Skip to main content

Modalités relatives à la protection des renseignements personnels et à la sécurité

Ces Modalités relatives à la protection des renseignements personnels et à la sécurité établissent les droits et les obligations de Kyndryl et du Fournisseur concernant la confidentialité, la sécurité et les sujets connexes (les « Modalités »).  Les Modalités font partie intégrante de l'énoncé des travaux, de l'autorisation de travail ou d'un document semblable conclu entre nos entreprises et y font référence (le « Document transactionnel »).  Les Modalités s'appliquent au mandat particulier qui est décrit dans le Document transactionnel.

Par souci de commodité, cette page Web permet au Fournisseur de cocher les cases ci-dessous qui caractérisent les particularités du mandat, ce qui a pour effet d'afficher les Modalités pertinentes.Selon ces particularités, il se peut que plus d'une case soit pertinente.  Il est entendu que les particularités qui sont décrites dans le Document transactionnel établissent uniquement les Modalités qui s'appliquent au mandat et non celles qui sont affichées une fois que le Fournisseur a coché des cases ci-dessous. 

REMARQUE : Les fournisseurs qui traitent les Données des employés de Kyndryl doivent cliquer sur la case 1 (accès aux Coordonnées professionnelles de Kyndryl) et la case 2 (accès aux Données à caractère personnel).

En cas d'incompatibilité entre les Modalités et le Document transactionnel ou tout contrat de base connexe ou autre contrat afférent conclu entre les parties, y compris un contrat relatif au traitement des Données, les Modalités prévaudront. Les avis requis par ces Modalités seront émis conformément aux dispositions du Document transactionnel concernant les avis.

Les termes comportant une majuscule initiale dans

Cochez les cases qui reflètent les particularités des Services pour ce mandat particulier :

  1. Si tel est le cas, les articles I (Coordonnées professionnelles) et X (coopération, vérification et correction) s'appliquent à cet accès. 

    Exemples : 

    • Le Fournisseur utilise le nom, l'adresse électronique et le numéro de téléphone d'employés de Kyndryl ou du Client aux fins d'assistance ou de maintenance.

    • Kyndryl utilise le nom et l'adresse électronique d'employés du Fournisseur aux fins d'authentification pour accéder à un système d'entreprise. 

    Remarque : 

    • Si le Fournisseur assure la maintenance ou l'assistance, il se peut qu'il ait accès à des renseignements autres que les Coordonnées professionnelles (p. ex., des fichiers journaux comprenant ou non des Données à caractère personnel). Dans ce cas, le Fournisseur doit aussi cocher la case du point 2 (s'il aura accès à des Données à caractère personnel) et du point 3 (s'il aura accès à des Données à caractère non personnel).

    • Si le Fournisseur traite les Données des employés de Kyndryl, le Fournisseur doit également cocher la case du point 2 (s'il aura accès à des Données à caractère personnel).

    Article I, Coordonnées professionnelles

    Cet article s'applique lorsque le Fournisseur ou Kyndryl traite les Coordonnées professionnelles de l'autre partie.

    1.1 Kyndryl et le Fournisseur peuvent traiter les Coordonnées professionnelles de l'autre partout où ils font affaire dans le cadre de la fourniture de Services et de Livrables du Fournisseur. 

    1.2 Une partie :  

    a) ne divulguera pas les Coordonnées professionnelles de l'autre partie pour quelque motif que ce soit (il est entendu qu'aucune partie ne vendra, n'utilisera ou ne divulguera les Coordonnées professionnelles de l'autre partie à des fins de mise en marché, sans obtenir au préalable le consentement écrit de l'autre partie et, lorsque requis, le consentement écrit des personnes concernées); et 

    b) supprimera, modifiera, corrigera et restituera rapidement les Coordonnées professionnelles de l'autre partie, agira promptement pour fournir de l'information sur le traitement de ces coordonnées, en restreindra le traitement ou prendra rapidement toute autre mesure raisonnable nécessaires dès la réception d'une demande écrite de l'autre partie, dans les cas d'utilisation non autorisée des renseignements personnels et lorsque la partie souhaite cesser le traitement et remédier à la situation.

    1.3 Les parties ne nouent pas de relation conjointe en tant que responsable du traitement concernant les Coordonnées professionnelles de l'autre partie, et aucune disposition du Document transactionnel ne pourra être interprétée comme étant une indication de l'intention d'établir une telle relation.

    1.4 La déclaration de confidentialité de Kyndryl, qui se trouve à l'adresse https://www.kyndryl.com/ca/fr/privacy, fournit des détails supplémentaires concernant le traitement par Kyndryl des Coordonnées professionnelles.

    1.5 Les parties ont mis en place et maintiendront des mesures de sécurité techniques et organisationnelles pour protéger les Coordonnées professionnelles de l'autre partie contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés et le traitement illicite. 

    1.6 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité touchant les Coordonnées professionnelles de Kyndryl.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    1.7 Lorsque le Fournisseur traite uniquement les Coordonnées professionnelles de Kyndryl et qu'il n'a accès à aucune autre donnée, à aucune autre œuvre de quelque nature que ce soit, ni à un système d'entreprise de Kyndryl, le présent article et l'article X (coopération, vérification et correction) sont les seuls articles qui s'appliquent à un tel traitement.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  2. Si tel est le cas, les articles II (mesures techniques et organisationnelles et sécurité des Données), III (protection des renseignements personnels), VIII (mesures techniques et organisationnelles et sécurité générale) et X (coopération, vérification et correction) s'appliquent à cet accès.

    Exemples : 

    • Le Fournisseur accède à des Données à caractère personnel lors de sa prestation d'un Service hébergé aux fins d'utilisation interne par Kyndryl, par des Clients ou les deux à la fois.

    • Le Fournisseur fournit des services médicaux ou liés aux soins de santé, des services de mise en marché, des services liés aux ressources humaines ou aux avantages sociaux et accède ainsi à des Données à caractère personnel.

    • Le Fournisseur accède à des fichiers journaux qui contiennent des Données à caractère personnel pour fournir des Services d'assistance.

    Article II, Mesures techniques et organisationnelles et sécurité des Données

    Cet article s'applique lorsque le Fournisseur traite des Données de Kyndryl autres que les Coordonnées professionnelles de celle-ci.  Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de traitement illicites.  Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Utilisation des Données

    1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, incluant les Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres.  À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de vendre des Données de Kyndryl.

    1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément. 

    2. Demandes de tiers et confidentialité

    2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl.  Si un gouvernement ou un organisme de réglementation exige l'accès aux Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

    2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables y auront accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.  

    3. Restitution ou suppression des Données Kyndryl

    3.1 Au choix de Kyndryl, le Fournisseur supprimera ou restituera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande.  Si Kyndryl en exige la suppression, le Fournisseur rendra les Données illisibles et impossibles à réassembler ou à reconstituer, conformément aux meilleures pratiques de l'industrie, et en certifiera la suppression à Kyndryl.  Si Kyndryl exige la restitution des Données de Kyndryl, le Fournisseur s'en chargera dans les délais et selon les instructions écrites raisonnables de Kyndryl. 

    ---

    Article III, Protection des renseignements personnels

    Cet article s'applique lorsque le Fournisseur traite des Données à caractère personnel de Kyndryl.  

    1. Traitement

    1.1 Kyndryl désigne le Fournisseur à titre de sous-traitant pour traiter les Données à caractère personnel de Kyndryl, aux seules fins de fournir les Livrables et les Services, conformément aux instructions de Kyndryl, y compris celles incluses dans les présentes Modalités, le Document transactionnel et le contrat de base connexe conclu entre les parties.  Si le Fournisseur ne respecte pas une instruction, Kyndryl peut mettre fin à la partie concernée des Services en remettant un avis écrit au Fournisseur.  Si le Fournisseur estime qu'une instruction enfreint une loi sur la protection des Données, il doit en informer promptement Kyndryl et en respectant tout délai exigé par la loi. Si le Fournisseur ne respecte pas l'une de ses obligations en vertu des présentes Modalités et que ce manquement entraîne une utilisation non autorisée de renseignements personnels, ou, de façon générale, dans les cas d'utilisation non autorisée des renseignements personnels, Kyndryl aura le droit de cesser le traitement, de corriger le manquement et de remédier aux effets préjudiciables de l'utilisation non autorisée, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  

    1.2 Le Fournisseur respectera l'ensemble des lois sur la protection des Données qui s'appliquent aux Services et aux Livrables.

    1.3 Les éléments d'information suivants concernant les Données de Kyndryl sont définis dans une Annexe du Document transactionnel ou dans le Document transactionnel lui-même :

    (a) catégories de personnes concernées; 

    (b) types de Données à caractère personnel de Kyndryl; 

    (c) opérations sur les Données et activités de traitement;

    (d) durée et fréquence du traitement; et 

    (e) liste des sous-traitants ultérieurs.

    2. Mesures techniques et organisationnelles

    2.1 Le Fournisseur mettra en œuvre et à jour les mesures techniques et organisationnelles définies dans l'article II (mesures techniques et organisationnelles et sécurité des Données) et l'article VIII (mesures techniques et organisationnelles et sécurité générale), afin d'assurer un niveau de sécurité adapté au risque inhérent que présentes les Services et les Livrables.  Le Fournisseur certifie et comprend les restrictions énoncées dans les articles II, III et VIII, et s'engage à les respecter.   

    3. Droits et demandes des personnes concernées

    3.1 Le Fournisseur informera promptement Kyndryl (c.-à-d., dans un délai qui permet à Kyndryl et à tout autre responsable du traitement de s'acquitter de leurs obligations juridiques) des demandes qu'il reçoit de personnes concernées pour exercer leurs droits (notamment, concernant la rectification, la suppression ou le blocage de Données) à l'égard des Données à caractère personnel de Kyndryl.  Le Fournisseur peut également diriger rapidement une personne concernée faisant une telle requête vers Kyndryl.  Le Fournisseur ne répondra à aucune demande des personnes concernées, à moins que la loi ne l'y oblige ou que Kyndryl ne lui donne des instructions écrites à cet effet.  

    3.2 Si Kyndryl est obligée de fournir de l'information relative à des Données à caractère personnel de Kyndryl à d'autres responsables du traitement ou à des tiers (p. ex., à des personnes concernées ou des autorités de réglementation), le Fournisseur offrira immédiatement son assistance à Kyndryl en lui fournissant l'information et en prenant toute mesure raisonnable demandée par Kyndryl, dans un délai qui permet à Kyndryl de répondre en temps opportun aux autres responsables du traitement ou aux tiers.

    4. Sous-traitants ultérieurs

    4.1 Le Fournisseur transmettra à Kyndryl un préavis écrit avant d'ajouter un nouveau sous-traitant ultérieur ou d'accroître l'étendue du traitement d'un sous-traitant ultérieur actuel. Ce préavis écrit devra inclure le nom du sous-traitant ultérieur et décrire la nouvelle étendue ou l'étendue accrue du traitement.  Kyndryl peut refuser en tout temps, pour des motifs raisonnables, la nomination d'un nouveau sous-traitant ultérieur ou l'étendue accrue du traitement. En pareil cas, les parties travailleront ensemble de bonne foi en vue de s'entendre sur ce sujet.  Sous réserve du droit de Kyndryl de s'y opposer à tout moment, le Fournisseur peut mandater le nouveau sous-traitant ultérieur ou élargir l'étendue du traitement du sous-traitant en place si Kyndryl n'a pas soulevé d'objection dans les trente (30) jours suivant la date du préavis écrit du Fournisseur.  

    4.2 Le Fournisseur imposera les obligations de protection, de sécurité et de certification définies dans les présentes Modalités à chaque sous-traitant ultérieur approuvé, avant que ce dernier puisse traiter des Données de Kyndryl.  Le Fournisseur est entièrement responsable envers Kyndryl du respect de ces obligations par chaque sous-traitant ultérieur. 

    5. Traitement transfrontalier des Données

    Les termes utilisés ci-dessous ont la signification indiquée ci-après :

    Pays adéquat Pays offrant un niveau adéquat de protection des Données en ce qui concerne le transfert en question, conformément aux lois applicables en matière de protection des Données ou aux décisions des organismes de réglementation.

    Importateur de Données Sous-traitant ou sous-traitant ultérieur qui n'est pas établi dans un pays adéquat.

    Clauses contractuelles types de l'Union européenne Clauses contractuelles types de l'Union européenne (Décision de la Commission 2021/914) avec application des clauses facultatives, à l'exception de l'option 1 de la clause 9(a) et de l'option 2 de la clause 17, telles que publiées officiellement à l'adresse https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_fr

    Clauses contractuelles types de la Serbie Clauses contractuelles types de la Serbie telles qu'adoptées par le « Commissaire serbe à l'information d'importance publique et à la protection des Données à caractère personnel », publié à l'adresse https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

    Clauses contractuelles types Clauses contractuelles requises par les lois sur la protection des Données applicables pour le transfert de Données à caractère personnel aux sous-traitants qui ne sont pas établis dans un pays adéquat.

    Addenda du Royaume-Uni aux Clauses contractuelles types  de la Commission européenne relatif au transfert international de Données (« Addenda du Royaume-Uni ») Addenda du Royaume-Uni aux Clauses contractuelles types  de la Commission européenne relatif au transfert international de Données, tel que publié officiellement à l'adresse https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

    L'addenda suisse aux Clauses contractuelles types  de la Commission européenne (« Addenda suisse ») désigne les clauses contractuelles aux Clauses contractuelles types  de la Commission européenne qui s'appliquent conformément à la décision de l'Autorité suisse de protection des Données (« FDPIC ») et en conformité avec la loi fédérale suisse sur la protection des Données (« FADP »).

    5.1 Le Fournisseur ne transférera pas ou ne divulguera pas outre-frontière (y compris par un accès à distance) des Données à caractère personnel de Kyndryl, sans avoir obtenu au préalable le consentement écrit de Kyndryl.  Si Kyndryl accorde un tel consentement, les parties coopéreront pour assurer le respect des lois sur la protection des Données applicables.  Si ces lois exigent l'utilisation de Clauses contractuelles types , le Fournisseur acceptera promptement lesdites clauses à la demande de Kyndryl.

    5.2 Dispositions relatives aux Clauses contractuelles types  de l'Union européenne

    (a) Si le Fournisseur n'est pas établi dans un pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types  de l'Union européenne en tant qu'importateur de Données avec Kyndryl, et il conclura avec chaque sous-traitant ultérieur approuvé un contrat écrit, conformément à la clause 9 des Clauses contractuelles types  de l'Union européenne, et il fournira à Kyndryl une copie d'un tel contrat sur demande. 

    (i) Le module 1 des Clauses contractuelles types  de l'Union européenne ne s'applique pas, à moins que les parties en conviennent autrement par écrit.

