Couchbase Capella Cloud Customer Data Processing Addendum

Le présent addendum sur le traitement des données (le "DPA") fait partie de l'entente d'abonnement au service cloud de Capella ou de toute autre entente entre le client et Couchbase régissant l'utilisation du service cloud par le client. ("Accord"), entre Couchbase, Inc. ("Couchbase") et la partie identifiée comme le "Client"dans l'accord ("Client") (chacun étant un "Parti"et ensemble, les "Les partis").

Le présent DPA décrit les engagements des parties concernant le traitement des données à caractère personnel dans le cadre de l'utilisation du service cloud par le client. En cas de conflit entre les termes de l'Accord et les termes de ce DPA, les termes de ce DPA prévaudront dans la mesure de ce conflit. Tout terme en majuscule non défini dans le présent DPA aura la signification qui lui est donnée dans l'Accord.

Les parties conviennent de ce qui suit :

1. Définitions. Les termes en majuscules suivants, lorsqu'ils sont utilisés dans le présent DPA, ont la signification qui leur est donnée ci-dessous :

a. "Lois applicables en matière de protection des données" désigne l'ensemble des lois, règlements, règles, ordonnances et autres décrets mondiaux en matière de protection de la vie privée et des données applicables aux Données à caractère personnel, y compris (mais sans s'y limiter) : (i) les lois européennes sur la protection des données ; et (ii) toutes les lois et réglementations des États-Unis, y compris le California Consumer Privacy Act de 2018 (California Civil Code §§ 1798.100 et seq ("CCPA") ; tel qu'il peut être modifié, annulé ou remplacé.

b. "Données sur les clients" désigne toute Donnée personnelle traitée par Couchbase au nom du Client en tant que fournisseur de services ou sous-traitant (selon le cas) en lien avec le Service cloud, tel que plus particulièrement décrit dans l'Annexe A de ce DPA.

c. "EEE"Les États membres de l'Union européenne, ainsi que l'Islande, le Liechtenstein et la Norvège.

d. "Lois européennes sur la protection des données" : i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ("GDPR") ; ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ("Directive sur la vie privée et les communications électroniques) ; (iii) toute mise en œuvre nationale applicable des points (i) et (ii) ; (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance ("loi sur la protection des données") ; (v) la loi sur la protection des données de l'Union européenne ("loi sur la protection des données")."La loi suisse sur la protection des droits de l'homme") ; et (v) en ce qui concerne le Royaume-Uni, la loi sur la protection des données de 2018 et toute législation nationale applicable qui remplace ou convertit en droit interne le GDPR, la directive e-Privacy ou toute autre loi relative aux données et à la vie privée à la suite de la sortie du Royaume-Uni de l'Union européenne ; dans chaque cas, tel qu'il peut être modifié, annulé ou remplacé.

e. "Clauses typesOn entend par " clauses contractuelles ", en fonction des circonstances propres à un client donné, l'une des clauses suivantes : (i) les clauses contractuelles types pour les sous-traitants, telles qu'approuvées par la Commission européenne conformément à sa décision 2021/914 (les "2021 Clauses contractuelles types") et (ii) les clauses contractuelles standard du Royaume-Uni, chacune étant alternativement appelée clauses contractuelles standard, incorporées par référence et faisant partie de ce DPA.

f. "Données personnellesOn entend par "information" toute information concernant une personne physique identifiée ou identifiable et qui est protégée en tant que "information".données personnelles“, “les informations personnelles" ou "les informations personnellement identifiablesLe terme "données" est défini dans les lois applicables en matière de protection des données.

g. "Incident de sécuritéIncident de sécurité " signifie toute violation de la sécurité qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données du client transmises, stockées ou autrement traitées par Couchbase et/ou ses sous-traitants dans le cadre de la fourniture du service en nuage. Les parties reconnaissent et conviennent que le terme " incident de sécurité " n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données du client, y compris les tentatives infructueuses de connexion, les pings, les balayages de port, les attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau.

h. "Sous-processeur" signifie tout sous-traitant engagé par Couchbase ou ses sociétés affiliées pour l'aider à remplir ses obligations relatives à la fourniture du service en nuage conformément à l'entente ou à la présente DPA. Les sous-traitants peuvent inclure des tiers ou des affiliés de Couchbase, mais excluent tout employé, entrepreneur ou consultant de Couchbase.

i. "Clauses contractuelles types du Royaume-UniOn entend par "clauses contractuelles types" (i) les clauses contractuelles types pour les transferts entre responsables du traitement et sous-traitants, approuvées par la Commission européenne dans la décision 2010/87/UE ("UK Contrôleur vers processeur SCCs) ; et (ii) les clauses contractuelles types pour les transferts entre contrôleurs de données approuvées par la Commission européenne dans la décision 2004/915/CE ("clauses contractuelles types").Royaume-Uni Contrôleur à contrôleur SCC").

j. Les termes "contrôleur", "processeur" et "traitement"ont les significations qui leur sont données dans le GDPR, et "processus", "processus" et "traité"sont interprétés en conséquence, et les termes "entreprise", "fournisseur de services" et "vendre"ont la signification qui leur est donnée dans l'ACCP.

