Couchbase Capella Cloud Customer Data Processing Addendum

Le présent addendum sur le traitement des données (le "DPA) fait partie de l'Entente cadre de service de Capella ou de toute autre entente entre le client et Couchbase régissant l'utilisation du service en nuage par le client ("l'Entente cadre de service de Capella").Accord"), entre Couchbase, Inc. ("Couchbase") et la partie identifiée comme "Client" dans l'Accord (" Client ") (chacun étant un "Parti"et ensemble, les "Les partis"). La date d'entrée en vigueur de ce DPA est la date d'entrée en vigueur de l'accord ou, s'il est signé séparément, la date de la dernière signature de ce DPA ("Date d'entrée en vigueur").

Le présent DPA décrit les engagements des parties concernant le traitement des données à caractère personnel dans le cadre de l'utilisation du service cloud par le client. Tout terme en majuscule qui n'est pas défini dans le présent DPA aura la signification qui lui est donnée dans l'Accord.

Le présent accord a été mis à jour pour la dernière fois le 07 mai 2024.

Les parties conviennent de ce qui suit :

1. Définitions. Les termes en majuscules suivants, lorsqu'ils sont utilisés dans le présent DPA, ont la signification qui leur est donnée ci-dessous :

1. "Lois applicables en matière de protection des données" désigne l'ensemble des lois, règlements, règles, ordonnances et autres décrets mondiaux relatifs à la protection de la vie privée et des données applicables aux Données à caractère personnel, y compris (mais sans s'y limiter) : (i) les lois européennes sur la protection des données ; et (ii) toutes les lois et réglementations des États-Unis, y compris le California Consumer Privacy Act de 2018 (California Civil Code §§ 1798.100 et seq ("CCPA") ; tel qu'il peut être modifié, annulé ou remplacé.

2. “Données sur les clients" désigne toute Donnée personnelle traitée par Couchbase au nom du Client en tant que fournisseur de services ou sous-traitant (selon le cas) en lien avec le Service cloud, tel que plus particulièrement décrit dans l'Annexe A de ce DPA.

3. "EEE"Les États membres de l'Union européenne, ainsi que l'Islande, le Liechtenstein et la Norvège.

4. “Lois européennes sur la protection des données" : i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ("GDPR") ; ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ("Directive sur la vie privée et les communications électroniques) ; (iii) toute mise en œuvre nationale applicable des points (i) et (ii) ; (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance ("loi sur la protection des données") ; (v) la loi sur la protection des données de l'Union européenne ("loi sur la protection des données")."La loi suisse sur la protection des droits de l'homme") ; et (v) en ce qui concerne le Royaume-Uni, la loi sur la protection des données de 2018 et toute législation nationale applicable qui remplace ou convertit en droit interne le GDPR, la directive e-Privacy ou toute autre loi relative aux données et à la vie privée à la suite de la sortie du Royaume-Uni de l'Union européenne (collectivement, "Lois britanniques sur la protection des données"), dans chaque cas tel qu'il peut être modifié, annulé ou remplacé.

5. “Clauses typesLe terme " clauses contractuelles " désigne, en fonction des circonstances propres au client, l'un des éléments suivants : (i) les clauses contractuelles types pour les sous-traitants telles qu'approuvées par la Commission européenne conformément à sa décision 2021/914 (les "2021 Clauses contractuelles types"), et (ii) l'addendum britannique sur le transfert international de données aux clauses contractuelles types de la Commission européenne, version B1.0, en vigueur à partir du 21 mars 2022, ("UK IDTA"), appelées alternativement clauses contractuelles types, incorporées par référence et faisant partie intégrante du présent DPA.

6. "Données personnellesOn entend par "données personnelles", toute information concernant une personne physique identifiée ou identifiable et qui est protégée en tant que "données personnelles", "informations personnelles" ou "informations personnellement identifiables" en vertu des lois applicables en matière de protection des données.

7. "Incident de sécuritéIncident de sécurité " signifie toute violation de la sécurité qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données du client transmises, stockées ou autrement traitées par Couchbase et/ou ses sous-traitants dans le cadre de la fourniture du service en nuage. Les parties reconnaissent et conviennent que le terme " incident de sécurité " n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données du client, y compris les tentatives infructueuses de connexion, les pings, les balayages de port, les attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau.

8. “Sous-processeur" signifie tout sous-traitant engagé par Couchbase ou ses sociétés affiliées pour l'aider à remplir ses obligations relatives à la fourniture du service en nuage conformément à l'entente ou à la présente DPA. Les sous-traitants peuvent inclure des tiers ou des affiliés de Couchbase, mais excluent tout employé, entrepreneur ou consultant de Couchbase.

9. Les termes "contrôleur", "processeur"et "transformation"ont les significations qui leur sont données dans le GDPR, et "processus", "processus" et "traité"sont interprétés en conséquence, et les termes "entreprise", "fournisseur de services" et "vendre"ont la signification qui leur est donnée dans l'ACCP.