    (ii) Le module 2 des Clauses contractuelles types  de l'Union européenne s'applique lorsque Kyndryl est un responsable du traitement et le module 3 s'applique lorsque Kyndryl est un sous-traitant. Conformément à l'article 13 des Clauses contractuelles types  de l'Union européenne, lorsque les modules 2 ou 3 s'appliquent, les parties conviennent que (1) les Clauses contractuelles types  de l'Union européenne seront régies par la loi de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente et (2) que tout litige découlant des Clauses contractuelles types  de l'Union européenne sera soumis aux tribunaux de l'État membre de l'Union européenne où se trouve l'autorité de contrôle compétente. Si la loi mentionnée au point (1) n'autorise pas les droits des tiers bénéficiaires, alors les Clauses contractuelles types  de l'Union européenne seront régies par la loi des Pays-Bas et tout litige découlant des Clauses contractuelles types  de l'Union européenne en vertu du point (2) sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

    (b) Si les deux parties, le Fournisseur et Kyndryl, sont établis dans un pays adéquat, le Fournisseur agira en tant qu'exportateur de Données et s'engagera à conclure des Clauses contractuelles types  de l'Union européenne avec chaque sous-traitant ultérieur approuvé dans un pays non adéquat. Le Fournisseur effectuera l'évaluation de l'impact du transfert (TIA) requise et informera Kyndryl dans les meilleurs délais (1) de tout besoin d'appliquer des mesures supplémentaires et (2) des mesures appliquées. Sur demande, le Fournisseur fournira les résultats de l'évaluation TIA et toute information nécessaire pour permettre à Kyndryl de comprendre et d'évaluer les résultats. Dans le cas où Kyndryl n'est pas d'accord avec les résultats de l'évaluation de l'impact du transfert des fournisseurs ou les mesures supplémentaires appliquées, Kyndryl et le Fournisseur travailleront ensemble pour trouver une solution viable. Kyndryl se réserve le droit de suspendre ou de résilier les Services des fournisseurs concernés sans rémunération. Pour éviter toute ambiguïté, cela ne dégage pas les sous-traitants ultérieurs du Fournisseur de l'obligation de faire partie des Clauses contractuelles types  de l'Union européenne avec Kyndryl ou ses Clients, comme indiqué au paragraphe 5.2 (d) ci-dessous.

    (c) Si le Fournisseur est établi dans la zone économique européenne et que Kyndryl est un responsable du traitement non soumis au Règlement général sur la protection des Données 2016/679, alors le module 4 des Clauses contractuelles types  de l'Union européenne s'applique, et le Fournisseur conclut par les présentes des Clauses contractuelles types  de l'Union européenne en tant qu'exportateur de Données avec Kyndryl.  Si le module 4 des Clauses contractuelles types  de l'Union européenne s'applique, les parties conviennent que les Clauses contractuelles types  de l'Union européenne seront régies par la loi des Pays-Bas et que tout litige découlant des Clauses contractuelles types  de l'Union européenne sera résolu par le tribunal d'Amsterdam aux Pays-Bas.  

    (d) Si d'autres responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent de faire partie des Clauses contractuelles types  de l'Union européenne conformément à la « clause d'amarrage » de la clause 7, le Fournisseur accepte par les présentes une telle demande.  

    (e) Les mesures techniques et organisationnelles requises pour remplir l'Annexe II des Clauses contractuelles types  de l'Union européenne se trouvent dans les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties.

    (f) En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types  de l'Union européenne, ces dernières prévaudront.

    5.3 Dispositions relatives à l'addenda ou aux addendas du Royaume-Uni :

    a. Si le Fournisseur n'est pas établi dans un Pays adéquat : il (i) convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Importateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées ci-dessus (selon le cas, en fonction des circonstances des activités de traitement); et (ii) conclura avec chaque Sous-traitant ultérieur approuvé un contrat écrit, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    b. Si le Fournisseur est établi dans un Pays adéquat et que Kyndryl est un Responsable du traitement non soumis au Règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé au droit britannique en vertu de la Loi de 2018 sur le retrait de l'Union européenne), il convient par les présentes de conclure un ou plusieurs Addendas du Royaume-Uni en tant qu'Exportateur de Données avec Kyndryl, lesquels s'ajouteront aux Clauses contractuelles types de l'Union européenne énoncées au paragraphe 5.2(b) ci-dessus. 

    c. Si d'autres Responsables du traitement, tels que des Clients ou des sociétés affiliées, demandent à devenir partie à ou aux Addendas du Royaume-Uni, le Fournisseur convient par les présentes d'accepter une telle demande.

    d. Les informations de l'Annexe (telles que présentées dans le tableau 3) dans le ou les Addendas du Royaume-Uni se trouvent dans les Clauses contractuelles types de l'Union européenne applicables, les présentes Modalités, le Document transactionnel lui-même et le contrat de base connexe conclu entre les parties. Ni Kyndryl ni le Fournisseur ne peuvent mettre fin à l'addenda ou aux addendas du Royaume-Uni lorsque ceux-ci changent.

    e. En cas d'incompatibilité entre l'addenda ou les addendas du Royaume-Uni et les présentes Modalités, l'addenda ou les addendas du Royaume-Uni prévaudront.

    5.4 Dispositions relatives aux Clauses contractuelles types  de la Serbie :

    a. Si le Fournisseur n'est pas établi dans un pays adéquat, il : (i) convient par les présentes de l'utilisation des Clauses contractuelles types  de la Serbie avec Kyndryl, en son propre nom, en tant que responsable du traitement; et (ii) conclura avec chaque sous-traitant ultérieur approuvé qui agit en tant qu'importateur de Données un contrat écrit, conformément à la clause 8 des Clauses contractuelles types  de la Serbie, et fournira à Kyndryl une copie d'un tel contrat sur demande.

    b. Si le Fournisseur est établi dans un pays adéquat, il convient par les présentes de l'utilisation des Clauses contractuelles types  de la Serbie au nom de chaque sous-traitant ultérieur situé dans un pays non adéquat.  Si le Fournisseur est incapable d'accepter lesdites clauses au nom d'un sous-traitant ultérieur, il convient de fournir à Kyndryl le document d'acceptation des Clauses contractuelles types  de la Serbie dûment signé par le sous-traitant ultérieur en question. Kyndryl contresignera ensuite ce document avant de permettre au sous-traitant ultérieur de traiter des Données à caractère personnel de Kyndryl.

    c. Les Clauses contractuelles types  de la Serbie convenues par Kyndryl et le Fournisseur lieront directement le responsable du traitement et le sous-traitant ou seront transférées dans un contrat écrit conclu entre le sous-traitant et le sous-traitant ultérieur, selon ce qu'exige la situation.  En cas d'incompatibilité entre les présentes Modalités et les Clauses contractuelles types  de la Serbie, ces dernières prévaudront.

    d. L'information requise pour compléter les annexes 1 à 8 des Clauses contractuelles types  de la Serbie, afin de régir le transfert de Données à caractère personnel à un pays non adéquat, se trouve dans les présentes Modalités et dans l'Annexe au Document transactionnel, ou dans le Document transactionnel lui-même.

    5.5. Dispositions relatives à l'addenda ou aux addendas suisses :

    1. Si et dans la mesure où un transfert de Données à caractère personnel de Kyndryl en vertu du paragraphe 5.1. est soumis à la loi fédérale suisse sur la protection des Données (« FADP »), les Clauses contractuelles types  de l'Union européenne convenues dans le paragraphe 5.2. des présentes Modalités régiront le transfert, avec les modifications suivantes pour adopter la norme RGPD pour les Données à caractère personnel suisses :

    • Les références au Règlement général sur la protection des Données (« RGPD ») s'entendent également comme des références aux dispositions équivalentes de la FADP;

    • La Commission fédérale suisse d'information sur la protection des Données est l'autorité de contrôle compétente conformément à la clause 13 et à l'Annexe I.C des Clauses contractuelles types  de l'Union européenne;

    • Le droit suisse comme loi applicable dans le cas où le transfert est exclusivement soumis à la FADP; et

    • Le terme « État membre » à la clause 18 des Clauses contractuelles types  de l'Union européenne est étendu à la Suisse afin de permettre aux personnes concernées suisses de faire valoir leurs droits dans leur lieu de résidence habituel.

    1. Pour éviter toute ambiguïté, rien de ce qui précède n'est destiné à réduire de quelque manière que ce soit le niveau de protection des Données fourni par les Clauses contractuelles types  de l'Union européenne, mais uniquement à étendre ce niveau de protection aux personnes concernées suisses. Si et dans la mesure où ce n'est pas le cas, les Clauses contractuelles types  de l'Union européenne prévaudront.

     

    6. Assistance et registres

    6.1 Selon la nature du traitement, le Fournisseur aidera Kyndryl en mettant en place les mesures techniques et organisationnelles appropriées pour remplir les obligations associées aux demandes et aux droits des personnes concernées.  Le Fournisseur aidera également Kyndryl à assurer le respect des obligations concernant la sécurité du traitement, la notification et la communication d'une atteinte à la sécurité et la création d'une analyse d'impact sur la protection des Données, y compris la consultation préalable de l'organisme de réglementation pertinente, si nécessaire, en tenant compte de l'information qui est à la disposition du Fournisseur.

    6.2 Le Fournisseur tiendra à jour dans un registre du nom et des coordonnées de chaque sous-traitant ultérieur, y compris du représentant et du délégué à la protection des Données de chaque sous-traitant ultérieur.  Le Fournisseur remettra ce registre à Kyndryl sur demande, dans un délai qui permettra à Kyndryl de répondre en temps opportun à une demande d'un Client ou d'un tiers. 

    ---

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.  

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl  contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.  

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive.  Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires.  Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire. 

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable.  Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

    2. Incidents de sécurité

    2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

    2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl. 

    2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable.  Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées.  Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

    3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.  

    3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel.  Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an. 

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail.  Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl  contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl .  Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense.  Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées.  De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

    4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable.  Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde.  Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données.  Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables.  Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches.  Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte. 

    4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe.  De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur. 

    4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande.  Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs.  De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service. 

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes 

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés.  Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction.  À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl .  Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl .  Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents. 

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl  à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl  en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques.  Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie.  Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit).  En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl .  Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques.  L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.  

    6. Prestation de Services

    6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

    7. Sous-contractants.  Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.  

    8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  3. Si tel est le cas, les articles II (mesures techniques et organisationnelles et sécurité des Données), VIII (mesures techniques et organisationnelles et sécurité générale) et X (coopération, vérification et correction) s'appliquent à cet accès.  

    Exemples :

    • Le Fournisseur stocke, transmet, a accès ou traite de toute autre manière les Données non personnelles que Kyndryl ou les Clients lui fournissent.

    Article II, Mesures techniques et organisationnelles et sécurité des Données

    Cet article s'applique lorsque le Fournisseur traite des Données de Kyndryl autres que les Coordonnées professionnelles de celle-ci.  Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de traitement illicites.  Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Utilisation des Données

    1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, incluant les Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres.  À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de vendre des Données de Kyndryl.

    1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément. 

    2. Demandes de tiers et confidentialité

    2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl.  Si un gouvernement ou un organisme de réglementation exige l'accès aux Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

    2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables y auront accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.  

    3. Restitution ou suppression des Données Kyndryl

    3.1 Au choix de Kyndryl, le Fournisseur supprimera ou restituera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande.  Si Kyndryl en exige la suppression, le Fournisseur rendra les Données illisibles et impossibles à réassembler ou à reconstituer, conformément aux meilleures pratiques de l'industrie, et en certifiera la suppression à Kyndryl.  Si Kyndryl exige la restitution des Données de Kyndryl, le Fournisseur s'en chargera dans les délais et selon les instructions écrites raisonnables de Kyndryl. 

    ---

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.  

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl  contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.  

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive.  Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires.  Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire. 

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable.  Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

    2. Incidents de sécurité

    2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

    2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl. 

    2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable.  Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées.  Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

    3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.  

    3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel.  Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an. 

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail.  Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl  contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl .  Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense.  Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées.  De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

    4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable.  Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde.  Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données.  Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables.  Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches.  Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte. 

    4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe.  De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur. 

    4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande.  Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs.  De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service. 

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes 

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés.  Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction.  À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl .  Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl .  Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents. 

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl  à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl  en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques.  Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie.  Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit).  En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl .  Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques.  L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.  

    6. Prestation de Services

    6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

    7. Sous-contractants.  Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.  

    8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  4. Si tel est le cas, les articles IV (mesures techniques et organisationnelles et sécurité du code), V (développement sécurisé), VIII (mesures techniques et organisationnelles et sécurité générale) et X (coopération, vérification et correction) s'appliquent à cet accès.  

    Exemples :

    • Le Fournisseur assume des responsabilités associées au développement pour un produit Kyndryl, et Kyndryl rend son Code source accessible au Fournisseur pour ce développement.

    • Le Fournisseur crée un Code source qui appartiendra ensuite à Kyndryl.

    Article IV, Mesures techniques et organisationnelles et sécurité du code

    Cet article s'applique lorsque le Fournisseur a accès au Code source de Kyndryl.  Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera le Code source de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés et les moyens de manipulation illicites.  Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Exigences relatives à la sécurité 

    Les termes utilisés ci-dessous ont la signification indiquée ci-après : 

    Pays interdit - Tout pays : (a) que le gouvernement américain a désigné comme étant un « adversaire étranger » dans le décret du 15 mai 2019 pour la sécurisation de la chaîne d'approvisionnement des technologies et Services d'information et de communication; (b) énuméré conformément à l'article 1654 du U.S. National Defense Authorization Act de 2019; ou (c) identifié comme étant un « pays interdit » dans le Document transactionnel.

    1.1 Le Fournisseur ne distribuera pas ou ne mettra pas le Code source de Kyndryl en mains tierces au profit d'un tiers. 

    1.2 Le Fournisseur ne permettra pas que du Code source de Kyndryl réside dans des serveurs qui sont situés dans un pays interdit.Le Fournisseur ne permettra pas à quiconque (même son personnel) situé dans un pays interdit ou en visite dans un pays interdit (pour la durée d'une telle visite) d'accéder à ou d'utiliser du Code source de Kyndryl, pour quelque raison que ce soit, sans égard à l'endroit où se trouve ce Code source de Kyndryl dans le monde. En outre, le Fournisseur ne permettra aucun développement, test ou autres travaux dans un pays interdit qui nécessiterait un tel accès ou une telle utilisation.

    1.3 Le Fournisseur n'introduira pas ou ne distribuera pas de Code source de Kyndryl dans un territoire où la loi ou l'interprétation de la loi exige de divulguer le Code source à un tiers.  Si un changement dans la loi ou l'interprétation de la loi d'un territoire dans lequel se trouve du Code source de Kyndryl peut avoir pour effet d'obliger le Fournisseur à divulguer ce Code source à un tiers, le Fournisseur détruira ou retirera immédiatement ce Code source de ce territoire, et n'introduira aucun autre Code source de Kyndryl dans ce même territoire tant qu'une telle loi ou interprétation de la loi demeurera en vigueur.

    1.4 Le Fournisseur ne prendra aucune mesure, directement ou indirectement, y compris la conclusion d'un contrat, qui aurait pour effet de créer une obligation de divulgation pour le Fournisseur, Kyndryl ou un tiers aux termes des articles 1654 ou 1655 du U.S. National Defense Authorization Act de 2019.  Pour plus de clarté, sauf autorisation expresse dans le Document transactionnel ou dans le contrat de base conclu entre les parties, il est entendu que le Fournisseur n'est pas autorisé à divulguer du Code source de Kyndryl à un tiers, quelle que soit la circonstance, sans obtenir au préalable le consentement écrit de Kyndryl.