2. Rôle et champ d'application de la transformation

a. Champ d'application. Sous réserve de la section 2(b), ce DPA s'applique dans la mesure où Couchbase traite, en tant que processeur ou fournisseur de services (selon le cas), toute donnée client protégée par les lois applicables en matière de protection des données.

b. Rôle des parties. Les parties reconnaissent et acceptent que (i) en ce qui concerne le traitement des Données du Client, le Client est l'entreprise concernée, le contrôleur ou le processeur (selon le cas) de ces Données du Client, et Couchbase est un fournisseur de services, un processeur ou un sous-processeur (selon le cas) au nom du Client, tel que décrit plus en détail dans l'Annexe A de ce DPA ; et (ii) en ce qui concerne les Données Personnelles incluses dans toute donnée d'utilisation technique que Couchbase recueille en lien avec l'utilisation du Service Cloud par le Client ("Données Personnelles"), Couchbase est un fournisseur de services, un processeur ou un sous-processeur (selon le cas) pour le compte du Client.Données d'utilisation"), Couchbase est l'entreprise concernée ou le contrôleur des données d'utilisation et traitera les données d'utilisation conformément à la politique de confidentialité de Couchbase disponible à l'adresse suivante https://www.couchbase.com/privacy-policy. Chaque partie se conformera à toutes les lois, règles et réglementations qui lui sont applicables et qui la lient dans le cadre de l'exécution de ce DPA, y compris toutes les lois applicables en matière de protection des données. En ce qui concerne les données d'utilisation, Couchbase traitera ces données en conformité avec les sections 8(a)(iii) et (iv), dans la mesure où elles sont applicables.

c. Traitement des données à caractère personnel par Couchbase. Couchbase accepte de traiter les données du client uniquement aux fins décrites dans la DPA et conformément aux instructions légales documentées du client. Les parties conviennent que l'Accord (y compris la présente DPA) énonce les instructions complètes et finales du Client à Couchbase en ce qui concerne le traitement des Données du Client et que le traitement en dehors de la portée de ces instructions (le cas échéant) nécessitera une entente écrite préalable entre le Client et Couchbase. Sans préjudice de la section 2(d) (Responsabilités du client), Couchbase doit aviser le client par écrit, à moins qu'il ne soit interdit de le faire en vertu des lois applicables sur la protection des données, et peut suspendre le traitement des données du client, s'il apprend ou croit que toute instruction de traitement des données du client viole les lois applicables sur la protection des données.

d. Responsabilités du client. Le client est responsable de la légalité du traitement des données du client dans le cadre de l'Entente. Le client déclare et garantit que (i) il a fourni, et continuera de fournir, tous les avis et obtenu, et continuera d'obtenir, tous les consentements, permissions et droits nécessaires en vertu des lois applicables sur la protection des données pour que Couchbase puisse légalement traiter les données du client aux fins envisagées par l'Entente (y compris cette DPA) ; (ii) il s'est conformé à toutes les Lois sur la protection des données applicables en tant que contrôleur et/ou entreprise des données du client pour la collecte et la fourniture à Couchbase et à ses sous-traitants de telles données du client ; et (iii) il s'assurera que ses instructions de traitement sont conformes aux lois applicables (y compris les Lois sur la protection des données applicables) et que le traitement des données du client par Couchbase conformément aux instructions du client ne fera pas en sorte que Couchbase contrevienne aux Lois sur la protection des données applicables.

e. Données agrégées. Nonobstant ce qui précède ou toute disposition contraire dans l'entente (incluant cette DPA), le client reconnaît que Couchbase et ses affiliés ont le droit de recueillir et de créer de l'information anonyme, agrégée et/ou dépersonnalisée (tel que défini par les lois applicables sur la protection des données) pour ses propres affaires légitimes.

3. Sous-traitement

a. Sous-traitants autorisés. Le client reconnaît et accepte que Couchbase puisse engager des sous-traitants pour traiter les données du client en son nom. Les sous-traitants actuellement engagés par Couchbase et autorisés par le client sont listés sur le site web de Couchbase (actuellement affiché à https://info.couchbase.com/cloud-subprocessors.html). Au moins quinze (15) jours avant l'ajout d'un nouveau sous-traitant, Couchbase mettra à jour le site Web applicable et avisera le client de cette mise à jour par le biais du mécanisme fourni sur le site Web de Couchbase, sauf que si Couchbase croit raisonnablement que l'engagement d'un nouveau sous-traitant sur une base accélérée est nécessaire pour protéger la confidentialité, l'intégrité ou la disponibilité des données du client ou pour éviter une perturbation matérielle du service en nuage, Couchbase donnera plutôt un tel avis dès que possible.

4. Sécurité et audits

a. Mesures de sécurité.  Couchbase doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les données des clients sous son contrôle contre les incidents de sécurité et pour préserver la sécurité et la confidentialité des données des clients, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement ("Couchbase").Mesures de sécurité"). Ces mesures de sécurité incluront, au minimum, les mesures décrites à l'annexe B de la présente DPA. Couchbase doit s'assurer que toute personne autorisée par Couchbase à traiter les données des clients en vertu de la présente DPA est soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou statutaire).

b. Mise à jour des mesures de sécurité. Le client reconnaît que les mesures de sécurité sont sujettes au progrès technique et au développement et que Couchbase peut mettre à jour ou modifier les mesures de sécurité de temps à autre, pourvu que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale du service cloud acheté par le client.

c. Responsabilités en matière de sécurité des clients. Nonobstant ce qui précède, le Client accepte que, sauf dans les cas prévus par le présent DPA, il mette en œuvre et maintienne des mesures de sécurité techniques et organisationnelles appropriées conçues pour se protéger contre les incidents de sécurité et pour préserver la sécurité et la confidentialité des données du Client lorsqu'elles sont sous sa domination et son contrôle. Le Client est responsable (i) de la protection de la sécurité de tous les identifiants du Client utilisés pour accéder au Service en nuage ; (ii) de la sécurisation de l'Environnement en nuage du Client et de tout Système du Client (ces mesures devant inclure, sans s'y limiter, la rotation régulière des clés d'accès et d'autres mesures standard de l'industrie pour empêcher l'accès non autorisé) ; (iii) sauvegarder et sécuriser les données du client sous le contrôle du client dans l'environnement cloud du client ou tout autre système contrôlé par le client ; et (iv) réviser l'information rendue disponible par Couchbase concernant la sécurité et la confidentialité des données et déterminer de façon indépendante si le service cloud répond aux exigences du client et à ses obligations légales en vertu de la loi sur la protection des données applicable.