2. Rôle et champ d'application de la transformation

1. Champ d'application. Sous réserve de la section 2(b), ce DPA s'applique dans la mesure où Couchbase traite, en tant que processeur ou fournisseur de services (selon le cas), toute donnée client protégée par les lois applicables en matière de protection des données.

2. Rôle des parties. Les parties reconnaissent et conviennent que le client est l'entreprise concernée, le contrôleur ou le sous-traitant (selon le cas) des données du client, et que Couchbase est un fournisseur de services, un sous-traitant ou un sous-traitant secondaire (selon le cas) au nom du client, tel que décrit plus en détail à l'annexe A de la présente DPA. Pour éviter tout doute, les parties reconnaissent que Couchbase peut être l'entreprise pertinente ou le contrôleur en ce qui concerne d'autres données personnelles, telles que les données personnelles incluses dans toute donnée d'utilisation technique que Couchbase recueille en lien avec le service cloud. Chaque partie se conformera à toutes les lois, règles et réglementations qui lui sont applicables et qui la lient dans le cadre de l'exécution de ce DPA, y compris toutes les lois applicables en matière de protection des données.

3. Traitement des données à caractère personnel par Couchbase. Couchbase accepte de traiter les données du client uniquement aux fins décrites dans la présente DPA et conformément aux instructions légales documentées du client. Les parties conviennent que l'Accord (y compris la présente DPA) énonce les instructions complètes et finales du Client à Couchbase en ce qui concerne le traitement des Données du Client et que le traitement en dehors de la portée de ces instructions (le cas échéant) nécessitera une entente écrite préalable entre le Client et Couchbase. Sans préjudice de la section 2(d) (Responsabilités du client), Couchbase doit aviser le client par écrit, à moins qu'il ne soit interdit de le faire en vertu des lois applicables sur la protection des données, et peut suspendre le traitement des données du client, s'il apprend ou croit que toute instruction de traitement des données du client viole les lois applicables sur la protection des données.

4. Responsabilités du client. Le client est responsable de la légalité du traitement des données du client dans le cadre de l'Entente. Le client déclare et garantit que (i) il a fourni, et continuera de fournir, tous les avis et obtenu, et continuera d'obtenir, tous les consentements, permissions et droits nécessaires en vertu des lois applicables sur la protection des données pour que Couchbase puisse légalement traiter les données du client aux fins envisagées par l'Entente (incluant cette DPA) ; (ii) il s'est conformé à toutes les Lois sur la protection des données applicables en tant que contrôleur et/ou entreprise en ce qui a trait aux Données du client pour la collecte et la fourniture à Couchbase et à ses Sous-traitants de telles Données du client ; et (iii) il s'assurera que ses instructions de traitement sont conformes aux lois applicables (incluant les Lois sur la protection des données applicables) et que le traitement des Données du client par Couchbase conformément aux instructions du client ne fera pas en sorte que Couchbase soit en infraction avec les Lois sur la protection des données applicables.

5. Données agrégées. Pour éviter tout doute, le client reconnaît que Couchbase et ses affiliés ont le droit de recueillir et de créer de l'information anonyme, agrégée et/ou dépersonnalisée (telle que définie par les lois applicables sur la protection des données) pour leurs propres fins commerciales légitimes.

3. Sous-traitement

1. Sous-traitants autorisés. Le client reconnaît et accepte que Couchbase puisse engager des sous-traitants pour traiter les données du client en son nom. Les sous-traitants actuellement engagés par Couchbase et autorisés par le client sont énumérés sur le site Web de Couchbase (actuellement affiché à l'adresse suivante https://info.couchbase.com/cloud-subprocessors.html). Au moins quinze (15) jours avant l'ajout d'un nouveau sous-traitant, Couchbase mettra à jour le site Web applicable et avisera le client de cette mise à jour par le biais du mécanisme fourni sur le site Web de Couchbase, sauf que si Couchbase croit raisonnablement que l'engagement d'un nouveau sous-traitant sur une base accélérée est nécessaire pour protéger la confidentialité, l'intégrité ou la disponibilité des données du client ou pour éviter une perturbation importante du service en nuage, Couchbase donnera plutôt un tel avis dès que raisonnablement possible.

2. Obligations des sous-traitants. Dans la mesure requise par les lois applicables en matière de protection des données, Couchbase devra : (i) conclure un accord écrit avec chaque Sous-Traitant imposant des conditions de protection des données non moins protectrices des Données Client que les obligations de Couchbase en vertu du présent DPA dans la mesure applicable aux services fournis par chaque Sous-Traitant ; et (ii) demeurer responsable de son respect des obligations du présent DPA et de tout acte ou omission du Sous-Traitant entraînant la violation par Couchbase de l'une quelconque de ses obligations en vertu du présent DPA.