    1.5 Si Kyndryl avise le Fournisseur ou si un tiers avise l'une ou l'autre des parties que : (a) le Fournisseur a permis d'introduire du Code source de Kyndryl dans un pays interdit ou dans un territoire assujetti au paragraphe 1.3 plus haut; (b) le Fournisseur a autrement diffusé ou utilisé du Code source de Kyndryl ou y a accédé d'une façon interdite selon le Document transactionnel, dans le contrat de base connexe ou un autre contrat conclu entre les parties; ou (c) le Fournisseur n'a pas respecté les dispositions du paragraphe 1.4 plus haut, alors, sans limiter les droits de Kyndryl à remédier à cette non-conformité en droit, en équité ou dans le cadre du Document transactionnel, du contrat de base connexe ou d'un autre contrat conclu entre les parties : (i) si cette notification est transmise au Fournisseur, alors ce dernier partagera promptement cette notification avec Kyndryl; et (ii) le Fournisseur mènera une enquête et remédiera au problème en suivant les directives et dans un délai que déterminera raisonnablement Kyndryl (après avoir consulté le Fournisseur).

    1.6 Si Kyndryl a des motifs raisonnables de croire que des changements dans les politiques, procédures, contrôles ou pratiques du Fournisseur concernant l'accès au Code source peuvent être nécessaire pour contrer les risques en cybersécurité, de vol de propriété intellectuelle ou des risques semblables ou connexes, y compris le fait de ne pas apporter de tels changements, qui risque d'empêcher Kyndryl de vendre à certains Clients ou dans certains marchés ou de répondre autrement aux exigences concernant la sécurité des Clients ou de la chaîne d'approvisionnement, alors Kyndryl peut communiquer avec le Fournisseur pour discuter des mesures nécessaires afin de contrer de tels risques, y compris des changements à ces politiques, procédures, contrôles et pratiques.  À la demande de Kyndryl, le Fournisseur coopérera avec Kyndryl pour déterminer si de tels changements sont nécessaires et pour apporter les modifications appropriées et convenues par les deux parties. 

    ---

    Article V, Développement sécurisé 

    Cet article s'applique lorsque le Fournisseur fournira son Code source ou ses logiciels sur site, ou ceux d'un tiers, à Kyndryl, ou si l'un des Livrables ou Services du Fournisseur sera fourni à un Client de Kyndryl dans le cadre d'un produit ou d'un Service Kyndryl.

    1. État de préparation pour la sécurité 

    1.1 Le Fournisseur apportera son concours aux processus internes de Kyndryl qui évaluent l'état de préparation pour la sécurité des produits et Services de Kyndryl qui s'appuient sur des Livrables du Fournisseur, notamment en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, de registres, d'entrevues du personnel pertinent du Fournisseur ou d'autres moyens semblables.

    2. Développement sécurisé

    2.1 Cette section 2 s'applique uniquement lorsque le Fournisseur fournit des logiciels sur site à Kyndryl.

    2.2 Le Fournisseur a mis en œuvre et mettra à jour, pendant toute la durée du Document transactionnel, conformément aux meilleures pratiques de l'industrie, les politiques, procédures et contrôles de sécurité axés sur les réseaux, plateformes, systèmes, applications, dispositifs, infrastructure physique, réponse aux incidents et personnel qui sont nécessaires pour protéger : (a) les systèmes et les environnements de développement, de test et d'exploitation que le Fournisseur ou tout tiers engagé par le Fournisseur exploite, gère ou utilise, ou sur lequel il compte autrement à l'égard des Livrables et (b) tout Code source de Livrables contre la perte, les moyens de manipulation illicites, et l'accès, la divulgation ou la modification non autorisé.

    3. Certification ISO 20243

    3.1 Cette section 3 s'applique uniquement si les Livrables ou les Services du Fournisseur seront fournis à un Client de Kyndryl dans le cadre d'un produit ou d'un Service Kyndryl.

    3.2 Le Fournisseur obtiendra une certification de conformité à la norme ISO 20243, technologies de l'information, Fournisseur de technologie de confiance ouverte (O-TTPS), atténuation des produits malicieusement altérés et contrefaits, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé.  Comme solution de rechange, le Fournisseur peut aussi obtenir une certification de conformité à une norme de l'industrie essentiellement équivalente, qui encadre les pratiques de développement et de chaîne d'approvisionnement sécurisées, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé, en faisant une demande écrite de reconnaissance d'une telle certification à Kyndryl et en obtenant son approbation.  

    3.3 Le Fournisseur obtiendra l'approbation de conformité à la norme ISO 20243 ou à une norme de l'industrie essentiellement équivalente (avec l'approbation écrite de Kyndryl) dans les 180 jours suivant la date d'entrée en vigueur du Document transactionnel,

    puis renouvellera cette certification tous les 12 mois par la suite, en fonction de la plus récente version de la norme ISO 20243 ou d'une norme de l'industrie essentiellement équivalente (avec l'approbation écrite de Kyndryl) qui s'applique aux pratiques de développement et de chaînes d'approvisionnement sécurisées.  

    3.4 À la demande de Kyndryl, le Fournisseur remettra promptement à Kyndryl une copie des certifications qu'il est tenu d'obtenir aux termes des paragraphes 2.1 et 2.2 plus haut.  

    4. Vulnérabilités de sécurité

    Les termes utilisés ci-dessous ont la signification indiquée ci-après : 

    Correction d'erreur Correction et révision d'un bogue qui ont pour effet de corriger des erreurs ou des défauts, y compris des vulnérabilités de la sécurité dans les Livrables.

    Mesure d'atténuation - Tout moyen connu d'atténuer ou d'éviter les risques que pose une vulnérabilité de la sécurité.

    Vulnérabilité de sécurité État de la conception, du code, du développement, de la mise en œuvre, des tests, de l'opération, de la prise en charge, de la maintenance ou de la gestion d'un livrable qui permet à toute personne de lancer une attaque pouvant entraîner un accès non autorisé, une exploitation, y compris : (a) l'accès à un système, le contrôle ou la perturbation de son fonctionnement; (b) l'accès aux Données ou leur suppression, modification ou extraction; ou (c) des changements d'identité, d'autorisations ou de droits d'accès des utilisateurs ou des administrateurs.  Il peut y avoir une vulnérabilité de sécurité même si une telle vulnérabilité n'a pas été identifiée dans la liste Common Vulnerabilities and Exposures (CVE), et qu'aucun pointage ou classification officielle ne lui a été attribué.  

    4.1 Le Fournisseur déclare et garantit qu'il : (a) utilisera les meilleures pratiques l'industrie pour détecter les vulnérabilités de sécurité, notamment en procédant à une analyse continue de la sécurité des applications utilisant du Code source statique et dynamique, à une analyse de la sécurité du Code source libre et des vulnérabilités des systèmes; et (b) respectera les exigences des présentes Modalités pour aider à prévenir, à détecter et à corriger les vulnérabilités de sécurité dans les Livrables et dans l'ensemble des applications, des plateformes et de l'infrastructure informatiques dans lesquelles et par lesquelles le Fournisseur crée et fournit des Services et des Livrables. 

    4.2 S'il découvre une vulnérabilité de sécurité dans un livrable ou dans une application, une plateforme ou une infrastructure informatique, le Fournisseur fournira à Kyndryl une correction d'erreur et des mesures d'atténuation pour toutes les versions et les éditions de ce livrable, en fonction des niveaux de gravité et des délais indiqués dans le tableau qui suit :

     

     

     

     

     

     

     

     

     

    Niveau de gravité*

     

     

     

     

     

     

     

     

    Vulnérabilité de sécurité urgente - Vulnérabilité de sécurité présentant une menace grave et potentiellement globale.  Kyndryl détermine à sa seule discrétion quelles sont les vulnérabilités de sécurité urgente, sans égard au score de base du système d'évaluation des vulnérabilités CVSS.

     

     

     

     

     

     

     

     

    Critique - Vulnérabilité de la sécurité dont le score de base CVSS se situe entre 9 et 10

     

     

     

     

     

     

     

     

    Élevé – Vulnérabilité de sécurité dont le score de base CVSS se situe entre 7 et 8,9

     

     

     

     

     

     

     

     

    Moyen – Vulnérabilité de sécurité dont le score de base CVSS se situe entre 4 et 6,9

     

     

     

     

     

     

     

     

    Faible – Vulnérabilité de sécurité dont le score de base CVSS se situe entre 0 et 3,9

     

     

     

     

     

     

     

     

     

     

     

    Délais 

     

     

     

     

     

     

     

     

    Urgent

     

     

     

     

     

     

    Critique

     

     

     

     

     

     

    Élevé

     

     

     

     

     

     

    Modéré

     

     

     

     

     

     

    Faible

     

     

     

     

     

     

     

     

    4 jours ou moins, tel que déterminé par le bureau de la sécurité des informations Kyndryl

     

     

     

     

     

     

    30 jours

     

     

     

     

     

     

    30 jours

     

     

     

     

     

     

    90 jours

     

     

     

     

     

     

    Selon les meilleures pratiques de l'industrie

     

     

     

    * Si un score de base CVSS n'a pas déjà été attribuée à une vulnérabilité de sécurité, le Fournisseur proposera un niveau de gravité qui est approprié compte tenu de la nature et des circonstances associées à cette vulnérabilité.    

    4.3 Dans le cas d'une vulnérabilité de sécurité qui a été signalée publiquement et pour laquelle le Fournisseur n'a pas encore fourni à Kyndryl une correction d'erreur ou une mesure d'atténuation, le Fournisseur mettra en place tous les contrôles de sécurité supplémentaires techniquement praticables pouvant atténuer les risques que pose cette vulnérabilité.

    4.4 Si Kyndryl est insatisfaite de l'intervention du Fournisseur en réponse à une vulnérabilité de la sécurité dans un livrable, une application, une plateforme ou une infrastructure susmentionnée, le Fournisseur veillera à organiser rapidement un entretien entre Kyndryl et un vice-président ou un dirigeant équivalent du Fournisseur qui est responsable de la livraison de la correction d'erreur afin de discuter de cette préoccupation de Kyndryl, et ce, sans préjudice de tout autre droit de Kyndryl.  

    4.5 Voici des exemples de vulnérabilités de sécurité : du code d'un tiers ou du Code source ouvert en fin de Service pour lequel il n'est plus possible de recevoir des correctifs de sécurité.

    ---

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.  

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl  contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.  

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive.  Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires.  Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire. 

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable.  Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

    2. Incidents de sécurité

    2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

    2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl. 

    2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable.  Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées.  Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

    3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.  

    3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel.  Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an. 

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail.  Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl  contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl .  Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense.  Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées.  De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

    4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable.  Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde.  Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données.  Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables.  Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches.  Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte. 

    4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe.  De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur. 

    4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande.  Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs.  De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service. 

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes 

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés.  Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction.  À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl .  Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl .  Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents. 

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl  à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl  en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques.  Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie.  Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit).  En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl .  Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques.  L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.  

    6. Prestation de Services

    6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

    7. Sous-contractants.  Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.  

    8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  5. Si tel est le cas, lorsque le Fournisseur fournit à Kyndryl son Code source ou celui d'un tiers, ou lorsque l'un des Livrables ou Services du Fournisseur sera fourni à un Client de Kyndryl dans le cadre d'un produit ou Service Kyndryl, les articles V (développement sécurisé), VIII (mesures techniques et organisationnelles et sécurité générale), et X (coopération, vérification et correction) s'appliquent.  

    Si le Fournisseur n'offre que des logiciels sur site à Kyndryl, les articles V (développement sécurisé) et X (coopération, vérification et remédiation) s'appliquent. 

    Exemples :

    • Le Fournisseur crée un Code source qui lui appartiendra pour un produit que Kyndryl mettra en marché et vendra.

    • Le Fournisseur concède à Kyndryl une licence pour l'autoriser à utiliser un logiciel sur site.

    • Kyndryl change le nom d'un Service hébergé par le Fournisseur, que ce dernier héberge et gère, pour en faire un produit ou un Service Kyndryl.

    Remarque : L'article VIII (mesures techniques et organisationnelles et sécurité générale) s'appliquera également à un Fournisseur offrant des logiciels sur site à Kyndryl, si d'autres particularités d'un mandat font que l'article VIII s'applique (p. ex., lorsque le Fournisseur a accès à des renseignements autres que les Coordonnées professionnelles, tels que des Données à caractère personnel ou non personnel de Kyndryl).

    Article V, Développement sécurisé 

    Cet article s'applique lorsque le Fournisseur fournira son Code source ou ses logiciels sur site, ou ceux d'un tiers, à Kyndryl, ou si l'un des Livrables ou Services du Fournisseur sera fourni à un Client de Kyndryl dans le cadre d'un produit ou d'un Service Kyndryl.

    1. État de préparation pour la sécurité 

    1.1 Le Fournisseur apportera son concours aux processus internes de Kyndryl qui évaluent l'état de préparation pour la sécurité des produits et Services de Kyndryl qui s'appuient sur des Livrables du Fournisseur, notamment en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, de registres, d'entrevues du personnel pertinent du Fournisseur ou d'autres moyens semblables.

    2. Développement sécurisé

    2.1 Cette section 2 s'applique uniquement lorsque le Fournisseur fournit des logiciels sur site à Kyndryl.

    2.2 Le Fournisseur a mis en œuvre et mettra à jour, pendant toute la durée du Document transactionnel, conformément aux meilleures pratiques de l'industrie, les politiques, procédures et contrôles de sécurité axés sur les réseaux, plateformes, systèmes, applications, dispositifs, infrastructure physique, réponse aux incidents et personnel qui sont nécessaires pour protéger : (a) les systèmes et les environnements de développement, de test et d'exploitation que le Fournisseur ou tout tiers engagé par le Fournisseur exploite, gère ou utilise, ou sur lequel il compte autrement à l'égard des Livrables et (b) tout Code source de Livrables contre la perte, les moyens de manipulation illicites, et l'accès, la divulgation ou la modification non autorisé.

    3. Certification ISO 20243

    3.1 Cette section 3 s'applique uniquement si les Livrables ou les Services du Fournisseur seront fournis à un Client de Kyndryl dans le cadre d'un produit ou d'un Service Kyndryl.

    3.2 Le Fournisseur obtiendra une certification de conformité à la norme ISO 20243, technologies de l'information, Fournisseur de technologie de confiance ouverte (O-TTPS), atténuation des produits malicieusement altérés et contrefaits, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé.  Comme solution de rechange, le Fournisseur peut aussi obtenir une certification de conformité à une norme de l'industrie essentiellement équivalente, qui encadre les pratiques de développement et de chaîne d'approvisionnement sécurisées, que ce soit une certification par auto-évaluation ou fondée sur l'évaluation d'un auditeur indépendant réputé, en faisant une demande écrite de reconnaissance d'une telle certification à Kyndryl et en obtenant son approbation.  

