afin de régir le transfert de Données à caractère personnel à un Pays inadéquat, se trouve dans les présentes modalités et dans l'Annexe du Document transactionnel ou dans le Document transactionnel lui-même.

6. Assistance et registres

6.1 Selon la nature du Traitement, le Fournisseur aidera Kyndryl en mettant en place les mesures techniques et organisationnelles appropriées pour remplir les obligations associées aux demandes et aux droits des Personnes concernées. Le Fournisseur aidera également Kyndryl à assurer le respect des obligations concernant la sécurité du Traitement, la notification et la communication d'une Atteinte à la sécurité et la création d'analyses d'impact sur la protection des données, y compris la consultation préalable de l'autorité de réglementation pertinente, si nécessaire, en tenant compte de l'information qui est à la disposition de Fournisseur.

6.2 Le Fournisseur tiendra à jour dans un registre, le nom et les coordonnées de chaque Sous-traitant ultérieur, y compris du représentant et du délégué à la protection des données de chaque Sous-traitant ultérieur. Le Fournisseur remettra ce registre à Kyndryl sur demande, dans un délai qui permettra à Kyndryl de répondre en temps opportun à une demande d'un Client ou d'un tiers.

Article VIII - Mesures techniques et organisationnelles et sécurité générale

Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne Traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Articles de Kyndryl ou à un quelconque Système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des Logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation des effectifs conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Articles de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de Traitement illicites; et (c) la Technologie Kyndryl contre les moyens de Manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, et pour la Manipulation de la Technologie Kyndryl, y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres informatiques.

1. Politiques de sécurité

1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son Personnel et conformes aux Meilleures pratiques de l'industrie.

1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Articles de Kyndryl.

1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son Personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, une validation des preuves d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif aux composants des Services, aux Livrables et aux Articles de Kyndryl. Cette formation sera propre à leur rôle et au soutien des Services, des Livrables et des Articles de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Articles de Kyndryl, notamment en mettant en place, en maintenant et en respectant des politiques et des procédures qui nécessitent de la sécurité et de la confidentialité à dessein, une conception et des opérations sécurisées pour tous les Services et les Livrables et toute Manipulation de la Technologie Kyndryl.

2. Incidents de sécurité

2.1 Le Fournisseur maintiendra et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux Meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

2.2 Le Fournisseur enquêtera sur tous les cas d'accès et d'utilisation non autorisés, et définira et exécutera un plan d'intervention approprié.

2.3 Le fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com . Le Fournisseur transmettra à Kyndryl l'information raisonnable demandée concernant une telle Atteinte à la sécurité et l'état actuel de la situation concernant les mesures correctives et de restauration entreprises par le Fournisseur. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'Atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les autorités de réglementation ou les Personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres clients et sociétés affiliées) en lien avec une Atteinte à la sécurité.

2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une Atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Articles de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

2.6 Si une Atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

(a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'Atteinte à la sécurité aux autorités de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux Personnes concernées, aux Clients et aux autres personnes pertinentes.

(b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes concernées au sujet de l'Atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les Personnes concernées ont été avisées de l'Atteinte à la sécurité, soit la période exigée par la loi sur la protection des données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des Personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur établir un centre d'appels. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels de Kyndryl pour établir et gérer un tel centre d'appels.

(c) Le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl pour la prestation de services de surveillance du crédit et de réhabilitation du crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'Atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels services de surveillance du crédit, soit la période exigée par loi sur la protection des données applicable.

3. Sécurité physique et contrôle des entrées (Le terme «Installations» utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Articles de Kyndryl, ou à partir duquel il y accède autrement.)

3.1 Le Fournisseur maintiendra des contrôles d'accès physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

3.2 Le Fournisseur exigera une autorisation d'accès aux Installations et pour les zones contrôlées dans les Installations, y compris pour un accès temporaire, et limitera cet accès en fonction du rôle professionnel du personnel et du besoin pour l'entreprise. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans les Installations et dans toute zone contrôlée.

3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels qui sont conformes aux Meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale d'un (1) an.

3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées dans les Installations : a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services et les Livrables et la Manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

4.1 Le Fournisseur maintiendra la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa livraison des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de Services hébergés. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la livraison des Livrables et la Manipulation de la Technologie Kyndryl, mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

4.2 Le Fournisseur maintiendra des mesures conçues pour séparer logiquement les Articles de Kyndryl et empêcher que ceux-ci soient exposés ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres. Si des Articles de Kyndryl se trouvent déjà dans un environnement hors production ou y sont transférés (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles de l'environnement de production.

4.3 Le Fournisseur chiffrera tous les Articles de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Articles de Kyndryl statiques est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux Meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

4.4 Si le Fournisseur doit accéder à des Articles de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents («accès privilégié») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

4.5 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Articles de Kyndryl effectués hors console.

4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d’audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

4.7 Le Fournisseur conservera les journaux dans lesquels il consignera, conformément aux Meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour la fourniture de Services ou de Livrables et la Manipulation de la Technologie Kyndryl, et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finals et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour Manipuler la Technologie Kyndryl, dont des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité basées et non basées sur des signatures, afin de contrer les logiciels malveillants et les menaces évoluées persistantes, des verrouillages d'écrans basés sur le temps et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

4.9 Conformément aux Meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres informatiques où se trouvent ou sont traitées des Articles de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de service.

5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa Manipulation de la Technologie Kyndryl; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux Meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de la sécurité pour chaque composant des Services et des Livrables et concernant sa Manipulation de la Technologie Kyndryl; et (e) corriger les vulnérabilités identifiées ou les défauts de se conformer à ses exigences relatives à la configuration des paramètres de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services ou aux Livrables ou à la Manipulation de la Technologie Kyndryl. Avant de mettre en œuvre de telles modifications, y compris pour les systèmes, les réseaux et les composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les clients des Services ou les Articles de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

5.3 Le Fournisseur dressera un inventaire de toutes les ressources informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa Manipulation de la Technologie Kyndryl. Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces ressources informatiques, des Services, des Livrables et de la Technologie Kyndryl, ainsi que de leurs composants sous-jacents.

5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services et des Livrables, et sa Manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité de base prédéfinies qui correspondent aux Meilleures pratiques de l'industrie, comme les bancs d'essai du Center for Internet Security (CIS) américain.

5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable, de même que chaque système informatique utilisé pour Manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux Meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les objectifs de point de reprise et les objectifs de temps de reprise («RPO et RTO») qui sont définis dans le paragraphe 5.6 ci-dessous.

5.6 Les objectifs de point de reprise («RPO») et les objectifs de temps de reprise («RTO») définis pour les Services hébergés sont les suivants : 24 heures pour les RPO et 24 heures pour les RTO. Toutefois, le Fournisseur devra respecter les RPO et RTO de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, rapidement après que Kyndryl aura avisé le Fournisseur par écrit de tels RPO et RTO de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les RPO et RTO lui permettant de se conformer à l'ensemble de ses obligations envers Kyndryl aux termes du Document transactionnel, du contrat de base connexe conclu entre les parties et les présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents connexes utilisés pour ces Services et Livrables, de même qu'aux systèmes, réseaux, applications et composants sous-jacents utilisés pour Manipuler la Technologie Kyndryl. Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et éliminer les préoccupations de Kyndryl à ce sujet.

6. Prestation de Services

6.1 Le Fournisseur prendra en charge les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les Meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language). Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant effectuant des travaux pour le Fournisseur a institué des contrôles de gouvernance pour se conformer aux exigences et obligations que les présentes Modalités imposent au Fournisseur.

7. Supports physiques Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux Meilleures pratiques de l'industrie en la matière.

8.