3. Oppositions aux sous-traitants secondaires. Le client peut s'opposer par écrit à la nomination d'un nouveau sous-traitant par Couchbase pour des motifs raisonnables liés à la protection des données en avisant Couchbase promptement par écrit dans les dix (10) jours civils suivant la réception de l'avis de Couchbase conformément à la section 3(a) ci-dessus. Cet avis doit expliquer les motifs raisonnables de l'objection et les parties doivent discuter de ces préoccupations de bonne foi afin d'en arriver à une résolution commercialement raisonnable. Si aucune résolution ne peut être atteinte, Couchbase, à sa seule discrétion, ne nommera pas ce Sous-Traitant, ou permettra au Client de suspendre ou de résilier la partie affectée du Service Cloud conformément aux dispositions de résiliation de l'Entente. Couchbase remboursera au client tous les frais prépayés et non utilisés pour la portion du service cloud affectée après la date effective de résiliation. À moins qu'une objection ne soit faite tel qu'indiqué dans cette section 3(c), le client consent à l'utilisation par Couchbase de Sous-Traitants tel que décrit dans cette DPA.

4. Sécurité et audits

1. Mesures de sécurité. Couchbase doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les données des clients sous son contrôle contre les incidents de sécurité et pour préserver la sécurité et la confidentialité des données des clients, en tenant compte de l'état de l'art et des meilleures pratiques de l'industrie, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement ("les données des clients").Mesures de sécurité"). Ces mesures de sécurité incluront, au minimum, les mesures décrites à l'annexe B de la présente DPA. Couchbase doit s'assurer que toute personne autorisée par Couchbase à traiter les données des clients en vertu de la présente DPA est soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou statutaire).

2. Mise à jour des mesures de sécurité. Le client reconnaît que les mesures de sécurité sont sujettes au progrès technique et au développement et que Couchbase peut mettre à jour ou modifier les mesures de sécurité de temps à autre, pourvu que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale du service cloud acheté par le client.

3. Responsabilités en matière de sécurité des clients. Le Client doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées conçues pour se protéger contre les incidents de sécurité et pour préserver la sécurité et la confidentialité des données du Client sous son contrôle. Le Client est responsable (i) de la protection de la sécurité de tous les identifiants du Client utilisés pour accéder au Service en nuage ; (ii) de la sécurisation de l'Environnement en nuage du Client et de tout Système du Client (ces mesures devant inclure, sans s'y limiter, la rotation régulière des clés d'accès et d'autres mesures standard de l'industrie pour empêcher l'accès non autorisé) ; (iii) sauvegarder et sécuriser les données du client sous le contrôle du client dans l'environnement cloud du client ou tout autre système contrôlé par le client ; et (iv) réviser l'information rendue disponible par Couchbase concernant la sécurité et la confidentialité des données et déterminer de façon indépendante si le service cloud répond aux exigences du client et à ses obligations légales en vertu de la loi sur la protection des données applicable.

4. Réponse aux incidents de sécurité. Dans la mesure requise par les lois applicables sur la protection des données, Couchbase doit, dès qu'elle prend connaissance d'un incident de sécurité, en aviser le client sans délai excessif par l'entremise des services en nuage et doit : (i) inclure dans cet avis au client des informations opportunes relatives à l'incident de sécurité au fur et à mesure qu'elles sont connues, tel que raisonnablement demandé par le client pour aider le client en ce qui a trait à toute notification de violation de données personnelles requise en vertu des lois sur la protection des données applicables, en tenant compte de la nature du service cloud, des informations disponibles à Couchbase et de toute restriction sur la divulgation de l'information, telle que les obligations de confidentialité ; et (ii) prendre rapidement les mesures jugées nécessaires et raisonnables par Couchbase pour contenir, enquêter et remédier à tout incident de sécurité, dans la mesure où la remédiation est sous le contrôle raisonnable de Couchbase. La notification ou la réponse de Couchbase à un incident de sécurité en vertu de la présente section 4(d) ne doit pas être interprétée comme une reconnaissance par Couchbase de toute faute ou responsabilité en ce qui concerne l'incident de sécurité. Les obligations énoncées ici ne s'appliquent pas aux incidents de sécurité dans la mesure où ils sont causés par le client ou ses utilisateurs autorisés.

5. Audits de sécurité. Couchbase fournira des réponses écrites (sur une base confidentielle) à toutes les demandes écrites raisonnables d'information faites par le client relativement au traitement des données du client par Couchbase, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont nécessaires pour confirmer la conformité de Couchbase à ce RGPD, à condition que le client n'exerce pas ce droit plus d'une fois au cours d'une période mobile de douze (12) mois. Nonobstant ce qui précède, le client peut également exercer ce droit d'audit dans le cas où il est expressément demandé ou requis de fournir ces informations à une autorité de protection des données, ou si Couchbase a connu un incident de sécurité, ou sur une autre base raisonnablement similaire.

5. Transferts internationaux

1. Lieux de traitement. Le service cloud est conçu pour permettre au client de déterminer l'environnement cloud et la région géographique dans laquelle la ou les instances de base de données du client seront déployées, tel que décrit dans la documentation. Le client reconnaît et accepte que dans le cadre de la fourniture d'un service en nuage géré, Couchbase peut transférer les données du client à des endroits où Couchbase, ses affiliés ou ses sous-traitants maintiennent des opérations de traitement de données. Couchbase doit en tout temps s'assurer que ces transferts sont effectués en conformité avec les exigences des lois applicables en matière de protection des données et de ce DPA.