    3.3 Le Fournisseur obtiendra l'approbation de conformité à la norme ISO 20243 ou à une norme de l'industrie essentiellement équivalente (avec l'approbation écrite de Kyndryl) dans les 180 jours suivant la date d'entrée en vigueur du Document transactionnel,

    puis renouvellera cette certification tous les 12 mois par la suite, en fonction de la plus récente version de la norme ISO 20243 ou d'une norme de l'industrie essentiellement équivalente (avec l'approbation écrite de Kyndryl) qui s'applique aux pratiques de développement et de chaînes d'approvisionnement sécurisées.  

    3.4 À la demande de Kyndryl, le Fournisseur remettra promptement à Kyndryl une copie des certifications qu'il est tenu d'obtenir aux termes des paragraphes 2.1 et 2.2 plus haut.  

    4. Vulnérabilités de sécurité

    Les termes utilisés ci-dessous ont la signification indiquée ci-après : 

    Correction d'erreur Correction et révision d'un bogue qui ont pour effet de corriger des erreurs ou des défauts, y compris des vulnérabilités de la sécurité dans les Livrables.

    Mesure d'atténuation - Tout moyen connu d'atténuer ou d'éviter les risques que pose une vulnérabilité de la sécurité.

    Vulnérabilité de sécurité État de la conception, du code, du développement, de la mise en œuvre, des tests, de l'opération, de la prise en charge, de la maintenance ou de la gestion d'un livrable qui permet à toute personne de lancer une attaque pouvant entraîner un accès non autorisé, une exploitation, y compris : (a) l'accès à un système, le contrôle ou la perturbation de son fonctionnement; (b) l'accès aux Données ou leur suppression, modification ou extraction; ou (c) des changements d'identité, d'autorisations ou de droits d'accès des utilisateurs ou des administrateurs.  Il peut y avoir une vulnérabilité de sécurité même si une telle vulnérabilité n'a pas été identifiée dans la liste Common Vulnerabilities and Exposures (CVE), et qu'aucun pointage ou classification officielle ne lui a été attribué.  

    4.1 Le Fournisseur déclare et garantit qu'il : (a) utilisera les meilleures pratiques l'industrie pour détecter les vulnérabilités de sécurité, notamment en procédant à une analyse continue de la sécurité des applications utilisant du Code source statique et dynamique, à une analyse de la sécurité du Code source libre et des vulnérabilités des systèmes; et (b) respectera les exigences des présentes Modalités pour aider à prévenir, à détecter et à corriger les vulnérabilités de sécurité dans les Livrables et dans l'ensemble des applications, des plateformes et de l'infrastructure informatiques dans lesquelles et par lesquelles le Fournisseur crée et fournit des Services et des Livrables. 

    4.2 S'il découvre une vulnérabilité de sécurité dans un livrable ou dans une application, une plateforme ou une infrastructure informatique, le Fournisseur fournira à Kyndryl une correction d'erreur et des mesures d'atténuation pour toutes les versions et les éditions de ce livrable, en fonction des niveaux de gravité et des délais indiqués dans le tableau qui suit :

     

     

     

     

     

     

     

     

     

    Niveau de gravité*

     

     

     

     

     

     

     

     

    Vulnérabilité de sécurité urgente - Vulnérabilité de sécurité présentant une menace grave et potentiellement globale.  Kyndryl détermine à sa seule discrétion quelles sont les vulnérabilités de sécurité urgente, sans égard au score de base du système d'évaluation des vulnérabilités CVSS.

     

     

     

     

     

     

     

     

    Critique - Vulnérabilité de la sécurité dont le score de base CVSS se situe entre 9 et 10

     

     

     

     

     

     

     

     

    Élevé – Vulnérabilité de sécurité dont le score de base CVSS se situe entre 7 et 8,9

     

     

     

     

     

     

     

     

    Moyen – Vulnérabilité de sécurité dont le score de base CVSS se situe entre 4 et 6,9

     

     

     

     

     

     

     

     

    Faible – Vulnérabilité de sécurité dont le score de base CVSS se situe entre 0 et 3,9

     

     

     

     

     

     

     

     

     

     

     

    Délais 

     

     

     

     

     

     

     

     

    Urgent

     

     

     

     

     

     

    Critique

     

     

     

     

     

     

    Élevé

     

     

     

     

     

     

    Modéré

     

     

     

     

     

     

    Faible

     

     

     

     

     

     

     

     

    4 jours ou moins, tel que déterminé par le bureau de la sécurité des informations Kyndryl

     

     

     

     

     

     

    30 jours

     

     

     

     

     

     

    30 jours

     

     

     

     

     

     

    90 jours

     

     

     

     

     

     

    Selon les meilleures pratiques de l'industrie

     

     

     

    * Si un score de base CVSS n'a pas déjà été attribuée à une vulnérabilité de sécurité, le Fournisseur proposera un niveau de gravité qui est approprié compte tenu de la nature et des circonstances associées à cette vulnérabilité.    

    4.3 Dans le cas d'une vulnérabilité de sécurité qui a été signalée publiquement et pour laquelle le Fournisseur n'a pas encore fourni à Kyndryl une correction d'erreur ou une mesure d'atténuation, le Fournisseur mettra en place tous les contrôles de sécurité supplémentaires techniquement praticables pouvant atténuer les risques que pose cette vulnérabilité.

    4.4 Si Kyndryl est insatisfaite de l'intervention du Fournisseur en réponse à une vulnérabilité de la sécurité dans un livrable, une application, une plateforme ou une infrastructure susmentionnée, le Fournisseur veillera à organiser rapidement un entretien entre Kyndryl et un vice-président ou un dirigeant équivalent du Fournisseur qui est responsable de la livraison de la correction d'erreur afin de discuter de cette préoccupation de Kyndryl, et ce, sans préjudice de tout autre droit de Kyndryl.  

    4.5 Voici des exemples de vulnérabilités de sécurité : du code d'un tiers ou du Code source ouvert en fin de Service pour lequel il n'est plus possible de recevoir des correctifs de sécurité.

    ---

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.  

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl  contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.  

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive.  Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires.  Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire. 

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable.  Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

    2. Incidents de sécurité

    2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

    2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl. 

    2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable.  Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées.  Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

    3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.  

    3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel.  Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an. 

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail.  Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl  contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl .  Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense.  Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées.  De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

    4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable.  Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde.  Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données.  Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables.  Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches.  Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte. 

    4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe.  De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur. 

    4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande.  Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs.  De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service. 

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes 

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés.  Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction.  À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl .  Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl .  Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents. 

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl  à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl  en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques.  Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie.  Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit).  En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl .  Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques.  L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.  

    6. Prestation de Services

    6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

    7. Sous-contractants.  Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.  

    8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  6. Si tel est le cas, les articles VI (accès aux Systèmes d'entreprise), VIII (mesures techniques et organisationnelles et sécurité générale) et X (coopération, vérification et correction) s'appliquent à cet accès.  

    Exemples :

    • Le Fournisseur assume des responsabilités pour le développement qui l'obligent à accéder aux référentiels de Code source de Kyndryl. 

    Remarque : Les articles II (mesures techniques et organisationnelles et sécurité des Données), III (protection des renseignements personnels), IV (mesures techniques et organisationnelles et sécurité du code) et V (développement sécurisé) peuvent aussi s'appliquer, en fonction des Œuvres de Kyndryl auxquels le Fournisseur est autorisé à accéder dans les Systèmes d'entreprise.  

    Article VI, Accès aux Systèmes d'entreprise

    Cet article s'applique lorsque des employés du Fournisseur ont accès à un système d'entreprise.  

    1. Modalités générales

    1.1 Kyndryl déterminera s'il faut ou non autoriser des employés du Fournisseur à accéder aux Systèmes d'entreprise.  Si Kyndryl accorde cette autorisation, le Fournisseur devra respecter les exigences du présent article et veiller à ce que ses employés qui obtiennent un tel droit d'accès respectent également ces exigences.  

    1.2 Kyndryl indiquera les moyens par lesquels les employés du Fournisseur pourront accéder aux Systèmes d'entreprise, notamment si ces employés accéderont aux Systèmes d'entreprise à l'aide d'Appareils fournis par Kyndryl ou par le Fournisseur.  

    1.3 Les employés du Fournisseur peuvent uniquement accéder aux Systèmes d'entreprise et utiliser les Appareils que Kyndryl autorise pour un tel accès, afin de fournir les Services.  Ces employés ne sont pas autorisés à se servir des Appareils que Kyndryl autorise pour fournir des Services à toute autre personne ou entité, ni pour accéder à des systèmes informatiques, des réseaux, des applications, des sites Web, des outils de courrier électronique ou de collaboration ou des composants semblables du Fournisseur ou d'un tiers pour les Services ou en lien avec ceux-ci.

    1.4 Il est entendu que les employés du Fournisseur ne peuvent pas utiliser les Appareils autorisés par Kyndryl pour accéder aux Systèmes d'entreprise à des fins personnelles (p. ex., pour stocker dans ces Appareils des fichiers personnels contenant de la musique, des vidéos, des photos, d'autres contenus semblables ou pour utiliser l'Internet).

    1.5 Les employés du Fournisseur ne copieront pas d'Œuvres de Kyndryl qui sont accessibles par l'entremise d'un système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl, et ne copieront jamais de tels Œuvres dans un dispositif de stockage amovible, comme une clé USB, un disque dur externe ou un autre dispositif semblable.

    1.6 À la demande de Kyndryl, le Fournisseur confirmera le nom de chacun de ses employés qui est autorisé à accéder à un système d'entreprise, ainsi que les Systèmes d'entreprise auxquels ces employés ont accédé au cours de toute période déterminée par Kyndryl.

    1.7 Le Fournisseur avisera Kyndryl dans les vingt-quatre (24) heures lorsqu'un de ses employés ayant accès à un système d'entreprise : (a) ne fait plus partie du personnel du Fournisseur; ou (b) n'exerce plus d'activités qui nécessitent un tel accès.  Le Fournisseur travaillera avec Kyndryl pour veiller à ce que le droit d'accès d'un tel ex-employé ou d'un employé actuel soit immédiatement révoqué.

    1.8 Le Fournisseur signalera immédiatement à Kyndryl tout incident de sécurité réel ou soupçonné (comme la perte d'un appareil de Kyndryl ou du Fournisseur, l'accès non autorisé à un Appareils ou à des Données, à des Œuvres ou à d'autres informations de toute nature) et coopérera avec Kyndryl dans l'enquête menée sur de tels incidents.

    1.9 Le Fournisseur ne peut autoriser un agent, un entrepreneur indépendant ou l'employé d'un sous-traitant à accéder à un système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, le Fournisseur devra obliger contractuellement ces personnes et leur employeur à respecter les exigences du présent article, comme si ces personnes étaient des employés du Fournisseur, et sera responsable envers Kyndryl de toutes les actions et omissions d'agir de ces personnes ou de ces employeurs en ce qui concerne l'accès à un système d'entreprise. 

    2. Logiciels des Appareils 

    2.1 Le Fournisseur demandera à ses employés d'installer en temps opportun tous les logiciels des Appareils exigés par Kyndryl pour faciliter l'accès aux Systèmes d'entreprise de manière sécurisée.  Le Fournisseur et ses employés ne sont pas autorisés à entraver le fonctionnement de ces logiciels ou des fonctions de sécurité activées par ces logiciels.

    2.2 Le Fournisseur et ses employés respecteront les règles de configuration des Appareils établies par Kyndryl, et travailleront avec celle-ci pour s'assurer que les logiciels fonctionnent comme le désire Kyndryl.  Par exemple, le Fournisseur ne contournera pas un blocage de sites Web par les logiciels ou des fonctions de correction logicielle automatisées.

    2.3 Les employés du Fournisseur ne sont pas autorisés à partager avec quiconque les Appareils qu'ils utilisent pour accéder à des Systèmes d'entreprise, ni leur nom d'utilisateur, leur mot de passe ou toute information semblable utilisés avec ces Appareils.

    2.4 Si Kyndryl autorise des employés du Fournisseur à accéder à des Systèmes d'entreprise à l'aide d'Appareils du Fournisseur, ce dernier devra installer et exécuter sur ces Appareils un système d'exploitation approuvé par Kyndryl, mais aussi effectuer une mise à niveau à une nouvelle version de ce système d'exploitation ou à un nouveau système d'exploitation dans un délai raisonnable après avoir reçu de telles instructions de Kyndryl.  

    3. Supervision et coopération

    3.1 Kyndryl a le droit absolu de surveiller et de remédier à une intrusion potentielle et à d'autres menaces, de la façon, à partir des endroits et à l'aide des moyens que Kyndryl juge nécessaires ou appropriés, sans fournir de préavis au Fournisseur, aux employés de celui-ci ou à toute autre personne.  À titre d'exemple, Kyndryl peut en tout temps : (a) effectuer un test de sécurité sur tout appareil; (b) surveiller, récupérer par des moyens techniques ou autres et passer en revue les communications (dont les courriels issus de tout compte de courrier électronique), des enregistrements, des fichiers et d'autres éléments enregistrés dans un appareil quelconque ou transmis par l'entremise d'un système d'entreprise; et (c) acquérir une copie-image intégrale de tout appareil.  Si Kyndryl nécessite la coopération du Fournisseur pour exercer ses droits, le Fournisseur répondra entièrement et en temps opportun aux demandes de Kyndryl pour une telle coopération. Il peut s'agir, par exemple, de demandes pour configurer un logiciel de surveillance ou un autre type de logiciel dans un appareil, de partager des détails sur les connexions à un système, de participer aux mesures d'intervention en cas d'incident avec un appareil, de fournir un accès physique à un appareil pour permettre à Kyndryl d'obtenir une copie-image intégrale ou d'autres demandes semblables et connexes.  

    3.2 Si Kyndryl croit qu'une telle mesure est nécessaire pour se protéger, elle peut révoquer en tout temps le droit d'accès aux Systèmes d'entreprise pour un ou l'ensemble des employés du Fournisseur, sans en aviser le Fournisseur, aux employés de celui-ci ou à toute autre personne.

    3.3 Les droits de Kyndryl ne sont pas entravés, affaiblis ou restreints par toute disposition du Document transactionnel, du contrat de base connexe ou de tout autre contrat conclu entre les parties, y compris toute disposition pouvant exiger de conserver des Données, des Œuvres ou d'autres informations de quelque nature que ce soit à un ou des endroits définis, ou que seules des personnes situées à un ou des endroits définis aient accès à de telles Données, Œuvres ou autre information.

    4. Appareils de Kyndryl

    4.1 Kyndryl conservera la propriété de tous ses Appareils, alors que le Fournisseur assumera le risque de perte de ces Appareils, y compris en raison d'un vol, de vandalisme ou de négligence.  Le Fournisseur ne modifiera pas ou ne permettra pas de modifier les Appareils de Kyndryl sans obtenir au préalable le consentement écrit de Kyndryl. La modification d'un appareil comprend notamment toute modification apportée aux logiciels, aux applications, à la conception et à la configuration de la sécurité de l'appareil ou à sa conception physique, mécanique ou électrique.

