Privacy and Security Terms

Est-ce que le Fournisseur ou Kyndryl aura accès aux Coordonnées professionnelles de l'autre partie?

Si tel est le cas, les articles I (Coordonnées professionnelles) et X (coopération, vérification et correction) s'appliquent à cet accès.

Exemples :

Le Fournisseur utilise le nom, l'adresse électronique et le numéro de téléphone d'employés de Kyndryl ou du Client aux fins d'assistance ou de maintenance.
Kyndryl utilise le nom et l'adresse électronique d'employés du Fournisseur aux fins d'authentification pour accéder à un système d'entreprise.

Remarque :

Si le Fournisseur assure la maintenance ou l'assistance, il se peut qu'il ait accès à des renseignements autres que les Coordonnées professionnelles (p. ex., des fichiers journaux comprenant ou non des Données à caractère personnel). Dans ce cas, le Fournisseur doit aussi cocher la case du point 2 (s'il aura accès à des Données à caractère personnel) et du point 3 (s'il aura accès à des Données à caractère non personnel).
Si le Fournisseur traite les Données des employés de Kyndryl, le Fournisseur doit également cocher la case du point 2 (s'il aura accès à des Données à caractère personnel).

Article I, Coordonnées professionnelles

Cet article s'applique lorsque le Fournisseur ou Kyndryl traite les Coordonnées professionnelles de l'autre partie.

1.1 Kyndryl et le Fournisseur peuvent traiter les Coordonnées professionnelles de l'autre partout où ils font affaire dans le cadre de la fourniture de Services et de Livrables du Fournisseur.

1.2 Une partie :

a) ne divulguera pas les Coordonnées professionnelles de l'autre partie pour quelque motif que ce soit (il est entendu qu'aucune partie ne vendra, n'utilisera ou ne divulguera les Coordonnées professionnelles de l'autre partie à des fins de mise en marché, sans obtenir au préalable le consentement écrit de l'autre partie et, lorsque requis, le consentement écrit des personnes concernées); et

b) supprimera, modifiera, corrigera et restituera rapidement les Coordonnées professionnelles de l'autre partie, agira promptement pour fournir de l'information sur le traitement de ces coordonnées, en restreindra le traitement ou prendra rapidement toute autre mesure raisonnable nécessaires dès la réception d'une demande écrite de l'autre partie, dans les cas d'utilisation non autorisée des renseignements personnels et lorsque la partie souhaite cesser le traitement et remédier à la situation.

1.3 Les parties ne nouent pas de relation conjointe en tant que responsable du traitement concernant les Coordonnées professionnelles de l'autre partie, et aucune disposition du Document transactionnel ne pourra être interprétée comme étant une indication de l'intention d'établir une telle relation.

1.4 La déclaration de confidentialité de Kyndryl, qui se trouve à l'adresse https://www.kyndryl.com/ca/fr/privacy, fournit des détails supplémentaires concernant le traitement par Kyndryl des Coordonnées professionnelles.

1.5 Les parties ont mis en place et maintiendront des mesures de sécurité techniques et organisationnelles pour protéger les Coordonnées professionnelles de l'autre partie contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés et le traitement illicite.

1.6 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité touchant les Coordonnées professionnelles de Kyndryl. Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

1.7 Lorsque le Fournisseur traite uniquement les Coordonnées professionnelles de Kyndryl et qu'il n'a accès à aucune autre donnée, à aucune autre œuvre de quelque nature que ce soit, ni à un système d'entreprise de Kyndryl, le présent article et l'article X (coopération, vérification et correction) sont les seuls articles qui s'appliquent à un tel traitement.

---

Article X, Coopération, vérification et correction

Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.

1. Coopération du Fournisseur

1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités. Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé.

1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.

2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation. Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement.

3. Programme anti-contrefaçon

3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur. Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.

4. Correction

4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl. Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données.

4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité. Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

Est-ce que le Fournisseur aura accès à des Données à caractère personnel?

Si tel est le cas, les articles II (mesures techniques et organisationnelles et sécurité des Données), III (protection des renseignements personnels), VIII (mesures techniques et organisationnelles et sécurité générale) et X (coopération, vérification et correction) s'appliquent à cet accès.

Exemples :

Le Fournisseur accède à des Données à caractère personnel lors de sa prestation d'un Service hébergé aux fins d'utilisation interne par Kyndryl, par des Clients ou les deux à la fois.
Le Fournisseur fournit des services médicaux ou liés aux soins de santé, des services de mise en marché, des services liés aux ressources humaines ou aux avantages sociaux et accède ainsi à des Données à caractère personnel.
Le Fournisseur accède à des fichiers journaux qui contiennent des Données à caractère personnel pour fournir des Services d'assistance.