6. Mécanismes de transfert.

1. Cadre de protection des données. Couchbase participe et certifie sa conformité au cadre de protection des données UE-États-Unis, à l'extension britannique du cadre de protection des données UE-États-Unis et au cadre de protection des données Suisse-États-Unis (collectivement, le " cadre de protection des données "). Tel que requis par le cadre de protection des données, Couchbase (i) fournira au moins le même niveau de protection des données du client que celui requis par les principes et les principes supplémentaires du cadre de protection des données pertinent (les " principes "), (ii) avisera le client si Couchbase détermine qu'elle ne peut plus respecter son obligation de fournir le même niveau de protection que celui requis par le cadre de protection des données, incluant les principes, et (iii) sur avis, prendra les mesures raisonnables et appropriées pour remédier au traitement non autorisé des données du client.

2. Transferts régis par les lois européennes sur la protection des données. Dans la mesure où Couchbase traite (ou fait traiter) des données personnelles protégées par les lois européennes sur la protection des données dans un pays tiers qui n'est pas reconnu comme offrant une protection adéquate des données personnelles (tel que décrit dans les lois européennes sur la protection des données), les conditions de l'annexe C (transferts de données) s'appliqueront, Le client (en tant qu'exportateur de données) sera réputé avoir conclu les clauses types avec Couchbase (en tant qu'importateur de données) et Couchbase s'engage à respecter et à traiter les données du client conformément aux clauses types, lesquelles sont incorporées par référence et font partie intégrante de la présente DPA. Pour les besoins des descriptions des clauses types : (A) Couchbase accepte d'être un "importateur de données" et le client est un "exportateur de données" (même si le client peut être une entité située à l'extérieur de l'EEE ou du Royaume-Uni) ; (B) les annexes A et B de la présente DPA remplacent les annexes 1 et 2 des clauses types. Il n'est pas dans l'intention de l'une ou l'autre des parties, et le présent DPA n'a pas pour effet de contredire ou de restreindre les dispositions énoncées dans les clauses types. En conséquence, si et dans la mesure où les clauses types entrent en conflit avec une disposition du présent DPA, les clauses types prévaudront dans la mesure de ce conflit. Les clauses types ne s'appliqueront pas aux données du client qui ne sont pas transférées, directement ou par transfert ultérieur, à l'extérieur de l'EEE ou du Royaume-Uni. Si et dans la mesure où Couchbase adopte une solution alternative d'exportation de données pour le transfert des données du client tel que prescrit par les lois européennes sur la protection des données (" mécanisme de transfert alternatif "), le mécanisme de transfert alternatif s'appliquera à la place (mais seulement dans la mesure où ce mécanisme de transfert alternatif s'applique au transfert).

3. Exigences supplémentaires en matière de transfert. Si, à tout moment, les lois applicables en matière de protection des données exigent que d'autres mesures soient prises afin de permettre le transfert des données du client tel que défini dans ce DPA (y compris, sans limitation, l'exécution ou la réexécution des 2021 Clauses contractuelles standard ou de l'IDTA britannique en tant que document distinct et/ou l'entrée dans des clauses de transfert transfrontalier supplémentaires), et/ou les mécanismes de transfert de ce DPA sont modifiés, remplacés, abrogés ou autrement résiliés en vertu de la Loi sur la protection des données applicable, alors le Client et Couchbase acceptent de travailler ensemble de bonne foi afin de prendre toutes les mesures raisonnablement requises pour permettre un transfert en conformité avec les Lois sur la protection des données applicables. De plus, dans la mesure requise par les lois applicables sur la protection des données, Couchbase fournira les informations raisonnablement demandées concernant le traitement des données personnelles dans le cadre de l'Entente afin de permettre au Client d'effectuer des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de surveillance.

7. Suppression des données relatives aux clients

1. Le Service en nuage fournira au Client des contrôles qu'il pourra utiliser pour supprimer ou récupérer les Données du Client pendant la durée du contrat d'une manière compatible avec la fonctionnalité du Service en nuage.

2. Le client autorise Couchbase, à la résiliation ou à l'expiration de l'Entente, ou en cas de résiliation ou de suspension du Service en nuage conformément à l'Entente, à supprimer toutes les Données du client (y compris les copies) en sa possession ou sous son contrôle conformément à l'Entente, sauf que cette exigence ne s'applique pas dans la mesure où Couchbase est tenu par la loi applicable de conserver une partie ou l'ensemble des Données du client.

8. Droits des personnes et coopération

1. Demandes des personnes concernées. Le Service Cloud fournit au Client un certain nombre de contrôles, y compris des caractéristiques et des fonctionnalités de sécurité, que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données Client, comme décrit dans toute documentation applicable au Service Cloud. Sans préjudice de l'article 4(a), le Client peut utiliser ces contrôles en tant que mesures techniques et organisationnelles pour l'aider dans le cadre de ses obligations en vertu des Lois sur la protection des données applicables, y compris ses obligations relatives à la réponse aux demandes des personnes concernées. Dans la mesure où le client n'est pas en mesure d'accéder de façon indépendante aux données pertinentes du client dans le service en nuage, Couchbase doit, en tenant compte de la nature du traitement, fournir une coopération raisonnable pour aider le client à répondre à toute demande des personnes ou des autorités de protection des données applicables concernant le traitement des données du client en vertu de l'Entente. Dans le cas où une telle demande identifiant le client est faite directement à Couchbase, Couchbase ne répondra pas à cette communication directement sans l'autorisation préalable du client, à moins d'être légalement contraint de le faire. Si Couchbase doit répondre à une telle demande, Couchbase doit rapidement en aviser le client et lui fournir une copie de la demande, à moins que la loi ne l'interdise.