d. Réponse aux incidents de sécurité. Dans la mesure requise par les lois applicables sur la protection des données, Couchbase doit aviser le client sans délai excessif dès qu'il a connaissance d'un incident de sécurité et doit : (i) afin d'aider le client dans le cadre de toute notification de violation de données personnelles que le client est tenu de faire en vertu des lois applicables sur la protection des données, Couchbase inclura dans cet avis au client l'information opportune relative à l'incident de sécurité au fur et à mesure qu'elle est connue, tel que raisonnablement demandé par le client, en tenant compte de la nature du service en nuage, de l'information disponible à Couchbase et de toute restriction sur la divulgation de l'information, telle que la confidentialité ; et (ii) prendre rapidement les mesures jugées nécessaires et raisonnables par Couchbase pour contenir, enquêter et remédier à tout incident de sécurité, dans la mesure où la remédiation est sous le contrôle raisonnable de Couchbase. La notification ou la réponse de Couchbase à un incident de sécurité en vertu de la présente section 4(d) ne doit pas être interprétée comme une reconnaissance par Couchbase de toute faute ou responsabilité en ce qui concerne l'incident de sécurité. Les obligations énoncées ici ne s'appliquent pas aux incidents de sécurité dans la mesure où ils sont causés par le client ou ses utilisateurs autorisés.

e. Audits de sécurité. Couchbase fournira des réponses écrites (sur une base confidentielle) à toutes les demandes écrites raisonnables d'information faites par le client relativement au traitement des données du client par Couchbase, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont nécessaires pour confirmer la conformité de Couchbase à ce RGPD, à condition que le client n'exerce pas ce droit plus d'une fois au cours d'une période mobile de douze (12) mois. Nonobstant ce qui précède, le client peut également exercer ce droit d'audit dans le cas où il est expressément demandé ou requis de fournir ces informations à une autorité de protection des données, ou si Couchbase a connu un incident de sécurité, ou sur une autre base raisonnablement similaire.

5. Transferts internationaux

a. Lieux de traitement. Le client reconnaît et accepte que Couchbase puisse transférer et traiter les données du client aux États-Unis et partout ailleurs dans le monde où Couchbase, ses affiliés ou ses sous-traitants effectuent des opérations de traitement de données. Couchbase s'assurera en tout temps que ces transferts sont effectués en conformité avec les exigences des lois applicables en matière de protection des données et de la présente DPA.

6. Suppression des données relatives aux clients

a. Le Service en nuage fournira au Client des contrôles qu'il pourra utiliser pour supprimer ou récupérer les Données du Client pendant la durée du contrat d'une manière compatible avec la fonctionnalité du Service en nuage.

b. Le client autorise Couchbase, à la résiliation ou à l'expiration de l'Entente, ou en cas de résiliation ou de suspension du Service en nuage conformément à l'Entente, à supprimer toutes les Données du client (y compris les copies) en sa possession ou sous son contrôle conformément à l'Entente, sauf que cette exigence ne s'applique pas dans la mesure où Couchbase est tenu par la loi applicable de conserver une partie ou l'ensemble des Données du client.

7. Droits des personnes et coopération

a. Demandes des personnes concernées. Le Service Cloud fournit au Client un certain nombre de contrôles, y compris des caractéristiques et des fonctionnalités de sécurité, que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données Client, comme décrit dans toute documentation applicable au Service Cloud. Sans préjudice de l'article 4(a), le Client peut utiliser ces contrôles en tant que mesures techniques et organisationnelles pour l'aider dans le cadre de ses obligations en vertu des Lois sur la protection des données applicables, y compris ses obligations relatives à la réponse aux demandes des personnes concernées. Dans la mesure où le client n'est pas en mesure d'accéder de façon indépendante aux données pertinentes du client dans le service en nuage, Couchbase doit, en tenant compte de la nature du traitement, fournir une coopération raisonnable pour aider le client à répondre à toute demande des personnes ou des autorités de protection des données applicables concernant le traitement des données du client en vertu de l'Entente. Dans le cas où une telle demande est adressée directement à Couchbase, Couchbase ne doit pas répondre à une telle communication directement sans l'autorisation préalable du client, à moins d'être légalement contraint de le faire. Si Couchbase est tenu de répondre à une telle demande, Couchbase en avisera rapidement le client et lui fournira une copie de la demande, à moins que la loi ne l'interdise.

b. Citations à comparaître et ordonnances judiciaires. Si un organisme d'application de la loi envoie à Couchbase une demande pour les données du client (par exemple, par le biais d'une citation à comparaître ou d'une ordonnance du tribunal), Couchbase doit donner au client un avis raisonnable de la demande afin de permettre au client de demander une ordonnance de protection ou un autre recours approprié, à moins que Couchbase ne soit légalement interdit de le faire.

8. Conditions spécifiques à la juridiction

a. L'Europe. Dans la mesure où les données du client sont soumises aux lois européennes sur la protection des données, les conditions suivantes s'appliquent en plus des conditions énoncées dans le reste du présent DPA :

i. Obligations des sous-traitants. Couchbase doit : (A) conclure un accord écrit avec chaque Sous-Traitant imposant des conditions de protection des données qui exigent que le Sous-Traitant protège les données personnelles selon les normes requises par la loi européenne sur la protection des données et le présent DPA ; et (B) demeurer responsable de son respect des obligations du présent DPA et de tout acte ou omission du Sous-Traitant entraînant la violation par Couchbase de l'une de ses obligations en vertu du présent DPA.

ii. Oppositions aux sous-traitants secondaires. Le client peut s'opposer par écrit à la nomination d'un nouveau sous-traitant par Couchbase pour des motifs raisonnables liés à la protection des données (par exemple, si la mise à disposition des données du client au sous-traitant peut violer la loi européenne sur la protection des données ou affaiblir les protections de ces données du client) en avisant Couchbase promptement par écrit dans les cinq (5) jours civils suivant la réception de l'avis de Couchbase conformément à la section 3(a) ci-dessus. Cet avis doit expliquer les motifs raisonnables de l'objection et les parties doivent discuter de ces préoccupations de bonne foi afin d'en arriver à une résolution commercialement raisonnable. Si aucune résolution ne peut être atteinte, Couchbase, à sa seule discrétion, ne nommera pas de Sous-Traitant, ou permettra au Client de suspendre ou de résilier le Service Cloud concerné conformément aux dispositions de résiliation de l'Entente sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation). À moins qu'une objection ne soit faite tel qu'indiqué dans cette section 8(a)(ii), le client consent à l'utilisation par Couchbase de sous-traitants secondaires tel que décrit dans cette DPA.