Article II, Mesures techniques et organisationnelles et sécurité des Données

Cet article s'applique lorsque le Fournisseur traite des Données de Kyndryl autres que les Coordonnées professionnelles de celle-ci. Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de traitement illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.

1. Utilisation des Données

1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, incluant les Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres. À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de vendre des Données de Kyndryl.

1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément.

2. Demandes de tiers et confidentialité

2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si un gouvernement ou un organisme de réglementation exige l'accès aux Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables y auront accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.

3. Restitution ou suppression des Données Kyndryl

3.1 Au choix de Kyndryl, le Fournisseur supprimera ou restituera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande. Si Kyndryl en exige la suppression, le Fournisseur rendra les Données illisibles et impossibles à réassembler ou à reconstituer, conformément aux meilleures pratiques de l'industrie, et en certifiera la suppression à Kyndryl. Si Kyndryl exige la restitution des Données de Kyndryl, le Fournisseur s'en chargera dans les délais et selon les instructions écrites raisonnables de Kyndryl.

---

Article III, Protection des renseignements personnels

Cet article s'applique lorsque le Fournisseur traite des Données à caractère personnel de Kyndryl.

1. Traitement

1.1 Kyndryl désigne le Fournisseur à titre de sous-traitant pour traiter les Données à caractère personnel de Kyndryl, aux seules fins de fournir les Livrables et les Services, conformément aux instructions de Kyndryl, y compris celles incluses dans les présentes Modalités, le Document transactionnel et le contrat de base connexe conclu entre les parties. Si le Fournisseur ne respecte pas une instruction, Kyndryl peut mettre fin à la partie concernée des Services en remettant un avis écrit au Fournisseur. Si le Fournisseur estime qu'une instruction enfreint une loi sur la protection des Données, il doit en informer promptement Kyndryl et en respectant tout délai exigé par la loi. Si le Fournisseur ne respecte pas l'une de ses obligations en vertu des présentes Modalités et que ce manquement entraîne une utilisation non autorisée de renseignements personnels, ou, de façon générale, dans les cas d'utilisation non autorisée des renseignements personnels, Kyndryl aura le droit de cesser le traitement, de corriger le manquement et de remédier aux effets préjudiciables de l'utilisation non autorisée, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.

1.2 Le Fournisseur respectera l'ensemble des lois sur la protection des Données qui s'appliquent aux Services et aux Livrables.

1.3 Les éléments d'information suivants concernant les Données de Kyndryl sont définis dans une Annexe du Document transactionnel ou dans le Document transactionnel lui-même :

(a) catégories de personnes concernées;

(b) types de Données à caractère personnel de Kyndryl;

(c) opérations sur les Données et activités de traitement;

(d) durée et fréquence du traitement; et

(e) liste des sous-traitants ultérieurs.

2. Mesures techniques et organisationnelles

2.1 Le Fournisseur mettra en œuvre et à jour les mesures techniques et organisationnelles définies dans l'article II (mesures techniques et organisationnelles et sécurité des Données) et l'article VIII (mesures techniques et organisationnelles et sécurité générale), afin d'assurer un niveau de sécurité adapté au risque inhérent que présentes les Services et les Livrables. Le Fournisseur certifie et comprend les restrictions énoncées dans les articles II, III et VIII, et s'engage à les respecter.

3. Droits et demandes des personnes concernées

3.1 Le Fournisseur informera promptement Kyndryl (c.-à-d., dans un délai qui permet à Kyndryl et à tout autre responsable du traitement de s'acquitter de leurs obligations juridiques) des demandes qu'il reçoit de personnes concernées pour exercer leurs droits (notamment, concernant la rectification, la suppression ou le blocage de Données) à l'égard des Données à caractère personnel de Kyndryl. Le Fournisseur peut également diriger rapidement une personne concernée faisant une telle requête vers Kyndryl. Le Fournisseur ne répondra à aucune demande des personnes concernées, à moins que la loi ne l'y oblige ou que Kyndryl ne lui donne des instructions écrites à cet effet.

3.2 Si Kyndryl est obligée de fournir de l'information relative à des Données à caractère personnel de Kyndryl à d'autres responsables du traitement ou à des tiers (p. ex., à des personnes concernées ou des autorités de réglementation), le Fournisseur offrira immédiatement son assistance à Kyndryl en lui fournissant l'information et en prenant toute mesure raisonnable demandée par Kyndryl, dans un délai qui permet à Kyndryl de répondre en temps opportun aux autres responsables du traitement ou aux tiers.