2. Citations à comparaître et ordonnances judiciaires. Si un organisme d'application de la loi envoie à Couchbase une demande pour les données du client (par exemple, par le biais d'une citation à comparaître ou d'une ordonnance du tribunal), Couchbase doit donner au client un avis raisonnable de la demande afin de permettre au client de demander une ordonnance de protection ou un autre recours approprié, à moins que Couchbase ne soit légalement interdit de le faire.

9. Conditions spécifiques à la juridiction

1. Californie. Dans la mesure où les données du client sont assujetties à la CCPA, les parties conviennent que le client est une entreprise et qu'il nomme Couchbase comme son fournisseur de services (tel que défini dans la CCPA) pour traiter les données du client tel que permis en vertu de l'entente (y compris cette DPA) et de la CCPA, ou à des fins autrement convenues par écrit (collectivement, les "données du client").Fins autorisées"). Le client et Couchbase conviennent que : (i) Couchbase ne conservera pas, n'utilisera pas et ne divulguera pas les renseignements personnels à des fins autres que les fins autorisées ; (ii) les données du client n'ont pas été vendues à Couchbase et Couchbase ne " vendra " pas de renseignements personnels (tel que défini par la Loi sur la protection des renseignements personnels et les documents électroniques) ; (iii) Couchbase ne doit pas conserver, utiliser ou divulguer des renseignements personnels en dehors de la relation d'affaires directe entre le client et Couchbase ; et (iv) combiner les données du client avec des renseignements personnels (tels que définis dans la LCAP) que Couchbase a reçus d'une autre source, sauf dans la mesure permise par la LCAP. Les parties conviennent que Couchbase peut dépersonnaliser ou agréger des renseignements personnels dans le cadre de la fourniture du service en nuage. Couchbase certifie qu'elle comprend les restrictions énoncées dans le présent article 9(a) et qu'elle s'y conformera. Couchbase avisera le client s'il détermine qu'il ne peut plus se conformer aux obligations de cette section 9(a) en tant que fournisseur de services en vertu de la CCPA.

10. Limitation de la responsabilité

1. La responsabilité de chaque partie et de toutes ses sociétés affiliées, prise dans son ensemble, découlant de ou liée au présent DPA (y compris les clauses types), que ce soit dans le cadre d'un contrat, d'un délit (y compris la négligence) ou de toute autre théorie de la responsabilité, est soumise aux limitations et exclusions de responsabilité de l'accord, et toute référence dans les dispositions à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de toutes ses sociétés affiliées en vertu et en relation avec l'accord et le présent DPA.

2. Sauf lorsque les lois applicables sur la protection des données exigent qu'un affilié du client exerce un droit ou cherche à obtenir un recours en vertu de la présente DPA contre Couchbase directement, les parties conviennent que (i) seule l'entité du client qui est la partie contractante de l'Entente doit exercer tout droit ou chercher à obtenir tout recours que tout affilié du client peut avoir en vertu de la présente DPA au nom de ses affiliés, et (ii) le client qui est la partie contractante de l'Entente doit exercer de tels droits en vertu de la présente DPA non pas séparément pour chaque affilié individuellement, mais d'une manière combinée pour tous ses affiliés ensemble.

11. Divers

1. En cas de conflit entre le présent DPA et l'Accord, les parties conviennent que les dispositions du présent DPA prévalent, étant entendu que, en cas de conflit entre les Clauses contractuelles types et toute autre disposition du présent DPA, les dispositions des Clauses contractuelles types prévaudront en ce qui concerne le traitement régi par les Clauses contractuelles types. En outre, en cas de conflit entre le présent DPA et un accord d'association commerciale conclu entre les parties (un "accord d'association commerciale"), les dispositions du présent DPA prévaudront.BAA"), les dispositions du BAA prévaudront en ce qui concerne les PHI (tels que définis dans ledit BAA).

2. Les parties conviennent de tenter de bonne foi de résoudre tout litige découlant du présent DPA ou s'y rapportant, avant et comme condition préalable à l'engagement d'une procédure judiciaire de quelque nature que ce soit. Toutes les négociations menées en vertu de la présente section 11(b) sont confidentielles et seront traitées comme des négociations de compromis et de règlement aux fins des règles de preuve applicables.

3. À l'exception des modifications apportées par le présent DPA, l'accord reste inchangé et pleinement en vigueur.

4. Le présent DPA peut être signé en plusieurs exemplaires, dont chacun sera considéré comme un original, mais qui constitueront tous ensemble un seul et même instrument.