    4.2 Le Fournisseur retournera tous les Appareils de Kyndryl dans les cinq (5) jours ouvrables après que ces Appareils ne soient plus nécessaires à la fourniture des Services. Il devra aussi, si Kyndryl le demande, détruire simultanément dans ces Appareils l'ensemble des Données, des Œuvres et d'autres informations de quelque nature que ce soit, sans en conserver une copie, en suivant les meilleures pratiques de l'industrie, afin d'effacer de manière permanente toutes ces Données, ces Œuvres et autres informations.  Le Fournisseur emballera et retournera à ses propres frais les Appareils de Kyndryl à l'endroit indiqué par Kyndryl, et ce, dans la même condition qu'ils étaient au moment de leur livraison au Fournisseur, exception faite de l'usure raisonnable.  Tout manquement du Fournisseur à l'une ou l'autre des obligations définies dans le présent paragraphe 4.2 constituera un manquement à une conditions essentielle du Document transactionnel, du contrat de base connexe et de tout autre contrat afférent conclu entre les parties. Un contrat est considéré comme étant « afférent » si l'accès à un système d'entreprise facilite les tâches ou d'autres activités du Fournisseur aux termes de ce même contrat.

    4.3 Kyndryl fournira de l'assistance pour ses Appareils et procédera notamment à leur inspection et à leur maintenance préventive et corrective.  Le Fournisseur doit aviser promptement Kyndryl de tout besoin de maintenance corrective. 

    4.4. Pour les logiciels dont Kyndryl est propriétaire ou a le droit d'accorder une licence, Kyndryl accorde au Fournisseur un droit temporaire d'utiliser, de stocker et de faire suffisamment de copies pour permettre son utilisation autorisée des Appareils de Kyndryl.  Il est interdit au Fournisseur de transférer les logiciels à quiconque, de faire des copies de l'information sur la licence des logiciels ou de désassembler, de décompiler, de rétroconcevoir ou de convertir autrement les logiciels, à moins que cela ne soit expressément permis par les lois applicables, sans possibilité de renonciation contractuelle.  

    5. Mises à jour

    5.1 Nonobstant toute disposition contraire dans le Document transactionnel ou dans le contrat de base connexe conclu entre les parties, dès l'émission d'un avis écrit au Fournisseur et sans devoir obtenir le consentement de ce dernier, Kyndryl peut mettre à jour, compléter ou modifier autrement le présent article pour répondre à une exigence des lois applicables ou à une obligation du Client, afin de refléter toute évolution dans les meilleures pratiques de sécurité ou comme Kyndryl le juge nécessaire pour se protéger ou pour protéger les Systèmes d'entreprise.

    ---

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.  

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl  contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.  

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive.  Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires.  Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire. 

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable.  Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

    2. Incidents de sécurité

    2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

    2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl. 

    2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable.  Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées.  Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

    3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.  

    3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel.  Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an. 

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail.  Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl  contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl .  Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense.  Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées.  De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

    4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable.  Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde.  Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données.  Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables.  Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches.  Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte. 

    4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe.  De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur. 

    4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande.  Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs.  De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service. 

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes 

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés.  Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction.  À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl .  Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl .  Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents. 

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl  à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl  en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques.  Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie.  Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit).  En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl .  Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques.  L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.  

    6. Prestation de Services

    6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

    7. Sous-contractants.  Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.  

    8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  7. Si tel est le cas, les articles VI (accès aux Systèmes d'entreprise), VII (augmentation du personnel) et X (coopération, vérification et correction) s'appliquent.

    Remarque : Les articles II (mesures techniques et organisationnelles et sécurité des Données), III (protection des renseignements personnels), IV (mesures techniques et organisationnelles et sécurité du code) et V (développement sécurisé) peuvent aussi s'appliquer, en fonction des Œuvres de Kyndryl auxquels le Fournisseur est autorisé à accéder dans les Systèmes d'entreprise.  

    Article VI, Accès aux Systèmes d'entreprise

    Cet article s'applique lorsque des employés du Fournisseur ont accès à un système d'entreprise.  

    1. Modalités générales

    1.1 Kyndryl déterminera s'il faut ou non autoriser des employés du Fournisseur à accéder aux Systèmes d'entreprise.  Si Kyndryl accorde cette autorisation, le Fournisseur devra respecter les exigences du présent article et veiller à ce que ses employés qui obtiennent un tel droit d'accès respectent également ces exigences.  

    1.2 Kyndryl indiquera les moyens par lesquels les employés du Fournisseur pourront accéder aux Systèmes d'entreprise, notamment si ces employés accéderont aux Systèmes d'entreprise à l'aide d'Appareils fournis par Kyndryl ou par le Fournisseur.  

    1.3 Les employés du Fournisseur peuvent uniquement accéder aux Systèmes d'entreprise et utiliser les Appareils que Kyndryl autorise pour un tel accès, afin de fournir les Services.  Ces employés ne sont pas autorisés à se servir des Appareils que Kyndryl autorise pour fournir des Services à toute autre personne ou entité, ni pour accéder à des systèmes informatiques, des réseaux, des applications, des sites Web, des outils de courrier électronique ou de collaboration ou des composants semblables du Fournisseur ou d'un tiers pour les Services ou en lien avec ceux-ci.

    1.4 Il est entendu que les employés du Fournisseur ne peuvent pas utiliser les Appareils autorisés par Kyndryl pour accéder aux Systèmes d'entreprise à des fins personnelles (p. ex., pour stocker dans ces Appareils des fichiers personnels contenant de la musique, des vidéos, des photos, d'autres contenus semblables ou pour utiliser l'Internet).

    1.5 Les employés du Fournisseur ne copieront pas d'Œuvres de Kyndryl qui sont accessibles par l'entremise d'un système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl, et ne copieront jamais de tels Œuvres dans un dispositif de stockage amovible, comme une clé USB, un disque dur externe ou un autre dispositif semblable.

    1.6 À la demande de Kyndryl, le Fournisseur confirmera le nom de chacun de ses employés qui est autorisé à accéder à un système d'entreprise, ainsi que les Systèmes d'entreprise auxquels ces employés ont accédé au cours de toute période déterminée par Kyndryl.

    1.7 Le Fournisseur avisera Kyndryl dans les vingt-quatre (24) heures lorsqu'un de ses employés ayant accès à un système d'entreprise : (a) ne fait plus partie du personnel du Fournisseur; ou (b) n'exerce plus d'activités qui nécessitent un tel accès.  Le Fournisseur travaillera avec Kyndryl pour veiller à ce que le droit d'accès d'un tel ex-employé ou d'un employé actuel soit immédiatement révoqué.

    1.8 Le Fournisseur signalera immédiatement à Kyndryl tout incident de sécurité réel ou soupçonné (comme la perte d'un appareil de Kyndryl ou du Fournisseur, l'accès non autorisé à un Appareils ou à des Données, à des Œuvres ou à d'autres informations de toute nature) et coopérera avec Kyndryl dans l'enquête menée sur de tels incidents.

    1.9 Le Fournisseur ne peut autoriser un agent, un entrepreneur indépendant ou l'employé d'un sous-traitant à accéder à un système d'entreprise, sans obtenir au préalable le consentement écrit de Kyndryl. Si Kyndryl accorde un tel consentement, le Fournisseur devra obliger contractuellement ces personnes et leur employeur à respecter les exigences du présent article, comme si ces personnes étaient des employés du Fournisseur, et sera responsable envers Kyndryl de toutes les actions et omissions d'agir de ces personnes ou de ces employeurs en ce qui concerne l'accès à un système d'entreprise. 

    2. Logiciels des Appareils 

    2.1 Le Fournisseur demandera à ses employés d'installer en temps opportun tous les logiciels des Appareils exigés par Kyndryl pour faciliter l'accès aux Systèmes d'entreprise de manière sécurisée.  Le Fournisseur et ses employés ne sont pas autorisés à entraver le fonctionnement de ces logiciels ou des fonctions de sécurité activées par ces logiciels.

    2.2 Le Fournisseur et ses employés respecteront les règles de configuration des Appareils établies par Kyndryl, et travailleront avec celle-ci pour s'assurer que les logiciels fonctionnent comme le désire Kyndryl.  Par exemple, le Fournisseur ne contournera pas un blocage de sites Web par les logiciels ou des fonctions de correction logicielle automatisées.

    2.3 Les employés du Fournisseur ne sont pas autorisés à partager avec quiconque les Appareils qu'ils utilisent pour accéder à des Systèmes d'entreprise, ni leur nom d'utilisateur, leur mot de passe ou toute information semblable utilisés avec ces Appareils.

    2.4 Si Kyndryl autorise des employés du Fournisseur à accéder à des Systèmes d'entreprise à l'aide d'Appareils du Fournisseur, ce dernier devra installer et exécuter sur ces Appareils un système d'exploitation approuvé par Kyndryl, mais aussi effectuer une mise à niveau à une nouvelle version de ce système d'exploitation ou à un nouveau système d'exploitation dans un délai raisonnable après avoir reçu de telles instructions de Kyndryl.  

    3. Supervision et coopération

    3.1 Kyndryl a le droit absolu de surveiller et de remédier à une intrusion potentielle et à d'autres menaces, de la façon, à partir des endroits et à l'aide des moyens que Kyndryl juge nécessaires ou appropriés, sans fournir de préavis au Fournisseur, aux employés de celui-ci ou à toute autre personne.  À titre d'exemple, Kyndryl peut en tout temps : (a) effectuer un test de sécurité sur tout appareil; (b) surveiller, récupérer par des moyens techniques ou autres et passer en revue les communications (dont les courriels issus de tout compte de courrier électronique), des enregistrements, des fichiers et d'autres éléments enregistrés dans un appareil quelconque ou transmis par l'entremise d'un système d'entreprise; et (c) acquérir une copie-image intégrale de tout appareil.  Si Kyndryl nécessite la coopération du Fournisseur pour exercer ses droits, le Fournisseur répondra entièrement et en temps opportun aux demandes de Kyndryl pour une telle coopération. Il peut s'agir, par exemple, de demandes pour configurer un logiciel de surveillance ou un autre type de logiciel dans un appareil, de partager des détails sur les connexions à un système, de participer aux mesures d'intervention en cas d'incident avec un appareil, de fournir un accès physique à un appareil pour permettre à Kyndryl d'obtenir une copie-image intégrale ou d'autres demandes semblables et connexes.  

    3.2 Si Kyndryl croit qu'une telle mesure est nécessaire pour se protéger, elle peut révoquer en tout temps le droit d'accès aux Systèmes d'entreprise pour un ou l'ensemble des employés du Fournisseur, sans en aviser le Fournisseur, aux employés de celui-ci ou à toute autre personne.

    3.3 Les droits de Kyndryl ne sont pas entravés, affaiblis ou restreints par toute disposition du Document transactionnel, du contrat de base connexe ou de tout autre contrat conclu entre les parties, y compris toute disposition pouvant exiger de conserver des Données, des Œuvres ou d'autres informations de quelque nature que ce soit à un ou des endroits définis, ou que seules des personnes situées à un ou des endroits définis aient accès à de telles Données, Œuvres ou autre information.

    4. Appareils de Kyndryl

    4.1 Kyndryl conservera la propriété de tous ses Appareils, alors que le Fournisseur assumera le risque de perte de ces Appareils, y compris en raison d'un vol, de vandalisme ou de négligence.  Le Fournisseur ne modifiera pas ou ne permettra pas de modifier les Appareils de Kyndryl sans obtenir au préalable le consentement écrit de Kyndryl. La modification d'un appareil comprend notamment toute modification apportée aux logiciels, aux applications, à la conception et à la configuration de la sécurité de l'appareil ou à sa conception physique, mécanique ou électrique.

    4.2 Le Fournisseur retournera tous les Appareils de Kyndryl dans les cinq (5) jours ouvrables après que ces Appareils ne soient plus nécessaires à la fourniture des Services. Il devra aussi, si Kyndryl le demande, détruire simultanément dans ces Appareils l'ensemble des Données, des Œuvres et d'autres informations de quelque nature que ce soit, sans en conserver une copie, en suivant les meilleures pratiques de l'industrie, afin d'effacer de manière permanente toutes ces Données, ces Œuvres et autres informations.  Le Fournisseur emballera et retournera à ses propres frais les Appareils de Kyndryl à l'endroit indiqué par Kyndryl, et ce, dans la même condition qu'ils étaient au moment de leur livraison au Fournisseur, exception faite de l'usure raisonnable.  Tout manquement du Fournisseur à l'une ou l'autre des obligations définies dans le présent paragraphe 4.2 constituera un manquement à une conditions essentielle du Document transactionnel, du contrat de base connexe et de tout autre contrat afférent conclu entre les parties. Un contrat est considéré comme étant « afférent » si l'accès à un système d'entreprise facilite les tâches ou d'autres activités du Fournisseur aux termes de ce même contrat.

    4.3 Kyndryl fournira de l'assistance pour ses Appareils et procédera notamment à leur inspection et à leur maintenance préventive et corrective.  Le Fournisseur doit aviser promptement Kyndryl de tout besoin de maintenance corrective. 

    4.4. Pour les logiciels dont Kyndryl est propriétaire ou a le droit d'accorder une licence, Kyndryl accorde au Fournisseur un droit temporaire d'utiliser, de stocker et de faire suffisamment de copies pour permettre son utilisation autorisée des Appareils de Kyndryl.  Il est interdit au Fournisseur de transférer les logiciels à quiconque, de faire des copies de l'information sur la licence des logiciels ou de désassembler, de décompiler, de rétroconcevoir ou de convertir autrement les logiciels, à moins que cela ne soit expressément permis par les lois applicables, sans possibilité de renonciation contractuelle.  

    5. Mises à jour

    5.1 Nonobstant toute disposition contraire dans le Document transactionnel ou dans le contrat de base connexe conclu entre les parties, dès l'émission d'un avis écrit au Fournisseur et sans devoir obtenir le consentement de ce dernier, Kyndryl peut mettre à jour, compléter ou modifier autrement le présent article pour répondre à une exigence des lois applicables ou à une obligation du Client, afin de refléter toute évolution dans les meilleures pratiques de sécurité ou comme Kyndryl le juge nécessaire pour se protéger ou pour protéger les Systèmes d'entreprise.

    ---

    Article VII, Augmentation du personnel 

    Cet article s'applique lorsque des employés du Fournisseur travailleront à temps plein pour fournir des Services au nom de Kyndryl, réaliseront tous ces Services dans les locaux de Kyndryl, dans les locaux d'un Client ou à partir de leur domicile et uniquement à l'aide d'Appareils de Kyndryl pour accéder aux Systèmes d'entreprise.

    1. Accès aux Systèmes d'entreprise et aux environnements de Kyndryl

    1.1 Le Fournisseur peut fournir des Services uniquement en accédant aux Systèmes d'entreprise à l'aide des Appareils fournis par Kyndryl.  

    1.2 Le Fournisseur respectera les Modalités établies dans l'article VI (Accès aux Systèmes d'entreprise) pour tous les accès aux Systèmes d'entreprise.