4. Sous-traitants ultérieurs

4.1 Le Fournisseur transmettra à Kyndryl un préavis écrit avant d'ajouter un nouveau sous-traitant ultérieur ou d'accroître l'étendue du traitement d'un sous-traitant ultérieur actuel. Ce préavis écrit devra inclure le nom du sous-traitant ultérieur et décrire la nouvelle étendue ou l'étendue accrue du traitement. Kyndryl peut refuser en tout temps, pour des motifs raisonnables, la nomination d'un nouveau sous-traitant ultérieur ou l'étendue accrue du traitement. En pareil cas, les parties travailleront ensemble de bonne foi en vue de s'entendre sur ce sujet. Sous réserve du droit de Kyndryl de s'y opposer à tout moment, le Fournisseur peut mandater le nouveau sous-traitant ultérieur ou élargir l'étendue du traitement du sous-traitant en place si Kyndryl n'a pas soulevé d'objection dans les trente (30) jours suivant la date du préavis écrit du Fournisseur.

4.2 Le Fournisseur imposera les obligations de protection, de sécurité et de certification définies dans les présentes Modalités à chaque sous-traitant ultérieur approuvé, avant que ce dernier puisse traiter des Données de Kyndryl. Le Fournisseur est entièrement responsable envers Kyndryl du respect de ces obligations par chaque sous-traitant ultérieur.

5. Traitement transfrontalier des Données

Les termes utilisés ci-dessous ont la signification indiquée ci-après :

Pays adéquat Pays offrant un niveau adéquat de protection des Données en ce qui concerne le transfert en question, conformément aux lois applicables en matière de protection des Données ou aux décisions des organismes de réglementation.

Importateur de Données Sous-traitant ou sous-traitant ultérieur qui n'est pas établi dans un pays adéquat.

Clauses contractuelles types de l'Union européenne Clauses contractuelles types de l'Union européenne (Décision de la Commission 2021/914) avec application des clauses facultatives, à l'exception de l'option 1 de la clause 9(a) et de l'option 2 de la clause 17, telles que publiées officiellement à l'adresse https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_fr

Clauses contractuelles types de la Serbie Clauses contractuelles types de la Serbie telles qu'adoptées par le « Commissaire serbe à l'information d'importance publique et à la protection des Données à caractère personnel », publié à l'adresse https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

Clauses contractuelles types Clauses contractuelles requises par les lois sur la protection des Données applicables pour le transfert de Données à caractère personnel aux sous-traitants qui ne sont pas établis dans un pays adéquat.

Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de Données (« Addenda du Royaume-Uni ») Addenda du Royaume-Uni aux Clauses contractuelles types de la Commission européenne relatif au transfert international de Données, tel que publié officiellement à l'adresse https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

L'addenda suisse aux Clauses contractuelles types de la Commission européenne (« Addenda suisse ») désigne les clauses contractuelles aux Clauses contractuelles types de la Commission européenne qui s'appliquent conformément à la décision de l'Autorité suisse de protection des Données (« FDPIC ») et en conformité avec la loi fédérale suisse sur la protection des Données (« FADP »).

5.1 Le Fournisseur ne transférera pas ou ne divulguera pas outre-frontière (y compris par un accès à distance) des Données à caractère personnel de Kyndryl, sans avoir obtenu au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, les parties coopéreront pour assurer le respect des lois sur la protection des Données applicables. Si ces lois exigent l'utilisation de Clauses contractuelles types , le Fournisseur acceptera promptement lesdites clauses à la demande de Kyndryl.

5.2 Dispositions relatives aux Clauses contractuelles types de l'Union européenne

(a) Si le Fournisseur n'est pas établi dans un pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de l'Union européenne en tant qu'importateur de Données avec Kyndryl, et il conclura avec chaque sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 9 des Clauses contractuelles types de l'Union européenne, et il fournira à Kyndryl une copie d'un tel contrat sur demande.

(i) Le module 1 des Clauses contractuelles types de l'Union européenne ne s'applique pas, à moins que les parties en conviennent autrement par écrit.