5. Si une disposition ou une partie de disposition de ce DPA est ou devient invalide, illégale ou inapplicable, elle sera considérée comme supprimée, mais cela n'affectera pas la validité et l'applicabilité du reste du DPA.

6. Le présent DPA est régi et interprété conformément au droit applicable et aux dispositions juridictionnelles de l'accord, sauf disposition contraire des lois européennes sur la protection des données.

Cette annexe A fait partie de la DPA et décrit le traitement que Couchbase effectuera sur les données du client en tant que sous-traitant ou sous-processeur au nom du client en tant que contrôleur ou sous-traitant, selon le cas.
Données sur les clients
Durée de l'accord
La durée du traitement des données en vertu de cette DPA est jusqu'à la résiliation de l'accord conformément à ses termes, plus la période entre l'expiration de l'accord et la suppression des données personnelles par Couchbase conformément aux termes de l'accord (y compris cette DPA).

Catégories de données
Les données à caractère personnel à traiter concernent les catégories de données suivantes (à préciser) :

• Données à caractère personnel figurant dans le contenu destiné aux clients ou le contenu destiné à l'assistance: Données à caractère personnel incluses dans le contenu ou les données fournies par ou au nom du Client ou des Utilisateurs autorisés par ou via le Service en nuage.

Catégories particulières de données (le cas échéant)
Les parties n'ont pas l'intention de traiter des données de catégorie spéciale dans le cadre de l'accord.

Personnes concernées
Les données à caractère personnel à traiter concernent les catégories suivantes de personnes concernées (à préciser) :

• Les personnes concernées comprennent les individus au sujet desquels des données sont fournies à Couchbase par l'entremise du service en nuage par ou selon les directives du client, y compris les utilisateurs autorisés. Les personnes concernées peuvent inclure les clients, les employés, les fournisseurs et les utilisateurs finaux du client.

Opérations de traitement
Les données à caractère personnel seront soumises aux activités de traitement de base suivantes (veuillez préciser) :

• traitement pour fournir le service cloud conformément au contrat ;

• le traitement pour effectuer toute démarche nécessaire à l'exécution de l'accord ;

• le traitement initié par le client dans le cadre de son utilisation du service en nuage ; et

• le traitement pour se conformer à d'autres instructions raisonnables fournies par le client (par exemple, par courrier électronique ou par des tickets d'assistance) qui sont compatibles avec les termes de l'accord.

Fréquence
Les données à caractère personnel peuvent être transférées en continu.

Cette annexe décrit les mesures de sécurité de Couchbase. Le client reconnaît que le service en nuage fonctionne selon un modèle de responsabilité partagée qui exige, entre autres, que le client prenne certaines mesures telles que la protection de la sécurité du contenu du client (qui demeure stocké dans l'environnement du client sous son contrôle). Si et dans la mesure où Couchbase traite les données du client au nom du client dans le cadre du service en nuage, Couchbase doit mettre en œuvre et maintenir les mesures de sécurité suivantes :

Mesures de cryptage des données

• Toutes les données des clients sont cryptées en transit à l'aide de TLS 1.2 (ou plus) et cryptées au repos à l'aide d'un cryptage AES-256.

• Les ordinateurs portables des employés sont cryptés à l'aide d'un cryptage AES-256 sur l'ensemble du disque.

• Toutes les informations d'identification sont cryptées en transit à l'aide de TLS 1.2 (ou supérieur) et cryptées au repos.

• Les clés de chiffrement font l'objet d'une rotation annuelle et sont stockées et gérées par le fournisseur de services en nuage choisi par le client.

Mesures de disponibilité et de recouvrabilité

• Couchbase maintient des plans et des procédures de reprise après sinistre et de continuité des activités qui sont conçus pour assurer raisonnablement la disponibilité du service en nuage.

• Chaque année, les plans de reprise après sinistre du plan de contrôle de Capella sont testés, révisés et mis à jour si nécessaire pour atteindre l'objectif de temps de reprise du service et l'objectif de point de reprise des données fixés par Couchbase.

• L'offre Couchbase Capella est déployée dans des centres de données répartis géographiquement et exploités par des fournisseurs de services de cloud public reconnus tels qu'Amazon (AWS), Microsoft (Azure) et Google (GCP) (selon le cas).

• La redondance est intégrée dans l'infrastructure du système supportant l'offre Couchbase Capella. En cas de défaillance d'un système primaire, l'infrastructure redondante d'une autre zone de disponibilité est configurée pour prendre sa place.

• Les sauvegardes sont stockées dans des environnements contrôlés au sein de l'infrastructure en nuage. L'accès logique aux données de sauvegarde est limité au personnel approprié et est stocké dans un espace de stockage à haute disponibilité.

• Chaque année, un test de restauration des sauvegardes est effectué, au cours duquel le personnel d'exploitation restaure une sauvegarde à partir d'un instantané afin de s'assurer que les données peuvent être récupérées en cas d'incident.

Mesures de sécurité organisationnelle

• Couchbase a mis en place un système formel de gestion de la sécurité de l'information (ISMS) afin de protéger la confidentialité, l'intégrité et la disponibilité de l'offre Couchbase Capella et des systèmes d'information, et d'assurer l'efficacité des contrôles de sécurité sur les données et les systèmes d'information.