    1.3 Les Appareils fournis par Kyndryl sont les seuls Appareils que peuvent utiliser le Fournisseur et ses employés pour fournir les Services, et seuls le Fournisseur et ses employés peuvent utiliser ces Appareils.  Il est entendu que le Fournisseur ou ses employés ne pourront en aucun cas utiliser d'autres Appareils pour fournir des Services ni utiliser les Appareils de Kyndryl pour tout autre Client du Fournisseur ou à toute autre fin que la prestation des Services pour Kyndryl.

    1.4 Les employés du Fournisseur qui utilisent les Appareils de Kyndryl peuvent partager entre eux des Œuvres de Kyndryl et stocker de tels Œuvres dans ces Appareils, mais uniquement dans la mesure où ce partage et ce stockage sont nécessaires pour réaliser la prestation des Services.

    1.5 Exception faite du stockage susmentionné dans les Appareils de Kyndryl, le Fournisseur ou ses employés ne peuvent en aucun cas retirer des Œuvres de Kyndryl des référentiels, des environnements, des outils ou de l'infrastructure de Kyndryl dans lesquels Kyndryl les conserve.

    1.6 Il est entendu que le Fournisseur et ses employés ne sont pas autorisés à transférer des Œuvres de Kyndryl dans un référentiel, un environnement, une infrastructure ou un autre système, un réseau ou autre composant semblable appartenant au Fournisseur, sans obtenir au préalable le consentement écrit de Kyndryl.

    1.7 L'article VIII (Mesures techniques et organisationnelles et sécurité générale) ne s'applique pas aux Services du Fournisseur lorsque ses employés travailleront à temps plein pour fournir des Services pour Kyndryl, fourniront tous ces Services dans les locaux de Kyndryl, les locaux d'un Client ou à partir de leur domicile et fourniront les Services uniquement en utilisant les Appareils de Kyndryl pour accéder aux Systèmes d'entreprise.  Dans le cas contraire, l'article VIII s'applique aux Services du Fournisseur.

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

  8. Si tel est le cas, les articles II (mesures techniques et organisationnelles et sécurité des Données), VIII (mesures techniques et organisationnelles et sécurité générale), IX (certifications et rapports pour les Services hébergés) et X (coopération, vérification et correction) s'appliquent.  L'article III (protection des renseignements personnels) s'appliquera également si le Fournisseur a accès à des Données à caractère personnel de Kyndryl lors de la prestation d'un Service d'hébergement.

    Exemples :

    • Le Fournisseur fournit à Kyndryl des offres en modèle SaaS, tels qu'un logiciel, une plateforme ou une infrastructure. 

    Article II, Mesures techniques et organisationnelles et sécurité des Données

    Cet article s'applique lorsque le Fournisseur traite des Données de Kyndryl autres que les Coordonnées professionnelles de celle-ci.  Le Fournisseur respectera les exigences de cet article pour la prestation de tous les Services et la livraison de tous les Livrables et, ce faisant, protégera les Données de Kyndryl contre la perte, la destruction, la modification, la divulgation ou l'accès accidentels ou non autorisés et les moyens de traitement illicites.  Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour fournir les Livrables et les Services, y compris tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Utilisation des Données

    1.1 Le Fournisseur n'est pas autorisé à ajouter aux Données de Kyndryl ou à y inclure toute autre information ou donnée, incluant les Données à caractère personnel, sans obtenir au préalable le consentement écrit de Kyndryl. Le Fournisseur ne peut pas utiliser des Données de Kyndryl, sous quelque forme que ce soit, regroupées ou présentées autrement, à toute autre fin que la fourniture de Services et de Livrables. Par exemple, il est interdit au Fournisseur d'utiliser ou de réutiliser des Données de Kyndryl pour évaluer l'efficacité de ses Services ou améliorer lesdits Services, pour effectuer de la recherche et du développement en vue de créer de nouvelles offres ou pour produire des rapports concernant ses offres.  À moins d'une autorisation expresse dans le Document transactionnel, il est interdit au Fournisseur de vendre des Données de Kyndryl.

    1.2 Le Fournisseur n'intégrera aucune technologie de suivi Web dans les Livrables ou dans les Services (comme HTML5, mémoire locale, étiquettes ou jetons de tiers et pixels espions), à moins que le Document transactionnel ne l'y autorise expressément. 

    2. Demandes de tiers et confidentialité

    2.1 Le Fournisseur ne divulguera pas les Données de Kyndryl à un tiers sans avoir obtenu au préalable le consentement écrit de Kyndryl.  Si un gouvernement ou un organisme de réglementation exige l'accès aux Données de Kyndryl (p. ex., si le gouvernement américain émet une ordonnance pour la sécurité nationale au Fournisseur afin d'obtenir des Données de Kyndryl), ou si la divulgation de Données de Kyndryl est exigée autrement par la loi, le Fournisseur avisera Kyndryl par écrit d'une telle demande ou exigence et accordera à Kyndryl une occasion raisonnable de contester une telle divulgation. Lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu'il juge raisonnablement appropriées pour contester cette interdiction et la divulgation de Données de Kyndryl par la voie d'une action judiciaire ou d'autres moyens.

    2.2 Le Fournisseur confirme à Kyndryl que : (a) seuls ses employés qui doivent accéder aux Données de Kyndryl pour fournir des Services ou des Livrables y auront accès, et ce, uniquement dans la mesure nécessaire pour fournir ces Services et Livrables; et (b) ses employés sont liés par des obligations de confidentialité qui les obligent à utiliser et à divulguer les Données de Kyndryl uniquement comme le permettent les présentes Modalités.  

    3. Restitution ou suppression des Données Kyndryl

    3.1 Au choix de Kyndryl, le Fournisseur supprimera ou restituera les Données de Kyndryl dès la résiliation ou l'expiration du Document transactionnel ou plus tôt, si Kyndryl le demande.  Si Kyndryl en exige la suppression, le Fournisseur rendra les Données illisibles et impossibles à réassembler ou à reconstituer, conformément aux meilleures pratiques de l'industrie, et en certifiera la suppression à Kyndryl.  Si Kyndryl exige la restitution des Données de Kyndryl, le Fournisseur s'en chargera dans les délais et selon les instructions écrites raisonnables de Kyndryl. 

    ---

    Article VIII - Mesures techniques et organisationnelles et sécurité générale

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl, à moins que le Fournisseur n'ait uniquement accès aux Coordonnées professionnelles de Kyndryl dans le cadre de la fourniture de ces Services et Livrables (c.-à-d. que le Fournisseur ne traitera pas d'autres Données de Kyndryl et n'aura pas accès à d'autres Œuvres de Kyndryl ou à un quelconque système d'entreprise), si les seuls Services et Livrables du Fournisseur consistent à fournir des logiciels sur site à Kyndryl, ou si le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'article VII, y compris le paragraphe 1.7 de celui-ci.  

    Le Fournisseur respectera les exigences de cet article et, ce faisant, protégera : (a) les Œuvres de Kyndryl contre la perte, la destruction, la modification, la divulgation et l'accès accidentels ou non autorisés; et (b) les Données de Kyndryl contre les moyens de traitement illicites; et (c) la Technologie Kyndryl  contre les moyens de manipulation illicites. Les exigences de cet article s'appliquent à l'ensemble des applications, des plateformes et des infrastructures informatiques que le Fournisseur exploite et gère pour la fourniture de Livrables et de Services et pour la manipulation de la Technologie Kyndryl , y compris dans tous les environnements de développement, de test, d'hébergement, d'assistance, d'exploitation et de centres de Données.  

    1. Politiques de sécurité

    1.1 Le Fournisseur maintiendra et respectera des politiques et des pratiques en matière de sécurité informatique qui font partie intégrante de ses activités et qui sont obligatoires pour tout son personnel et conformes aux meilleures pratiques de l'industrie.  

    1.2 Le Fournisseur passera en revue ses politiques et ses pratiques de sécurité informatique au moins une fois par année, et les modifiera comme il le jugera nécessaire pour protéger les Œuvres de Kyndryl.

    1.3 Le Fournisseur maintiendra et respectera des exigences standards et obligatoires en matière de vérification d'emploi pour tous les nouveaux employés, et imposera ces exigences à tout son personnel et à ses filiales en propriété exclusive.  Ces exigences incluront une vérification des antécédents criminels, dans la mesure permise par les lois locales, la validation d'une preuve d'identité, ainsi que d'autres vérifications que le Fournisseur juge nécessaires.  Le Fournisseur répétera et revalidera périodiquement ces activités de vérification, comme il le juge nécessaire. 

    1.4 Le Fournisseur formera annuellement ses employés en matière de sécurité et de protection des renseignements personnels, et exigera que tous ses employés certifient chaque année qu'ils respecteront les politiques du Fournisseur en matière de déontologie, de confidentialité et de sécurité, telles qu'énoncées dans le code de conduite du Fournisseur ou dans un document semblable.  Le Fournisseur dispensera une formation supplémentaire sur les politiques et les processus aux personnes qui se voient accorder un accès administratif à tout élément des Services, aux Livrables et aux Œuvres de Kyndryl. Cette formation sera propre à leur fonction et au soutien des Services, des Livrables et des Œuvres de Kyndryl, et telle que nécessaire pour maintenir la conformité et les certifications requises.

    1.5 Le Fournisseur concevra des mesures de sécurité et de confidentialité en vue de protéger et de maintenir la disponibilité des Œuvres de Kyndryl, y compris par leur mise en œuvre, leur mise à jour et leur conformité aux politiques et procédures qui exigent la sécurité et la confidentialité dès leur conception, une ingénierie et des opérations sécurisées pour tous les Services, Livrables et toute manipulation de la Technologie Kyndryl .

    2. Incidents de sécurité

    2.1 Le Fournisseur mettra à jour et respectera les politiques documentées en matière d'intervention en cas d'incident, conformément aux meilleures pratiques de l'industrie pour le traitement des incidents de sécurité informatique.

    2.2 Le Fournisseur enquêtera sur tous les cas d'utilisation et d'accès non autorisés aux Œuvres de Kyndryl, et définira et exécutera un plan d'intervention approprié.

    2.3 Le Fournisseur informera rapidement Kyndryl (en moins de 48 heures dans tous les cas) dès qu'il prendra connaissance d'une atteinte à la sécurité.  Il transmettra cette notification à cyber.incidents@kyndryl.com. Le Fournisseur fournira à Kyndryl l'information raisonnable demandée au sujet d'une telle atteinte à la sécurité et l'état d'avancement des mesures correctives et de restauration qu'il a entreprises.  À titre d'exemple, l'information raisonnable demandée peut inclure des journaux indiquant les accès privilégiés, administratifs et autres aux Appareils, aux systèmes ou aux applications, des copies-images des Appareils, des systèmes ou des applications et d'autres éléments semblables, dans la mesure où cette information est pertinente à l'atteinte à la sécurité ou aux activités de correction et de restauration du Fournisseur.

    2.4 Le Fournisseur accordera à Kyndryl une assistance raisonnable pour satisfaire à toutes les obligations juridiques (y compris les obligations d'aviser les organismes de réglementation ou les personnes concernées) de Kyndryl, des sociétés affiliées et des Clients de Kyndryl (et leurs propres Clients et sociétés affiliées) en lien avec une atteinte à la sécurité.

    2.5 Le Fournisseur n'informera ni n'avisera un tiers qu'une atteinte à la sécurité concerne directement ou indirectement Kyndryl ou des Œuvres de Kyndryl, sauf si Kyndryl l'autorise par écrit ou si la loi l'exige. Le Fournisseur avisera Kyndryl par écrit avant de transmettre à un tiers toute notification exigée par la loi, lorsque la notification révélerait directement ou indirectement l'identité de Kyndryl. 

    2.6 Si une atteinte à la sécurité survient en raison du non-respect par le Fournisseur d'une obligation définie dans les présentes Modalités :

    (a) Le Fournisseur assumera ses propres coûts et tous les coûts réels engagés par Kyndryl pour communiquer l'atteinte à la sécurité aux organismes de réglementation applicables, aux autres organismes gouvernementaux et aux organismes d'autoréglementation du secteur d'activité pertinents, aux médias (s'il s'agit d'une exigence des lois applicables), ainsi qu'aux personnes concernées, aux Clients et autres personnes pertinentes.

    (b) Si Kyndryl le demande, le Fournisseur établira et gérera, à ses propres frais, un centre d'appels pour répondre aux questions des personnes concernées au sujet de l'atteinte à la sécurité et de ses conséquences, et ce, pour la période qui offre la plus grande protection, soit (1) an suivant la date à laquelle les personnes concernées ont été avisées de l'atteinte à la sécurité, soit la période exigée par la loi sur la protection des Données applicable.  Kyndryl et le Fournisseur travailleront ensemble pour créer les scripts et d'autres articles qui seront utilisés par le personnel du centre d'appels lorsqu'il répondra aux questions des personnes concernées.  Après avoir fourni un avis écrit au Fournisseur, Kyndryl pourra aussi décider d'établir et de gérer son propre centre d'appels plutôt que de laisser le Fournisseur en établir un. Le cas échéant, le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour établir et gérer un tel centre d'appels, et

    (c) Le Fournisseur remboursera à Kyndryl les coûts réels encourus par Kyndryl pour la prestation de Services de surveillance et de réhabilitation de crédit, et ce, pendant la période qui accorde la plus grande protection, soit un (1) an suivant la date de notification de l'atteinte à la sécurité à toutes les personnes touchées par cette situation qui choisissent de s'inscrire à de tels Services de surveillance du crédit, soit la période exigée par loi sur la protection des Données applicable.

    3. Sécurité physique et commande d'entrée (Le terme « Installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl, ou à partir duquel il y accède autrement.)

    3.1 Le Fournisseur maintiendra des commandes d'entrée physiques appropriés, comme des barrières, des points d'entrée contrôlés par carte, des caméras de surveillance et des comptoirs de réception avec personnel, pour empêcher tout accès non autorisé aux Installations.  

    3.2 Le Fournisseur exigera une autorisation pour accéder aux Installations et aux zones contrôlées dans les Installations, y compris tout accès temporaire, et limitera cet accès par fonction et par besoin opérationnel.  Si le Fournisseur accorde un accès temporaire à une personne, un de ses employés autorisés escortera cette personne en tout temps dans l'installation et dans toute zone contrôlée.

    3.3 Le Fournisseur mettra en place des contrôles d'accès physiques, dont des contrôles d'accès multifactoriels conformes aux meilleures pratiques de l'industrie, afin de restreindre l'accès de manière appropriée aux zones contrôlées dans les Installations. Il consignera également dans des journaux les tentatives d'entrée et conservera ces journaux pour une période minimale de un (1) an. 

    3.4 Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées de ces Installations : (a) lorsqu'un employé autorisé du Fournisseur quitte son emploi; ou (b) lorsque le besoin d'accès d'un employé autorisé du Fournisseur n'est plus justifié compte tenu de son travail.  Le Fournisseur suivra les procédures officielles documentées en matière de cessation d'emploi, qui comprennent le retrait immédiat du nom de l'employé dans les listes de contrôle d'accès et le retour des badges d'accès.