(ii) Le module 2 des Clauses contractuelles types de l'Union européenne s'applique lorsque Kyndryl est un responsable du traitement et le module 3 s'applique lorsque Kyndryl est un sous-traitant. Conformément à l'article 13 des Clauses contractuelles types de l'Union européenne, lorsque les modules 2 ou 3 s'appliquent, les parties conviennent que (1) les Clauses contractuelles types de l'Union européenne seront régies par la loi de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente et (2) que tout litige découlant des Clauses contractuelles types de l'Union européenne sera soumis aux tribunaux de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente. Si la loi mentionnée au point (1) n'autorise pas les droits des tiers bénéficiaires, alors les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et tout litige découlant des Clauses contractuelles types de l'Union européenne en vertu du point (2) sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

(b) Si les deux parties, le Fournisseur et Kyndryl, sont établis dans un pays adéquat, le Fournisseur agira en tant qu'exportateur de Données et s'engagera à conclure des Clauses contractuelles types de l'Union européenne avec chaque sous-traitant ultérieur approuvé dans un pays non adéquat. Le Fournisseur effectuera l'évaluation de l'impact du transfert (TIA) requise et informera Kyndryl dans les meilleurs délais (1) de tout besoin d'appliquer des mesures supplémentaires et (2) des mesures appliquées. Sur demande, le Fournisseur fournira les résultats de l'évaluation TIA et toute information nécessaire pour permettre à Kyndryl de comprendre et d'évaluer les résultats. Dans le cas où Kyndryl n'est pas d'accord avec les résultats de l'évaluation de l'impact du transfert des fournisseurs ou les mesures supplémentaires appliquées, Kyndryl et le Fournisseur travailleront ensemble pour trouver une solution viable. Kyndryl se réserve le droit de suspendre ou de résilier les Services des fournisseurs concernés sans rémunération. Pour éviter toute ambiguïté, cela ne dégage pas les sous-traitants ultérieurs du Fournisseur de l'obligation de faire partie des Clauses contractuelles types de l'Union européenne avec Kyndryl ou ses Clients, comme indiqué au paragraphe 5.2 (d) ci-dessous.

(c) Si le Fournisseur est établi dans la zone économique européenne et que Kyndryl est un responsable du traitement non soumis au Règlement général sur la protection des Données 2016/679, alors le module 4 des Clauses contractuelles types de l'Union européenne s'applique, et le Fournisseur conclut par les présentes des Clauses contractuelles types de l'Union européenne en tant qu'exportateur de Données avec Kyndryl. Si le module 4 des Clauses contractuelles types de l'Union européenne s'applique, les parties conviennent que les Clauses contractuelles types de l'Union européenne seront régies par la loi des Pays-Bas et que tout litige découlant des Clauses contractuelles types de l'Union européenne sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

(d) Si d'autres responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent de faire partie des Clauses contractuelles types de l'Union européenne conformément à la « clause d'amarrage » de la clause 7, le Fournisseur accepte par les présentes une telle demande.

(e) Les mesures techniques et organisationnelles requises pour remplir l'Annexe II des Clauses contractuelles types de l'Union européenne se trouvent dans les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties.

(f) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de l'Union européenne, ces dernières prévaudront.

5.3 Dispositions relatives à l'addenda ou aux addendas du Royaume-Uni :

a. Si le Fournisseur n'est pas établi dans un Pays adéquat : il (i) convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Importateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées ci-dessus (selon le cas, en fonction des circonstances des activités de traitement); et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, et fournira à Kyndryl une copie d'un tel contrat sur demande.

b. Si le Fournisseur est établi dans un Pays adéquat et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé au droit britannique en vertu de la Loi de 2018 sur le retrait de l'Union européenne), il convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Exportateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées au paragraphe 5.2(b) ci-dessus.

c. Si d'autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent à devenir partie à ou aux Addendas du Royaume-Uni, le Fournisseur convient par les présentes d'accepter une telle demande.

d. Les informations de l'Annexe (telles que présentées dans le tableau 3) dans le ou les Addendas du Royaume-Uni se trouvent dans les Clauses contractuelles types de l'Union européenne applicables, les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties. Ni Kyndryl ni le Fournisseur ne peuvent mettre fin à l'addenda ou aux addendas du Royaume-Uni lorsque ceux-ci changent.

e. En cas d'incompatibilité entre l'addenda ou les addendas du Royaume-Uni et les présentes Modalités, l'addenda ou les addendas du Royaume-Uni prévaudront.