• Couchbase dispose d'une méthodologie définie pour classer les données en niveaux de sensibilité, sur la base de laquelle des contrôles de protection techniques et procéduraux appropriés sont sélectionnés et mis en œuvre.

• Les employés sont tenus de suivre des formations sur la lutte contre la corruption, l'éthique et le code de conduite, les délits d'initiés, la confidentialité des données au niveau mondial et la sensibilisation annuelle à la sécurité.

• Les employés sont tenus de signer des accords de non-divulgation et de confidentialité lors de leur embauche.

• Des politiques et des procédures formelles sont en place pour les activités d'intégration et de désintoxication des employés. Les processus de provisionnement et de déprovisionnement des comptes sont définis et mis en œuvre.

• L'accès des employés est supprimé en cas de cessation d'emploi ou ajusté en cas de changement de rôle.

• L'authentification multi-facteurs (MFA) est appliquée pour l'accès aux ressources critiques et de production.

• Les exigences en matière de complexité des mots de passe sont respectées.

• La séparation des responsabilités et des tâches est mise en œuvre pour réduire les possibilités de modification ou d'utilisation abusive non autorisée ou involontaire.

• Couchbase maintient des accords de non-divulgation signés avec des tiers.

• Les réseaux Couchbase sont séparés en fonction des niveaux de confiance et protégés par des pare-feu.

• Couchbase dispose d'un processus défini pour l'identification, la priorisation et la remédiation des vulnérabilités, y compris en interne via des tests et une analyse continue.

Mesures d'enregistrement et de suivi

• La journalisation des activités des utilisateurs, des exceptions, des erreurs et des événements liés à la sécurité de l'information est activée. Les journaux sont conservés si nécessaire.

• Tous les journaux ne peuvent être consultés que par les employés autorisés de Couchbase et des contrôles d'accès sont en place pour empêcher tout accès non autorisé.

• L'accès en écriture aux données d'enregistrement est strictement interdit. Les installations de journalisation et les informations de journalisation sont protégées contre la falsification et l'accès non autorisé par l'utilisation de contrôles d'accès et de mesures de sécurité.

• Couchbase a mis en place diverses mesures de surveillance afin de générer des alertes de sécurité et d'identifier les activités irrégulières.

• L'équipe opérationnelle de Couchbase Capella examine régulièrement les alertes de sécurité et leur configuration sous-jacente pour s'assurer qu'elles fonctionnent comme prévu et que les contrôles sont modifiés en fonction de l'évolution des conditions.

• Couchbase dispose d'un plan documenté de gestion des incidents et de réponse aux violations de données qui comprend des procédures de détection, d'investigation, de notification et de remédiation.

• Couchbase fait appel à des fournisseurs de services tiers indépendants pour des tests de pénétration annuels, et remédie de manière appropriée aux résultats de ces tests conformément aux accords de niveau de service (SLA) définis en interne.

Mesures de contrôle d'accès

• Couchbase met en œuvre les meilleures pratiques en matière de sécurité et utilise une architecture de sécurité basée sur les rôles à travers la base de données, le réseau et les couches d'application, et suit strictement les principes du moindre privilège lorsqu'il s'agit d'accorder l'accès à des systèmes clés.

• L'authentification multi-facteurs (MFA) est appliquée pour l'accès aux ressources critiques et de production.

• Les exigences en matière de complexité des mots de passe sont respectées.

• Couchbase a défini des fonctions et des rôles afin d'assurer une séparation adéquate des tâches.

• L'accès aux environnements opérationnels, de production et de reprise après sinistre est protégé par l'utilisation de comptes d'utilisateurs uniques, de mots de passe forts, de l'authentification multifactorielle (MFA), de l'accès basé sur les rôles et du principe des moindres privilèges.

• Les clés d'accès utilisées par les applications Couchbase de production (par exemple, les clés d'accès AWS) ne sont accessibles qu'au personnel autorisé. Elles font l'objet d'une rotation (changement) selon les besoins (par exemple, suite à un avis de sécurité ou à un départ du personnel) et au moins une fois par an.

• L'activité des utilisateurs dans les environnements opérationnels, y compris l'accès, la modification ou la suppression des données, est enregistrée.

• Les demandes d'autorisation et le provisionnement sont enregistrés, suivis et vérifiés.

• Des pare-feu d'application web (WAF), en plus des pare-feu basés sur le réseau, sont déployés.

• Des contrôles de gestion des appareils mobiles sont en place.

Mesures de sécurité physique

• L'offre Couchbase Capella est déployée dans des centres de données répartis géographiquement et exploités par des fournisseurs de services de cloud public reconnus tels qu'Amazon (AWS), Microsoft (Azure) et Google (GCP) (selon le cas).

• L'accès physique à toutes les installations contenant des données sensibles est limité et géré.

• Toutes les installations de ressources d'information (par exemple, les armoires de réseau et les salles de stockage) sont protégées physiquement proportionnellement à la criticité ou à l'importance de leur fonction.