iii. Transferts de données. Dans la mesure où Couchbase traite (ou fait traiter) des données personnelles protégées par les lois européennes sur la protection des données dans un pays tiers qui n'est pas reconnu comme offrant une protection adéquate des données personnelles (tel que décrit dans les lois européennes sur la protection des données), les conditions générales de l'annexe C (Transferts de données) s'appliqueront et le client (en tant qu'exportateur de données) sera réputé avoir conclu les clauses types avec Couchbase (en tant qu'importateur de données) et Couchbase s'engage à respecter et à traiter les données du client en conformité avec les clauses types, qui sont entièrement incorporées par référence et font partie intégrante de la présente DPA. Pour les besoins des descriptions des clauses types : (A) Couchbase accepte d'être un "importateur de données" et le client est un "exportateur de données" (même si le client peut être une entité située à l'extérieur de l'EEE ou du Royaume-Uni) ; (B) les annexes A et B de la présente DPA remplacent les annexes 1 et 2 des clauses types. Il n'est pas dans l'intention de l'une ou l'autre des parties, et le présent DPA n'a pas pour effet de contredire ou de restreindre les dispositions énoncées dans les clauses types. En conséquence, si et dans la mesure où les clauses types entrent en conflit avec une disposition du présent DPA, les clauses types prévaudront dans la mesure de ce conflit. Les clauses types ne s'appliquent pas aux données des clients qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors de l'EEE ou du Royaume-Uni.

iv. Mécanisme de transfert alternatif. Si et dans la mesure où Couchbase adopte une solution alternative d'exportation de données pour le transfert des données du client, tel que prescrit par les lois européennes sur la protection des données applicables (les "Mécanisme de transfert alternatif"), le mécanisme de transfert alternatif s'appliquera à la place (mais uniquement dans la mesure où ce mécanisme de transfert alternatif s'applique au transfert).

v. Évaluation de l'impact de la protection des données. Dans la mesure où Couchbase est requis par la loi européenne sur la protection des données, Couchbase fournira les informations raisonnablement demandées concernant le traitement des données personnelles par Couchbase dans le cadre de l'accord afin de permettre au client d'effectuer des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de surveillance, tel que requis par la loi.

b. Californie. Dans la mesure où les données du client sont soumises à la CCPA, les parties conviennent que le client est une entreprise et qu'il désigne Couchbase comme son fournisseur de services pour traiter les données du client comme le permettent l'accord (y compris le présent DPA) et la CCPA, ou à d'autres fins convenues par écrit (les " données du client ").Fins autorisées"). Le client et Couchbase conviennent que : (i) Couchbase ne conservera pas, n'utilisera pas et ne divulguera pas les renseignements personnels à des fins autres que les fins autorisées ; (ii) les données du client n'ont pas été vendues à Couchbase et Couchbase ne " vendra " pas de renseignements personnels (tel que défini par la CCPA) ; (iii) Couchbase ne conservera pas, n'utilisera pas et ne divulguera pas de renseignements personnels en dehors de la relation d'affaires directe entre le client et Couchbase ; et (iv) Couchbase peut dépersonnaliser ou agréger des renseignements personnels dans le cadre de la fourniture du service en nuage. Couchbase certifie qu'elle comprend les restrictions énoncées dans la présente section 8(b) et qu'elle s'y conformera.

9. Limitation de la responsabilité

a. La responsabilité de chaque partie et de toutes ses sociétés affiliées, prise dans son ensemble, découlant de ou liée au présent DPA (y compris les clauses types), que ce soit dans le cadre d'un contrat, d'un délit (y compris la négligence) ou de toute autre théorie de la responsabilité, est soumise aux limitations et exclusions de responsabilité de l'accord, et toute référence dans les dispositions à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de toutes ses sociétés affiliées en vertu et en relation avec l'accord et le présent DPA.

b. Sauf si les lois applicables sur la protection des données exigent qu'un affilié du client exerce un droit ou cherche à obtenir un recours en vertu de la présente DPA contre Couchbase directement, les parties conviennent que (i) seule l'entité du client qui est la partie contractante de l'Entente doit exercer tout droit ou chercher à obtenir tout recours qu'un affilié du client peut avoir en vertu de la présente DPA au nom de ses affiliés, et (ii) le client qui est la partie contractante de l'Entente doit exercer de tels droits en vertu de la présente DPA non pas séparément pour chaque affilié individuellement, mais de façon combinée pour tous ses affiliés ensemble.

10. Divers et variés

a. À l'exception des modifications apportées par le présent DPA, l'accord reste inchangé et pleinement en vigueur.

b. Le présent DPA peut être signé en plusieurs exemplaires, dont chacun sera considéré comme un original, mais dont l'ensemble constituera un seul et même instrument.

c. Si une disposition ou une partie de disposition de ce DPA est ou devient invalide, illégale ou inapplicable, elle sera considérée comme supprimée, mais cela n'affectera pas la validité et l'applicabilité du reste du DPA.

d. Le présent DPA est régi et interprété conformément aux dispositions de l'accord en matière de droit applicable et de juridiction, sauf disposition contraire des lois européennes sur la protection des données.

La présente annexe A fait partie de la DPA et décrit (i) le traitement que Couchbase effectuera sur les données du client en tant que sous-traitant ou soustraitant pour le compte du client en tant que responsable du traitement ou sous-traitant, selon le cas, et (ii) les transferts de données d'utilisation que Couchbase effectuera en tant que responsable du traitement.