    3.5 Le Fournisseur prendra des précautions afin de protéger toute l'infrastructure physique utilisée pour soutenir les Services, Livrables et la manipulation de la Technologie Kyndryl  contre les menaces environnementales, qu'elles soient naturelles ou d'origine humaine, telles qu'une température ambiante excessive, un incendie, une inondation, l'humidité, le vol et le vandalisme.

    4. Contrôle d'accès, d'intervention, de transfert et de cessation d'emploi

    4.1 Le Fournisseur mettra à jour la documentation de l'architecture de sécurité des réseaux qu'il gère dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de sa manipulation de la Technologie Kyndryl .  Le Fournisseur passera en revue séparément cette architecture des réseaux, et prendra des mesures pour empêcher les connexions de réseau non autorisées aux systèmes, aux applications et aux périphériques de réseau, afin de se conformer aux normes étoffées en matière de segmentation sécurisée, d'isolement et de défense.  Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et de l'exploitation de tout Service hébergé. Il peut toutefois utiliser la technologie de réseau sans fil pour la prestation des Services, la fourniture des Livrables et la manipulation de la Technologie Kyndryl , mais il doit alors recourir au chiffrement et exiger une authentification sécurisée pour tous les réseaux sans fil.

    4.2 Le Fournisseur maintiendra des mesures permettant de séparer logiquement les Œuvres de Kyndryl et d'empêcher qu'elles soient exposées ou accessibles à des personnes non autorisées.  De plus, le Fournisseur veillera à maintenir l'isolement de ses environnements de production, hors production et autres environnements. Si des Œuvres de Kyndryl ont été transférés ou sont transférés dans un environnement hors production (pour reproduire une erreur, par exemple), le Fournisseur s'assurera que toutes les mesures de sécurité et de confidentialité dans l'environnement hors production sont équivalentes à celles qui sont utilisées en environnement de production.

    4.3 Le Fournisseur chiffrera toutes les Œuvres de Kyndryl qui sont en transit ou statiques, à moins qu'il ne fasse la démonstration, à la satisfaction raisonnable de Kyndryl, que le chiffrement des Œuvres statiques de Kyndryl est techniquement impraticable.  Le Fournisseur chiffrera également tous les supports physiques, s'il y a lieu, dont ceux qui contiennent des fichiers de sauvegarde.  Le Fournisseur mettra à jour des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la récupération, la sauvegarde, la destruction et l'utilisation sécurisés de clés de chiffrement, ainsi que pour l'accès à celles-ci en lien avec le chiffrement des Données.  Le Fournisseur devra s'assurer que les méthodes cryptographiques utilisées pour chaque chiffrement correspondent aux meilleures pratiques de l'industrie (comme la norme NIST SP 800-131a).

    4.4 Si le Fournisseur doit accéder à des Œuvres de Kyndryl, il restreindra et limitera cet accès au niveau minimal requis pour fournir et soutenir les Services et les Livrables.  Le Fournisseur exigera que cet accès, y compris l'accès administratif aux composants sous-jacents (« accès privilégié ») soit individuel, fondé sur les rôles et soumis à l'approbation et à la validation régulière par des employés autorisés du Fournisseur, selon les principes de la séparation des tâches.  Le Fournisseur maintiendra en place des mesures pour identifier et retirer les comptes redondants ou inactifs. Il révoquera également cet accès dans les vingt-quatre (24) heures suivant la cessation d'emploi du titulaire du compte ou la demande de Kyndryl ou d'un employé autorisé du Fournisseur, comme le supérieur du titulaire du compte. 

    4.5 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures techniques imposant la fermeture d'une session après un délai d'inactivité, le verrouillage de comptes après plusieurs tentatives de connexion successives infructueuses, l'authentification par phrase de passe ou mot de passe fort, ainsi que des mesures exigeant le transfert et le stockage sécurisés de ces phrases de passe et mots de passe.  De plus, le Fournisseur utilisera l'authentification multifactorielle pour tous les accès privilégiés aux Œuvres de Kyndryl effectués hors console.

    4.6 Le Fournisseur surveillera l'utilisation des accès privilégiés et maintiendra des mesures de gestion de l'information sur la sécurité et des événements conçues pour : (a) identifier les accès et les activités non autorisés; (b) faciliter une intervention en temps opportun et appropriée lors de tels accès et activités; et (c) permettre des audits internes et par Kyndryl (conformément à ses droits de vérification définis dans les présentes Modalités et des droits d'audits définis dans le Document transactionnel, le contrat de base connexe ou un autre contrat afférent conclu entre les parties) et des tiers, afin de vérifier le respect de la politique documentée du Fournisseur. 

    4.7 Le Fournisseur conservera des journaux dans lesquels il consignera, conformément aux meilleures pratiques de l'industrie, tous les accès administratifs, des utilisateurs et les autres types d'accès et d'activités concernant les systèmes utilisés pour fournir les Services ou les Livrables et manipuler la Technologie Kyndryl , et fournira ces journaux à Kyndryl sur demande.  Le Fournisseur maintiendra des mesures conçues pour protéger ces journaux contre les accès non autorisés, la modification et la destruction accidentelle ou délibérée.

    4.8 Le Fournisseur maintiendra des mesures de protection informatiques pour les systèmes qui lui appartiennent ou qu'il gère, y compris les systèmes destinés aux utilisateurs finaux et ceux qu'il utilise pour fournir les Services ou les Livrables ou pour manipuler la Technologie Kyndryl , incluant des pare-feu aux points d'extrémité, le chiffrement intégral de disques, des technologies de détection et d'intervention pour les points d'extrémité reposant sur des signatures ou non, afin de contrer les logiciels malveillants et les menaces persistantes avancées, des verrouillages d'écrans temporisés et des solutions de gestion de points d'extrémité imposant la configuration de paramètres de sécurité et l'application de correctifs.  De plus, le Fournisseur mettra en œuvre des contrôles techniques et opérationnels pour assurer que seuls les systèmes d'utilisateurs finals connus et de confiance peuvent utiliser ses réseaux.

    4.9 Conformément aux meilleures pratiques de l'industrie, le Fournisseur maintiendra des mesures de protection pour les environnements de centres de Données où se trouvent ou sont traités des Œuvres de Kyndryl, notamment des fonctions de détection et de prévention des intrusions et pour contrer et atténuer les attaques par déni de Service. 

    5. Contrôle de l'intégrité et de la disponibilité du Service et des systèmes 

    5.1 Le Fournisseur s'engage à : (a) effectuer au moins annuellement une évaluation des risques concernant la sécurité et la confidentialité; (b) effectuer des tests d'intrusion et des évaluations de la vulnérabilité, y compris des analyses automatisées de la sécurité des systèmes et des applications, ainsi que des tests de piratage manuels, avant la mise en production et annuellement par la suite pour les Services et les Livrables, puis annuellement en ce qui a trait à sa manipulation de la Technologie Kyndryl ; (c) faire appel à un tiers indépendant qualifié pour effectuer des tests d'intrusion automatisés et manuels, conformes aux meilleures pratiques de l'industrie, au moins une fois par année; (d) procéder à une gestion automatisée et à une vérification périodique du respect des exigences de configuration de sécurité pour chaque composant des Services et des Livrables et concernant sa manipulation de la Technologie Kyndryl ; et (e) remédier aux vulnérabilités identifiées ou aux manquements à ses exigences de configuration de sécurité en fonction des risques, de l'exploitabilité et des impacts qui y sont associés.  Le Fournisseur prendra des mesures raisonnables pour éviter toute interruption des Services lors de l'exécution de ses tests, évaluations, analyses et activités de correction.  À la demande de Kyndryl, le Fournisseur remettra à Kyndryl un résumé écrit de ses plus récents tests de pénétration. Ce résumé devra au minimum inclure le nom des produits couverts par les tests, le nombre de systèmes ou d'applications visés par les tests, les dates de test, la méthode de test utilisée et un résumé des constatations.

    5.2 Le Fournisseur maintiendra des politiques et des procédures conçues pour gérer les risques associés à l'application de modifications aux Services, aux Livrables ou à la manipulation de la Technologie Kyndryl .  Avant de mettre en œuvre de telles modifications, y compris aux systèmes, réseaux et composants sous-jacents touchés, le Fournisseur devra documenter dans une demande de modification enregistrée : (a) la description et le motif de la modification; (b) les détails et le calendrier de la mise en œuvre; (c) un énoncé des risques couvrant les répercussions sur les Services, les Livrables, les Clients des Services ou les Œuvres de Kyndryl; (d) les résultats attendus; (e) un plan de retour en arrière; et (f) une approbation des employés autorisés du Fournisseur.

    5.3 Le Fournisseur dressera un inventaire de tous les biens informatiques qu'il utilise dans le cadre de son exploitation des Services, de sa fourniture des Livrables et de la manipulation de la Technologie Kyndryl .  Le Fournisseur surveillera et gérera de manière continue le bon fonctionnement (y compris la capacité) et la disponibilité de ces biens informatiques, des Services, des Livrables et de la Technologie Kyndryl , ainsi que de leurs composants sous-jacents. 

    5.4 Le Fournisseur créera tous les systèmes qu'il utilise dans le développement et l'exploitation des Services, des Livrables et pour sa manipulation de la Technologie Kyndryl  à partir d'images de sécurité de système ou de références de sécurité prédéfinies qui correspondent aux meilleures pratiques de l'industrie, comme les tests de performances du Center for Internet Security (CIS).

    5.5 Sans limiter les obligations du Fournisseur ou les droits de Kyndryl aux termes du Document transactionnel ou du contrat de base connexe conclu entre les parties en matière de continuité des opérations, le Fournisseur évaluera séparément chaque Service et livrable, de même que chaque système informatique utilisé pour manipuler la Technologie Kyndryl  en ce qui a trait aux exigences relatives à la continuité des opérations et des Services informatiques et à la reprise après sinistre, conformément aux directives documentées sur la gestion des risques.  Dans la mesure où le justifie une telle évaluation des risques, le Fournisseur s'assurera que pour chacun de ses Services, Livrables et système informatique, des plans de continuité des opérations et de reprise après sinistre sont séparément définis, documentés, gérés et validés annuellement, conformément aux meilleures pratiques de l'industrie.  Le Fournisseur s'assurera que ces plans sont conçus pour respecter les délais de rétablissement spécifiques énoncés dans le paragraphe 5.6 ci-dessous.

    5.6 Les objectifs de point de rétablissement (« OPR ») et les objectif de délai de rétablissement (« ODR ») définis pour les Services hébergés sont les suivants : 24 heures pour les OPR et 24 heures pour les ODR. Toutefois, le Fournisseur devra respecter les OPR et ODR de durée inférieure que Kyndryl s'est engagé à respecter auprès d'un Client, et ce, juste après que Kyndryl aura avisé le Fournisseur par écrit de tels OPR et ODR de durée inférieure (un courriel constituera un avis écrit).  En ce qui concerne tous les autres Services que le Fournisseur rend à Kyndryl, le Fournisseur doit s'assurer que ses plans de continuité des opérations et de reprise après sinistre sont conçus pour respecter les OPR et ODR. Ceci lui permet de se conformer à l'ensemble de ses obligations envers Kyndryl en vertu du Document transactionnel, du contrat de base connexe conclu entre les parties, et des présentes Modalités, y compris les obligations de fournir en temps opportun des tests, de l'assistance et de la maintenance.

    5.7 Le Fournisseur maintiendra des mesures conçues pour évaluer, tester et appliquer les correctifs de sécurité recommandés aux Services et aux Livrables, ainsi qu'aux systèmes, réseaux, applications et composants sous-jacents associés utilisés pour ces Services et Livrables, et pour manipuler la Technologie Kyndryl .  Après avoir déterminé qu'un correctif de sécurité recommandé est applicable et approprié, le Fournisseur l'appliquera conformément aux directives documentées pour l'évaluation de la gravité et des risques.  L'application de correctifs de sécurité recommandés sera assujettie à la politique de gestion des changements du Fournisseur.

    5.8 Si Kyndryl a des motifs raisonnables de croire que du matériel informatique ou des logiciels que fournit le Fournisseur sont susceptibles de contenir des éléments intrusifs, comme un logiciel espion, un maliciel ou du code malveillant, le Fournisseur coopérera en temps opportun avec Kyndryl pour enquêter et remédier aux préoccupations de Kyndryl à ce sujet.  

    6. Prestation de Services

    6.1 Le Fournisseur utilisera les méthodes d'authentification fédérée communes dans l'industrie pour les comptes d'utilisateurs Kyndryl ou du Client, en authentifiant ces comptes selon les meilleures pratiques de l'industrie, comme une authentification unique multifactorielle gérée de manière centrale par Kyndryl, à l'aide de la solution OpenID Connect (OIDC) ou du langage SAML (Security Assertion Markup Language).

    7. Sous-contractants.  Sans limiter les obligations du Fournisseur ou les droits de Kyndryl en vertu du Document transactionnel ou du contrat de base connexe conclu entre les parties en ce qui concerne le maintien en fonction des sous-contractants, le Fournisseur s'assurera que tout sous-contractant qui effectue des travaux pour le Fournisseur a mis en place des contrôles de gouvernance pour respecter les exigences et les obligations que les présentes Modalités imposent au Fournisseur.  

    8. Supports physiques. Le Fournisseur procédera au nettoyage sécurisé des supports physiques réutilisables avant leur réutilisation et détruira les supports physiques qui ne sont pas destinés à être réutilisés, conformément aux meilleures pratiques de l'industrie en la matière.

    ---

    Article IX, Certifications et rapports pour les Services hébergés

    Cet article s'applique lorsque le Fournisseur fournit un Service hébergé à Kyndryl.  

    1.1 Le Fournisseur obtiendra les certifications et les rapports suivants selon l'échéancier défini ci-dessous: 

     

     

     

     

     

     

     

     

    Certifications et rapports

     

     

     

     

     

     

     

     

    Échéancier 

     

     

     

     

     

     

     

     

    Pour la prestation de Services hébergés par le Fournisseur

     

     

     

     

     

    Certification de conformité à la norme ISO 27001, Technologies de l'information, techniques de sécurité, systèmes de gestion de la sécurité de l'information, cette certification étant fondée sur l'évaluation d'un auditeur indépendant réputé 

     

     

     

     

     

    Ou

     

     

     

     

     

    SOC 2 Type 2 : Un rapport par un auditeur indépendant réputé démontrant son examen des systèmes, des contrôles et des opérations du Fournisseur conformément à une certification SOC 2 Type 2 (comprenant au minimum la sécurité, la disponibilité et la confidentialité)

     

     

     

     

     

     

     

     

     

    Le Fournisseur obtiendra la certification ISO 27001 au plus tard 120 jours après la date d'entrée en vigueur du Document transactionnel* ou la date de prise en charge**, puis renouvellera cette certification tous les 12 mois par la suite, par une évaluation menée par un auditeur indépendant réputé (en fonction de la plus récente version de la norme)

     

     

     

     

     

    Le Fournisseur obtiendra le rapport SOC 2 Type 2 au plus tard 240 jours suivant la date d'entrée en vigueur du Document transactionnel* ou la date de prise en charge**, puis obtiendra, tous les 12 mois par la suite, un nouveau rapport produit par un auditeur indépendant réputé démontrant son examen des systèmes, des contrôles et des opérations du Fournisseur conformément à la norme SOC 2 Type 2 (comprenant au minimum la sécurité, la disponibilité et la confidentialité) 

     

     

     

     

     

    * Si, à cette date d'entrée en vigueur, le Fournisseur propose un Service hébergé 

     

     

     

     

     

    ** La date à laquelle le Fournisseur assume l'obligation de fournir un Service hébergé 

     

     

    1.2 Si le Fournisseur en fait la demande par écrit et que Kyndryl approuve cette demande par écrit, le Fournisseur pourra obtenir une certification ou un rapport essentiellement équivalents à ceux mentionnés plus haut. Il est toutefois entendu que les délais définis dans le tableau plus haut s'appliqueraient alors tels quels à la certification ou au rapport essentiellement équivalents.  