5.4 Dispositions relatives aux Clauses contractuelles types de la Serbie :

a. Si le Fournisseur n'est pas établi dans un pays adéquat, il : (i) convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie avec Kyndryl, en son propre nom, en tant que responsable du traitement; et (ii) conclura avec chaque sous-traitant ultérieur approuvé qui agit en tant qu'importateur de Données un contrat écrit, conformément à la clause 8 des Clauses contractuelles types de la Serbie, et fournira à Kyndryl une copie d'un tel contrat sur demande.

b. Si le Fournisseur est établi dans un pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types de la Serbie au nom de chaque sous-traitant ultérieur situé dans un pays non adéquat. Si le Fournisseur est incapable d'accepter lesdites clauses au nom d'un sous-traitant ultérieur, il convient de fournir à Kyndryl le document d'acceptation des Clauses contractuelles types de la Serbie dûment signé par le sous-traitant ultérieur en question. Kyndryl contresignera ensuite ce document avant de permettre au sous-traitant ultérieur de traiter des Données à caractère personnel de Kyndryl.

c. Les Clauses contractuelles types de la Serbie convenues par Kyndryl et le Fournisseur lieront directement le responsable du traitement et le sous-traitant ou seront transférées dans un contrat écrit conclu entre le sous-traitant et le sous-traitant ultérieur, selon ce qu'exige la situation. En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types de la Serbie, ces dernières prévaudront.

d. L'information requise pour compléter les annexes 1 à 8 des Clauses contractuelles types de la Serbie, afin de régir le transfert de Données à caractère personnel à un pays non adéquat, se trouve dans les présentes Modalités et dans l'Annexe au Document transactionnel, ou dans le Document transactionnel lui-même.

5.5. Dispositions relatives à l'addenda ou aux addendas suisses :

Si et dans la mesure où un transfert de Données à caractère personnel de Kyndryl en vertu du paragraphe 5.1. est soumis à la loi fédérale suisse sur la protection des Données (« FADP »), les Clauses contractuelles types de l'Union européenne convenues dans le paragraphe 5.2. des présentes Modalités régiront le transfert, avec les modifications suivantes pour adopter la norme RGPD pour les Données à caractère personnel suisses :

Les références au Règlement général sur la protection des Données (« RGPD ») s'entendent également comme des références aux dispositions équivalentes de la FADP;
La Commission fédérale suisse d'information sur la protection des Données est l'autorité de contrôle compétente conformément à la clause 13 et à l'Annexe I.C des Clauses contractuelles types de l'Union européenne;

Le droit suisse comme loi applicable dans le cas où le transfert est exclusivement soumis à la FADP; et
Le terme « État membre » à la clause 18 des Clauses contractuelles types de l'Union européenne est étendu à la Suisse afin de permettre aux personnes concernées suisses de faire valoir leurs droits dans leur lieu de résidence habituel.

Pour éviter toute ambiguïté, rien de ce qui précède n'est destiné à réduire de quelque manière que ce soit le niveau de protection des Données fourni par les Clauses contractuelles types de l'Union européenne, mais uniquement à étendre ce niveau de protection aux personnes concernées suisses. Si et dans la mesure où ce n'est pas le cas, les Clauses contractuelles types de l'Union européenne prévaudront.

6. Assistance et registres

6.1 Selon la nature du traitement, le Fournisseur aidera Kyndryl en mettant en place les mesures techniques et organisationnelles appropriées pour remplir les obligations associées aux demandes et aux droits des personnes concernées. Le Fournisseur aidera également Kyndryl à assurer le respect des obligations concernant la sécurité du traitement, la notification et la communication d'une atteinte à la sécurité et la création d'une analyse d'impact sur la protection des Données, y compris la consultation préalable de l'organisme de réglementation pertinente, si nécessaire, en tenant compte de l'information qui est à la disposition du Fournisseur.

6.2 Le Fournisseur tiendra à jour dans un registre du nom et des coordonnées de chaque sous-traitant ultérieur, y compris du représentant et du délégué à la protection des Données de chaque sous-traitant ultérieur. Le Fournisseur remettra ce registre à Kyndryl sur demande, dans un délai qui permettra à Kyndryl de répondre en temps opportun à une demande d'un Client ou d'un tiers.

---

Article VIII - Mesures techniques et organisationnelles et sécurité générale

Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.

Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.

1. Politiques de sécurité

1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.

1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive. Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires. Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire.

1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable. Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

2. Incidents de sécurité

2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité. Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises. À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl.

2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

(a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

(b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable. Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées. Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

(c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.

3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel. Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an.

3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail. Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl . Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées. De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable. Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde. Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données. Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables. Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches. Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte.

4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe. De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur.

4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande. Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs. De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service.

5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes

5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés. Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction. À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl . Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl . Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents.

5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques. Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie. Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit). En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl . Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques. L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.

6. Prestation de Services

6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

7. Sous-contractants. Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.

8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.