1) Données sur les clients

Durée de l'accord

La durée du traitement des données en vertu de cette DPA est jusqu'à la résiliation de l'accord conformément à ses termes, plus la période entre l'expiration de l'accord et la suppression des données personnelles par Couchbase conformément aux termes de l'accord (y compris cette DPA).

Catégories de données

Les données à caractère personnel à traiter concernent les catégories de données suivantes (à préciser) :

● Données personnelles dans le contenu des clients: Données à caractère personnel incluses dans le contenu ou les données fournies par ou au nom du Client ou des Utilisateurs autorisés par ou via le Service en nuage.

Catégories particulières de données (le cas échéant)

Les parties n'ont pas l'intention de traiter des données de catégorie spéciale dans le cadre de l'accord.

Personnes concernées

Les données à caractère personnel à traiter concernent les catégories suivantes de personnes concernées (à préciser) :

● Les personnes concernées comprennent les individus au sujet desquels des données sont fournies à Couchbase via le service cloud par le client ou selon ses directives, y compris les utilisateurs autorisés. Les personnes concernées peuvent inclure les clients, les employés, les fournisseurs et les utilisateurs finaux du Client.

Opérations de traitement

Les données à caractère personnel seront soumises aux activités de traitement de base suivantes (veuillez préciser) :
● le traitement pour fournir le service cloud conformément au contrat ;
● le traitement pour effectuer toute démarche nécessaire à l'exécution de l'accord ;
● le traitement initié par le client dans le cadre de son utilisation du service cloud ; et
● traitement pour se conformer à d'autres instructions raisonnables fournies par le client (par exemple, par courriel ou par des tickets d'assistance) qui sont compatibles avec les termes de l'accord.

Fréquence
Les données à caractère personnel peuvent être transférées en continu.

ii) Données d'utilisation

Durée de l'accord

Les données d'utilisation sont transférées et conservées pendant la durée de l'entente pertinente, plus la période pendant laquelle les données d'utilisation sont nécessaires aux efforts commerciaux légitimes de Couchbase. Certains enregistrements agrégés et anonymes des actions des utilisateurs peuvent être conservés de façon permanente.

Catégories de données

Les données à caractère personnel à transférer concernent les catégories de données suivantes (veuillez préciser) :

●  Données personnelles dans les données d'utilisation: Les données d'utilisation peuvent inclure des informations sur le compte de l'utilisateur, y compris l'identifiant du compte et l'adresse électronique ; des informations d'identification personnelle, y compris l'adresse IP ; des informations sur l'emploi ; des informations de contact ; des informations sur le navigateur et des métadonnées.

Catégories particulières de données (le cas échéant)

Les parties n'ont pas l'intention de transférer des données de catégorie spéciale dans le cadre de l'accord.

Personnes concernées

Les données à caractère personnel à traiter concernent les catégories suivantes de personnes concernées (à préciser) :

● Les personnes concernées peuvent inclure le Client, les employés du Client et les autres Utilisateurs autorisés, ainsi que tout autre collaborateur autorisé.

Opérations de traitement

Les données à caractère personnel seront soumises aux activités de traitement de base suivantes (veuillez préciser) :

● le traitement pour fournir et administrer les produits, les services et l'assistance ;
● Traitement pour obtenir des informations afin d'améliorer les produits, les services et l'assistance et de soutenir le développement de l'entreprise ;
● Traitement permettant d'engager et de répondre aux questions des clients, d'effectuer des activités de marketing et de vente, et d'analyser les métadonnées commerciales.

Fréquence

Les données à caractère personnel peuvent être transférées en continu.

Cette annexe décrit les mesures de sécurité de Couchbase. Le client reconnaît que le service en nuage fonctionne selon un modèle de responsabilité partagée qui exige, entre autres, que le client prenne certaines mesures telles que la protection de la sécurité du contenu du client (qui demeure stocké dans l'environnement du client sous son contrôle). Si et dans la mesure où Couchbase traite les données du client au nom du client en lien avec le service en nuage ou transfère toute donnée d'utilisation sujette aux clauses contractuelles standard, Couchbase doit mettre en œuvre et maintenir les mesures de sécurité suivantes :

Mesures de cryptage des données

● Toutes les données des clients sont cryptées en transit à l'aide de TLS 1.2 (ou plus) et cryptées au repos à l'aide du cryptage AES-256.
● Les ordinateurs portables des employés sont cryptés à l'aide d'un cryptage AES-256 sur l'ensemble du disque.
● Toutes les informations d'identification sont cryptées en transit à l'aide de TLS 1.2 (ou supérieur) et cryptées au repos.
● Les clés de chiffrement font l'objet d'une rotation annuelle et sont stockées et gérées dans AWS Key Management Service.

Mesures de disponibilité et de recouvrabilité

● Couchbase maintient des plans et des procédures de reprise après sinistre et de continuité des activités qui sont conçus pour assurer raisonnablement la disponibilité du service cloud.
● L'offre Couchbase Capella est déployée dans des centres de données géographiquement distribués et exploités par des fournisseurs de services de cloud public reconnus par l'industrie, tels qu'Amazon (AWS), Microsoft (Azure) et Google (GCP) (selon le cas).
● La redondance est intégrée à l'infrastructure système qui prend en charge l'offre Couchbase Capella. En cas de défaillance d'un système primaire, l'infrastructure redondante dans une autre zone de disponibilité est configurée pour prendre sa place.
● Les sauvegardes sont stockées dans des environnements contrôlés au sein de l'infrastructure cloud. L'accès logique aux données de sauvegarde est limité au personnel approprié et est stocké dans un stockage à haute disponibilité.
● Sur une base annuelle, un test de restauration de sauvegarde est effectué au cours duquel le personnel d'exploitation restaure une sauvegarde à partir d'un instantané afin de s'assurer que les données pourraient être récupérées en cas d'incident.