    1.3 Le Fournisseur s'engage à : (a) fournir promptement à Kyndryl, sur demande, une copie de chaque certification et de chaque rapport qu'il est tenu d'obtenir; et (b) corriger rapidement toute faiblesse dans les contrôles internes relevée lors des examens SOC 2 ou les examens essentiellement équivalents (avec l'approbation de Kyndryl).  

    ---

    Article X, Coopération, vérification et correction 

    Cet article s'applique lorsque le Fournisseur fournit des Services ou des Livrables à Kyndryl.  

    1. Coopération du Fournisseur 

    1.1 Si Kyndryl a des raisons de douter que des Services ou des produits Livrables aient pu contribuer, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute enquête de Kyndryl concernant ce problème, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur, ou d'autres moyens semblables.

    1.2 Les parties conviennent : (a) de fournir sur demande à l'autre partie toute information supplémentaire demandée; (b) de signer et livrer à l'autre partie de tels documents; et (c) de faire tout ce que l'autre partie peut raisonnablement demander dans le but de mener à bien les objectifs des présentes Modalités et des documents auxquels il est fait référence dans ces Modalités.  Par exemple, si Kyndryl le demande, le Fournisseur lui remettra en temps opportun les Modalités axées sur la protection des renseignements personnels et la sécurité figurant dans ses contrats écrits avec les sous-traitants ultérieurs et les sous-contractants, et fournira un accès à ces mêmes contrats s'il y est autorisé. 

    1.3 Si Kyndryl le demande, le Fournisseur dévoilera à Kyndryl les pays où sont créés, développés ou d'où proviennent autrement ses Livrables et leurs composants.

    2. Vérification (Le terme « installation » utilisé ci-dessous désigne un emplacement physique où le Fournisseur héberge ou traite des Œuvres de Kyndryl ou à partir duquel il y accède.)

    2.1 Le Fournisseur conservera un registre vérifiable permettant de constater la conformité aux présentes Modalités.

    2.2 Après avoir transmis au Fournisseur un préavis écrit de trente (30) jours, Kyndryl, seul ou avec l'aide d'un auditeur externe, peut vérifier si le Fournisseur respecte les présentes Modalités, notamment en accédant à cette fin à une ou plusieurs Installations. Toutefois, Kyndryl n'accédera pas à un centre de Données dans lequel le Fournisseur traite des Données de Kyndryl, à moins d'avoir de bonne foi un motif de croire qu'un tel accès pourrait lui fournir de l'information pertinente. Le Fournisseur coopérera avec Kyndryl dans cette vérification, y compris en répondant intégralement et en temps opportun aux demandes d'information, que ce soit par l'entremise de documents, d'autres registres, d'entrevues avec les membres pertinents du personnel du Fournisseur ou d'autres moyens semblables.Le Fournisseur peut transmettre à Kyndryl une preuve de sa conformité à un code de conduite approuvé ou un mécanisme de certification approuvé, ou lui fournir de l'information qui peut servir à prouver qu'il respecte ces Modalités.  

    2.3 Il n'y aura pas plus d'une vérification au cours d'une période de douze (12) mois, sauf si : (a) Kyndryl doit vérifier que le Fournisseur a éliminé des préoccupations qui ont été soulevées lors d'une vérification précédente au cours de la période de douze (12) mois; ou (b) une atteinte à la sécurité est survenue et Kyndryl désire vérifier le respect des obligations pertinentes à cette situation.  Dans l'un ou l'autre de ces cas, Kyndryl transmettra le même préavis de trente (30) jours, tel que spécifié dans le paragraphe 2.2 plus haut. Cependant, en raison de l'urgence d'intervenir dans un cas d'atteinte à la sécurité, il se peut que Kyndryl soit dans l'obligation de procéder à une telle vérification dans un délai de moins de trente (30) jours suivant son préavis écrit.

    2.4. Un organisme de réglementation ou tout autre responsable du traitement peut exercer les mêmes droits que Kyndryl définis dans les paragraphes 2.2 et 2.3. Il est toutefois entendu qu'un organisme de réglementation peut aussi exercer tous les droits supplémentaires que lui confère la loi.

    2.5 Si Kyndryl a un motif raisonnable de conclure que le Fournisseur ne respecte pas l'une des présentes Modalités, que ce motif découle d'une vérification menée en vertu de ces mêmes Modalités ou autrement, le Fournisseur corrigera promptement ce manquement. 

    3. Programme anti-contrefaçon

    3.1 Si les Livrables du Fournisseur comprennent des composants électroniques (p. ex., des disques durs, des disques à circuits intégrés, de la mémoire, des unités centrales de traitement, des dispositifs logiques ou des câbles), le Fournisseur doit maintenir et suivre un programme anti-contrefaçon documenté afin de l'empêcher de fournir à Kyndryl des composants contrefaits, d'abord et surtout, puis de détecter et de corriger promptement la situation si le Fournisseur a remis à Kyndryl des composants contrefaits par erreur.  Le Fournisseur imposera cette même obligation de maintenir et de suivre un programme de prévention de la contrefaçon documenté à tous ses fournisseurs qui lui livrent des composants électroniques qui sont inclus dans les Livrables que le Fournisseur remet à Kyndryl.  

    4. Correction

    4.1 Si le Fournisseur ne remplit pas l'une ou l'autre de ses obligations en vertu des présentes Modalités et que ce manquement a pour effet de causer une atteinte à la sécurité, le Fournisseur corrigera ce manquement et les effets préjudiciables de l'atteinte à la sécurité, et ce, en respectant les directives et le délai raisonnables définis par Kyndryl.  Si toutefois l'atteinte à la sécurité découle de la fourniture par le Fournisseur d'un Service hébergé multi-locataires et qu'elle affecte par conséquent de nombreux Clients du Fournisseur, y compris Kyndryl, alors le Fournisseur, étant donné la nature de l'atteinte à la sécurité, corrigera en temps opportun et de manière appropriée le manquement et remédiera aux effets préjudiciables de l'atteinte à la sécurité, tout en tenant dûment compte de toute contribution de Kyndryl à ces corrections. Sans préjudice de ce qui précède, le Fournisseur doit aviser Kyndryl dans les meilleurs délais s'il ne peut plus respecter les obligations stipulées/imposées par la loi applicable en matière de protection des Données. 

    4.2 Kyndryl aura le droit de participer à la correction de toute atteinte à la sécurité mentionnée au paragraphe 4.1, comme il le juge approprié ou nécessaire, et le Fournisseur assumera les frais et les dépenses qu'il encourt pour corriger son manquement, de même que les frais et les dépenses que les parties encourent pour remédier à la situation.

    4.3 À titre d'exemple, les frais et les dépenses de correction associés à une atteinte à la sécurité peuvent inclure les frais encourus pour la détection et l'enquête, la détermination des responsabilités en vertu des lois et règlements applicables, les notifications de l'atteinte à la sécurité, l'établissement et la gestion de centres d'appels, la prestation de Services de surveillance et de rétablissement de crédit, le rechargement des Données, la correction des défauts d'un produit (y compris à l'aide du Code source ou d'un autre développement), le recours à des tiers pour aider à réaliser les activités susmentionnées ou d'autres activités pertinentes, de même que les autres frais et dépenses nécessaires pour remédier aux effets préjudiciables de l'atteinte à la sécurité.  Il est entendu que les frais et les dépenses pour la correction n'incluront pas la perte de profit, d'affaires, de valeur, de revenus, d'achalandage ou d'épargnes prévues de Kyndryl.

View All Terms

Définitions 

Les termes qui comportent une majuscule initiale ont la signification qui leur est donnée ci-dessous, ou autrement dans les présentes Modalités, dans un Document transactionnel ou un contrat de base connexe conclu entre les parties. Les termes « Services » et « Livrables » sont probablement définis dans le Document transactionnel ou le contrat de base connexe conclu entre les parties. Sinon, le terme « Services » désigne tout Service hébergé, Service-conseil, d'installation, de personnalisation, de maintenance, d'assistance, d'augmentation du personnel, d'affaires, techniques ou d'autres travaux que le Fournisseur effectue pour Kyndryl, tel que décrit dans le Document transactionnel. Le terme « Livrables » désigne pour sa part tout logiciel, plateforme, application ou d'autres produits ou éléments et leurs Œuvres respectives que le Fournisseur fournit à Kyndryl, tel que spécifié dans le Document transactionnel.  

Coordonnées professionnelles: Données à caractère personnel qui sont utilisées pour identifier ou authentifier une personne ou communiquer avec elle dans son rôle professionnel ou en entreprise.  Le plus souvent, les Coordonnées professionnelles incluent le nom d'une personne, de même que son adresse électronique, son adresse physique, son numéro de téléphone au travail ou des renseignements semblables.

Service infonuagique: Toute offre en modèle SaaS que le Fournisseur héberge ou gère, dont un « logiciel en tant que Service », une « plateforme en tant que Service » et une « infrastructure en tant que Service ».

Responsable du traitement: Personne physique ou morale, autorité publique, agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de Données à caractère personnel. 

Système d'entreprise: Système informatique, plateforme, application, réseau ou élément semblable sur lesquels s'appuie Kyndryl pour mener ses activités d'entreprise, y compris ceux qui se trouvent sur ou sont accessibles via l'intranet de Kyndryl, l'Internet ou autrement.

Client: Un Client de Kyndryl.

Personne concernée: Personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un nom, un numéro d'identification, des Données de localisation, un identifiant en ligne, ou à une ou plusieurs caractéristiques spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Jour: Jour civil, à moins que jour ne soit immédiatement suivi du mot « ouvrable », auquel cas il s'agit d'un jour ouvrable.

Appareil: Poste de travail, ordinateur portable, tablette, téléphone intelligent ou assistant numérique personnel fourni par Kyndryl ou le Fournisseur.

Manipuler, ou Manipulation: Accès à la Technologie Kyndryl , ou utilisation et stockage et toute manipulation de celle-ci.

Service hébergé: Service d'un centre de Données, Service d'application, Service informatique ou Service infonuagique que le Fournisseur héberge ou gère.

Données de Kyndryl: Tout fichier électronique, œuvre, texte, audio, vidéo, image et autres Données, y compris les Données à caractère personnel et non personnel de Kyndryl, que Kyndryl, son personnel, un Client, l'employé d'un Client ou toute autre personne ou entité remet au Fournisseur, téléverse ou stocke dans un Service hébergé, ou auquel le Fournisseur a accès autrement et qu'il traite pour le compte de Kyndryl.  

Oeuvres Kyndryl: Toute donnée de Kyndryl et technologie de Kyndryl.  

Données à caractère personnel de Kyndryl: Données à caractère personnel que le Fournisseur traite pour le compte de Kyndryl.  Les Données à caractère personnel de Kyndryl comprennent les Données à caractère personnel que Kyndryl gère et traite au nom d'autres responsables du traitement. 

Code source Kyndryl: Tout Code source dont Kyndryl est propriétaire ou dont elle détient la licence.

Technologie Kyndryl: Code source, autre code, langages de description, micrologiciels, logiciels, outils, conceptions, schémas, représentations graphiques, clés intégrées, certificats et autres informations, Œuvres, biens, documents et technologies que Kyndryl a directement ou indirectement accordé sous licence au Fournisseur ou mis autrement à sa disposition en lien avec le Document transactionnel ou un contrat connexe conclu entre Kyndryl et le Fournisseur.  

Comprend et y compris: Avec ou sans majuscule initiale, ces termes ne peuvent pas être interprétés comme étant des restrictions.

Meilleures pratiques de l'industrie: Pratiques qui respectent celles qui sont recommandées ou exigées par la National Institute of Standards and Technology, l'Organisation internationale de normalisation ou tout autre organisme jouissant d'une réputation et présentant un savoir-faire semblables.

TI: Technologies de l'information.

Autre responsable du traitement: Toute entité autre que Kyndryl qui agit en tant que responsable du traitement des Données de Kyndryl, comme une société affiliée de Kyndryl, un Client ou la société affiliée d'un Client. 

Logiciels sur site: Logiciels que Kyndryl ou un sous-traitant exécute, installe ou exploite sur les serveurs ou systèmes de Kyndryl ou du sous-traitant.  Pour plus de clarté, un logiciel sur site constitue un livrable du Fournisseur.

Données à caractère personnel: Toute information relative à une personne concernée et toute autre information qualifiée de « Données à caractère personnel » ou équivalent en vertu de toute loi sur la protection des Données. 

Personnel: Personnes qui sont des employé(e)s ou des agents de Kyndryl ou du Fournisseur, des sous-traitants indépendants engagés par Kyndryl ou le Fournisseur, ou mis à disposition d'une partie par un sous-traitant.

Traiter ou Traitement: Opération ou ensemble d'opérations exécutées sur les Données de Kyndryl, y compris le stockage, l'utilisation, l'accès et la lecture.

Sous-traitant: Personne physique ou morale qui traite des Données à caractère personnel au nom d'un responsable du traitement.

Atteinte à la sécurité: Brèche de sécurité ayant pour effet : (a) la perte, la destruction, la modification ou la divulgation accidentelle ou non autorisée d'Œuvres de Kyndryl; (b) l'accès accidentel ou non autorisé à des Œuvres de Kyndryl; (c) le traitement illicite de Données de Kyndryl; ou (d) la manipulation illicite de la Technologie Kyndryl .

Vendre (ou Vente): Vente, location, diffusion, divulgation, dissémination, mise en disponibilité, transfert ou communication de Données en contrepartie d'une somme d'argent ou à titre onéreux, que ce soit verbalement, par écrit, par voie électronique ou autrement.

Code source: Code de programmation lisible sans aide dont se servent les développeurs pour créer un produit ou en assurer la maintenance, mais qui n'est pas livré aux utilisateurs finaux dans le cours normal de la distribution ou de l'utilisation commerciale du produit.  

Sous-traitant ultérieur: Tout sous-traitant du Fournisseur, incluant une société affiliée du Fournisseur, qui traite des Données de Kyndryl.