Mesures de sécurité organisationnelle

● Couchbase a mis en place un système formel de gestion de la sécurité de l'information (ISMS) afin de protéger la confidentialité, l'intégrité et la disponibilité de l'offre Couchbase Capella et des systèmes d'information, et d'assurer l'efficacité des contrôles de sécurité sur les données et les systèmes d'information.
● Les employés sont tenus de suivre une formation sur la lutte contre la corruption, l'éthique et le code de conduite, les délits d'initiés, la confidentialité des données mondiales et une formation annuelle de sensibilisation à la sécurité.
● Les employés sont tenus de signer des accords de non-divulgation et de confidentialité lors de leur embauche.
● Des politiques et procédures formelles sont en place pour les activités d'accueil et de retrait des employés. Les processus de provisionnement et de déprovisionnement des comptes sont définis et mis en œuvre.
● L'accès des employés est supprimé en cas de licenciement ou ajusté en fonction des besoins à la suite d'un changement de rôle.
● L'authentification multifactorielle (AMF) est appliquée pour l'accès aux ressources critiques et de production.
● Les exigences en matière de complexité des mots de passe sont appliquées.
● La séparation des responsabilités et des tâches est mise en œuvre afin de réduire les possibilités de modification ou d'utilisation abusive non autorisée ou involontaire.
● Couchbase maintient des accords de non-divulgation signés avec des tiers.
● Les réseaux Couchbase sont séparés en fonction des niveaux de confiance et protégés par des pare-feu.

Mesures d'enregistrement et de suivi

● La journalisation des activités des utilisateurs, des exceptions, des défaillances et des événements liés à la sécurité des informations est activée. Les journaux sont conservés, si nécessaire.
● Tous les journaux ne peuvent être consultés que par les employés autorisés de Couchbase et des contrôles d'accès sont en place pour empêcher tout accès non autorisé.
● L'accès en écriture aux données de journalisation est strictement interdit. Les installations de journalisation et les informations de journalisation sont protégées contre la falsification et l'accès non autorisé par l'utilisation de contrôles d'accès et de mesures de sécurité.
● Couchbase a mis en place diverses mesures de surveillance pour générer des alertes de sécurité et identifier les activités irrégulières.
● L'équipe d'exploitation de Couchbase Capella examine régulièrement les alertes de sécurité et leur configuration sous-jacente pour s'assurer qu'elles fonctionnent comme prévu et que les contrôles sont modifiés en fonction de l'évolution des conditions.

Mesures de contrôle d'accès

● Couchbase met en œuvre les meilleures pratiques de sécurité et utilise une architecture de sécurité basée sur les rôles à travers la base de données, le réseau et les couches d'application, et suit strictement les principes du moindre privilège lorsqu'il s'agit d'accorder l'accès aux systèmes clés.
● Couchbase a défini des fonctions et des rôles pour soutenir une séparation correcte des tâches.
● L'accès aux environnements opérationnels, de production et de reprise après sinistre est protégé par l'utilisation de comptes d'utilisateurs uniques, de mots de passe robustes, l'utilisation de l'authentification multifactorielle (MFA), l'accès basé sur les rôles et le principe du moindre privilège.
● Les clés d'accès utilisées par les applications Couchbase de production (par exemple, les clés d'accès AWS) ne sont accessibles qu'au personnel autorisé. Elles font l'objet d'une rotation (changement) selon les besoins (par exemple, suite à un avis de sécurité ou à un départ du personnel) et au moins une fois par an.
● L'activité des utilisateurs dans les environnements opérationnels, y compris l'accès, la modification ou la suppression de données, est enregistrée.
● Les demandes d'autorisation et le provisionnement sont enregistrés, suivis et audités.
● Des pare-feu pour applications web (WAF), en plus des pare-feu basés sur le réseau, sont déployés.

Mesures de sécurité physique

● L'offre Couchbase Capella est déployée dans des centres de données géographiquement distribués et exploités par des fournisseurs de services de cloud public reconnus par l'industrie, tels qu'Amazon (AWS), Microsoft (Azure) et Google (GCP) (selon le cas).
● L'accès physique à toutes les installations contenant des données sensibles est restreint et géré.
● Toutes les installations de ressources d'information (par exemple, les armoires de réseau et les réserves) sont physiquement protégées proportionnellement à la criticité ou à l'importance de leur fonction.
● L'accès aux installations de ressources d'information n'est accordé qu'au personnel de l'entreprise et aux contractants dont les responsabilités professionnelles exigent l'accès à ces installations.
● Toutes les installations de ressources d'information qui autorisent l'accès aux visiteurs sont configurées de manière à suivre l'accès des visiteurs à l'aide d'un journal d'ouverture de session.
● Les registres d'accès par carte et les registres des visiteurs pour les installations de ressources d'information sont conservés en vue d'un examen de routine en fonction de la criticité des ressources d'information protégées.
● L'équipement est protégé afin de réduire les risques liés aux menaces environnementales, aux dangers et aux possibilités d'accès non autorisé.

Configurations sécurisées du système

● Couchbase a mis en place une politique et une procédure de gestion des changements.
● Couchbase surveille les changements apportés aux systèmes du champ d'application afin de s'assurer que le processus standard applicable est suivi et d'atténuer tout risque de changements non détectés en production. Les modifications sont suivies dans le système de gestion des changements.
● Une politique et des procédures de contrôle d'accès sont en place pour empêcher les modifications non autorisées.
● Des contrôles de gestion des appareils mobiles sont en place.

Gouvernance

● Couchbase a mis en place un système formel de gestion de la sécurité de l'information (ISMS) afin de protéger la confidentialité, l'intégrité et la disponibilité de l'offre Couchbase Capella et des systèmes d'information, et d'assurer l'efficacité des contrôles de sécurité sur les données et les systèmes d'information.
● Couchbase a mis en place une politique de sécurité de l'information documentée et approuvée, y compris des documents justificatifs.
● L'autorité et la responsabilité de la gestion du programme de sécurité de l'information de Couchbase ont été déléguées à l'Information Security and Compliance Group, qui est autorisé par la haute direction à prendre les mesures nécessaires pour établir, mettre en œuvre et gérer le programme de sécurité de l'information de Couchbase.

Conformité

● Couchbase est audité par un auditeur tiers indépendant et a obtenu la conformité SOC 2 Type 1, attestant de notre engagement à mettre en place des contrôles qui protègent la confidentialité et la disponibilité des informations stockées et traitées dans le service Couchbase Capella.

Accès minimal aux données

● Des évaluations de la protection de la vie privée sont effectuées en rapport avec la mise en œuvre de nouveaux produits/services et le traitement de données à caractère personnel par des tiers.
● La collecte des données est limitée aux finalités du traitement (ou aux données que le client choisit de fournir).
● Des mesures de sécurité sont en place pour ne fournir que le minimum d'accès nécessaire à l'exécution des fonctions requises.
● Les exigences en matière de conservation des données sont identifiées.
● L'accès aux données à caractère personnel est limité au personnel impliqué dans le traitement, en adhérant au principe du "besoin d'en connaître", et en fonction des rôles et responsabilités définis des individus.

Mesures de responsabilisation

● Des évaluations de la protection de la vie privée des clients sont requises lors de l'introduction de tout nouveau produit/service impliquant le traitement de données à caractère personnel.
● Les évaluations de l'impact sur la protection des données font partie de toute nouvelle initiative de traitement.

Demandes d'accès des personnes concernées

● Les personnes concernées peuvent demander l'exportation de leurs données à caractère personnel dans un format standard de l'industrie.
● Des processus sont en place pour permettre aux individus d'exercer leurs droits à la vie privée (par exemple, le droit à l'effacement ou le droit à la portabilité des données), comme décrit dans la politique de confidentialité de Couchbase accessible au public.

Couchbase continuera d'analyser les récentes orientations du Conseil européen de la protection des données sur les mesures supplémentaires pour répondre à l'exigence d'adéquation du GDPR, ainsi que toute autre recommandation émise par les autorités européennes de protection des données au fur et à mesure qu'elles se présentent.

La présente annexe énonce les conditions qui s'appliquent lorsque l'utilisation par le client du service en nuage nécessite un mécanisme de transfert ultérieur pour transférer légalement des données personnelles d'une juridiction à Couchbase située à l'extérieur de cette juridiction.

1. Clauses contractuelles types du Royaume-Uni.  Pour les transferts de données en provenance du Royaume-Uni qui sont soumis aux clauses contractuelles types du Royaume-Uni, ces dernières seront réputées conclues (et incorporées dans le présent DPA par référence) et complétées comme suit :

a. Les CSC du Royaume-Uni entre le contrôleur et le sous-traitant s'appliqueront lorsque Couchbase traitera les données des clients. La clause d'indemnisation illustrative ne s'appliquera pas. L'annexe A constitue l'appendice 1 des CSC du contrôleur britannique à l'intention du sous-traitant. L'annexe B constitue l'appendice 2 du UK Controller to Processor SCCs. L'annexe D présente l'interprétation de Couchbase et du client quant à leurs obligations respectives en vertu de clauses spécifiques des CSC du contrôleur du Royaume-Uni et du sous-traitant, selon le cas.

b. Le UK Controller to Controller SCCs s'appliquera lorsque Couchbase transfère des données d'utilisation. Dans la clause II(h), Couchbase transférera les données personnelles conformément aux principes de traitement des données énoncés à l'annexe A des CSC entre contrôleurs du Royaume-Uni. La clause commerciale illustrative ne s'appliquera pas. L'annexe A de la présente DPA sert d'annexe B aux CCN entre contrôleurs du Royaume-Uni.

2. Les clauses contractuelles types 2021.  Pour les transferts de données soumis au GDPR et/ou à la FDPA suisse, les 2021 Clauses Contractuelles Types s'appliqueront de la manière suivante :

a. Le module un (contrôleur à contrôleur) s'appliquera lorsque le client est un contrôleur des données d'utilisation et que Couchbase est un contrôleur des données d'utilisation.

b. Le module deux (contrôleur à processeur) s'appliquera lorsque le client est un contrôleur des données du client et que Couchbase est un processeur des données du client ;

c. Le module trois (processeur à processeur) s'appliquera lorsque le client est un processeur des données du client et que Couchbase est un sous-processeur des données du client ;

d. Pour chaque module, le cas échéant :
(i) à la clause 7, la clause d'amarrage facultatif s'applique ;
(ii) à la clause 9, l'option 2 s'applique et le délai de notification préalable des changements de sous-traitant est celui prévu à la section 3 (Sous-traitance) du présent DPA ;
(iii) à la clause 11, la langue optionnelle ne s'appliquera pas ;
(iv) dans la clause 17 (option 1), les clauses contractuelles types 2021 seront régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi et, à défaut, par le droit irlandais.
(v) dans la clause 18(b), les litiges seront résolus devant les tribunaux de l'État membre de l'UE dans lequel l'exportateur de données est établi et, en l'absence d'une telle loi, devant les tribunaux de la République d'Irlande.
(vi) À l'annexe I, partie A :

Exportateur de données :  Le client et les sociétés affiliées autorisées du client.

Coordonnées :  adresse(s) électronique(s) du client spécifiée(s) comme compte pertinent pour recevoir des communications dans le cadre du service cloud

Rôle de l'exportateur de données :  Le client est le contrôleur ou le responsable du traitement des données du client, selon le cas, et le contrôleur des données d'utilisation.

Signature et date :  En concluant l'Accord, l'Exportateur de Données est réputé avoir signé les présentes Clauses Contractuelles Types qui y sont incorporées, y compris leurs Annexes, à la Date d'Entrée en Vigueur de l'Accord.

Importateur de données :  Couchbase, Inc.

Coordonnées : Équipe juridique de Couchbase - legal@couchbase.com

Rôle de l'importateur de données : Couchbase est le sous-traitant ou le sous-traitant secondaire des données du client, selon le cas, et le contrôleur des données d'utilisation.

Signature et date : En concluant l'Accord, l'Importateur de Données est réputé avoir signé les présentes Clauses Contractuelles Types, incorporées dans le présent Accord, y compris leurs Annexes, à la Date d'Entrée en Vigueur de l'Accord.

(vii) À l'annexe I, partie B :
Les catégories de personnes concernées sont décrites à l'annexe A du présent DPA.

Les données sensibles transférées sont décrites à l'annexe A du présent DPA.

La fréquence du transfert est continue pendant toute la durée de l'accord.

La nature du traitement est décrite à l'annexe A du présent DPA.

La finalité du traitement est décrite à l'annexe A du présent DPA.

La durée du traitement est décrite à l'annexe A du présent DPA.

Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont décrits à l'adresse suivante https://info.couchbase.com/cloud-subprocessors.html

(l'annexe I, partie C : l'autorité de contrôle de l'État membre de l'UE visé à la section 3, point d) iv), fait office d'autorité de contrôle compétente.

(ix) La liste 2 constitue l'annexe II des clauses contractuelles types.

4. Termes contradictoires. En cas de conflit entre les clauses contractuelles types et toute autre disposition du présent DPA, les dispositions des clauses contractuelles types prévalent.

La présente annexe expose l'interprétation par les parties de leurs obligations respectives en vertu de clauses spécifiques des CCAP entre contrôleurs et sous-traitants britanniques (également appelées "clauses"), identifiées ci-dessous. Lorsqu'une partie se conforme aux interprétations énoncées dans la présente annexe, elle est réputée par l'autre partie avoir respecté ses engagements au titre des clauses.
Aux fins de la présente annexe, on entend par "DPA" l'addendum relatif au traitement des données conclu entre l'importateur et l'exportateur de données, auquel les présentes clauses sont incorporées, et par "accord" la signification qui lui est donnée dans le DPA.

Clause 4(h) et 8 : Divulgation de ces clauses

1. L'exportateur de données convient que les présentes clauses constituent des informations confidentielles de l'importateur de données, telles que définies dans l'accord, et qu'elles ne peuvent être divulguées par l'exportateur de données à un tiers sans l'accord écrit préalable de l'importateur de données, à moins que l'accord ne le permette. Cela n'empêche pas la divulgation des présentes clauses à une personne concernée conformément à la clause 4, point h), ou à une autorité de contrôle conformément à la clause 8.

Clause 5(a) : Suspension des transferts de données et résiliation :

1. Les parties reconnaissent que l'importateur de données ne peut traiter les données à caractère personnel que pour le compte de l'exportateur de données et conformément à ses instructions, telles que fournies par l'exportateur de données et les clauses.

2. Les parties reconnaissent que si l'importateur de données ne peut pas assurer cette conformité pour quelque raison que ce soit, il accepte d'en informer rapidement l'exportateur de données, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat.

3. Si l'exportateur de données a l'intention de suspendre le transfert de données à caractère personnel et/ou de résilier les présentes clauses, il s'efforce d'en informer l'importateur de données et de lui accorder un délai raisonnable pour remédier à la situation de non-conformité (ci-après dénommée "clause de non-conformité").Période de cure").

4. Si, à l'issue du délai de réparation, l'importateur de données n'a pas remédié ou ne peut pas remédier à la non-conformité, l'exportateur de données peut suspendre le transfert de données à caractère personnel ou y mettre fin immédiatement. L'exportateur de données n'est pas tenu de fournir une telle notification dans les cas où il considère qu'il existe un risque important de préjudice pour les personnes concernées ou leurs données à caractère personnel.

Clause 5(f) : Audit :

1. L'exportateur de données reconnaît et accepte qu'il exerce son droit d'audit en vertu de la clause 5(f) en demandant à l'importateur de données de se conformer aux mesures d'audit décrites dans la section 4 (Sécurité et audits) du DPA.

Clause 5(j) : Divulgation des accords de sous-traitance

1. Les parties reconnaissent l'obligation de l'importateur de données d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance ultérieur qu'il conclut en vertu des Clauses.

2. Les parties reconnaissent en outre que, conformément aux restrictions de confidentialité des sous-traitants, l'importateur de données peut être empêché de divulguer à l'exportateur de données les accords de sous-traitance ultérieurs. Nonobstant, l'importateur de données s'efforce raisonnablement de demander à tout sous-traitant ultérieur qu'il désigne de l'autoriser à divulguer l'accord de sous-traitance ultérieur à l'exportateur de données.

3. Même si l'importateur de données ne peut pas divulguer un accord de sous-traitance à l'exportateur de données, les parties conviennent que, à la demande de l'exportateur de données, l'importateur de données fournira (à titre confidentiel) à l'exportateur de données toutes les informations qu'il est raisonnablement en mesure de fournir en rapport avec cet accord de sous-traitance.

Clause 6 : Responsabilité

1. Toute réclamation introduite en vertu des présentes clauses est soumise aux termes et conditions, y compris, mais sans s'y limiter, aux exclusions et limitations énoncées dans l'accord. En aucun cas, une partie ne peut limiter sa responsabilité en ce qui concerne les droits de la personne concernée en vertu des présentes clauses.

Clause 11 : Sous-transformation ultérieure

1. Les parties reconnaissent que, conformément à la FAQ II.1 du document WP 176 du groupe de travail "Article 29" intitulé "FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processor established in third countries under Directive 95/46/EC", l'exportateur de données peut donner un consentement général au sous-traitement ultérieur par l'importateur de données.

2. En conséquence, l'exportateur de données donne son consentement général à l'importateur de données, conformément à la clause 11 des présentes clauses, pour engager des sous-traitants ultérieurs. Ce consentement est subordonné au respect par l'importateur de données des exigences énoncées à la section 8, point a), du RGPD.