• L'accès aux ressources d'information n'est accordé qu'au personnel de l'entreprise et aux sous-traitants dont les responsabilités professionnelles exigent l'accès à ces ressources.

• Tous les centres de ressources d'information qui autorisent l'accès aux visiteurs sont configurés pour suivre l'accès des visiteurs à l'aide d'un registre d'ouverture de session.

• Les registres d'accès par carte et les registres des visiteurs pour les installations de ressources d'information sont conservés pour un examen de routine en fonction de la criticité des ressources d'information protégées.

• L'équipement est protégé afin de réduire les risques liés aux menaces environnementales, aux dangers et aux possibilités d'accès non autorisé.

Mesures de gestion du changement

• Couchbase dispose d'une politique et d'une procédure de contrôle d'accès et de gestion des changements afin d'empêcher les modifications non autorisées.

• Couchbase surveille les changements apportés aux systèmes concernés afin de s'assurer que le processus standard applicable est respecté et de réduire tout risque de changements non détectés dans la production. Les changements sont suivis dans le système de gestion des changements.

Gouvernance

• Couchbase a mis en place un système formel de gestion de la sécurité de l'information (ISMS) afin de protéger la confidentialité, l'intégrité et la disponibilité de l'offre Couchbase Capella et des systèmes d'information, et d'assurer l'efficacité des contrôles de sécurité sur les données et les systèmes d'information.

• Couchbase a mis en place une politique de sécurité de l'information documentée et approuvée, y compris les documents d'appui.

• L'autorité et la responsabilité de la gestion du programme de sécurité de l'information de Couchbase ont été déléguées au groupe de sécurité de l'information et de conformité, qui est autorisé par la haute direction à prendre les mesures nécessaires pour établir, mettre en œuvre et gérer le programme de sécurité de l'information de Couchbase.

• Les tiers qui fournissent des services à Couchbase ou qui ont accès aux systèmes et aux données sont soumis à des évaluations basées sur les risques avant d'être intégrés, et leur programme de sécurité est périodiquement revu.

Conformité

• Couchbase réalise des audits annuels par un auditeur tiers indépendant par rapport aux exigences de contrôle SOC 2 Type 2, HIPAA, CSA STAR et PCI-DSS, attestant de notre engagement à mettre en place des contrôles qui protègent la confidentialité et la disponibilité des informations stockées et traitées dans le service Couchbase Capella.

Accès minimal aux données

• Les politiques et procédures de transfert et de partage des données sont établies en tenant compte des réglementations applicables.

• Des évaluations de la protection de la vie privée sont effectuées dans le cadre de la mise en œuvre de nouveaux produits/services et du traitement de données à caractère personnel par des tiers.

• La collecte des données est limitée aux finalités du traitement (ou aux données que le client choisit de fournir).

• Des mesures de sécurité sont mises en place pour ne permettre que le minimum d'accès nécessaire à l'exécution des fonctions requises.

• Les exigences en matière de conservation des données sont identifiées

• L'accès aux données à caractère personnel est limité au personnel impliqué dans le traitement, conformément au principe du "besoin de savoir", et en fonction des rôles et responsabilités définis des personnes.

Demandes d'accès des personnes concernées

• Des processus sont en place pour permettre aux individus d'exercer leurs droits à la vie privée (par exemple, le droit à l'effacement ou le droit à la portabilité des données), comme décrit dans la politique de confidentialité de Couchbase accessible au public.

Couchbase continuera d'analyser les récentes orientations du Conseil européen de la protection des données sur les mesures supplémentaires pour répondre à l'exigence d'adéquation du GDPR, ainsi que toute autre recommandation émise par les autorités européennes de protection des données au fur et à mesure qu'elles se présentent.

La présente annexe énonce les conditions qui s'appliquent lorsque l'utilisation par le client du service en nuage nécessite un mécanisme de transfert ultérieur pour transférer légalement des données personnelles d'une juridiction à Couchbase située à l'extérieur de cette juridiction.

1. Les 2021 clauses contractuelles types. Pour les transferts de données soumis au GDPR, les Clauses Contractuelles Types de 2021 s'appliqueront de la manière suivante :

1. Le module deux (contrôleur à processeur) s'appliquera lorsque le client est un contrôleur des données du client et que Couchbase est un processeur des données du client ;
2. Le module trois (processeur à processeur) s'appliquera lorsque le client est un processeur des données du client et que Couchbase est un sous-processeur des données du client ;
3. Pour chaque module, le cas échéant :
1. à la clause 7, la clause d'amarrage optionnelle s'appliquera et les parties coopéreront de bonne foi pour prendre les mesures nécessaires afin d'appliquer les clauses contractuelles types 2021 à une autre partie ;
2. à la clause 9(a), l'option 2 s'applique et le délai de notification préalable des changements de sous-traitant est celui prévu à la section 3 (Sous-traitance) du présent DPA ;
3. à la clause 11, la langue optionnelle ne s'appliquera pas ;
4. dans la clause 17 (option 2), les Clauses contractuelles types 2021 seront régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi et, à défaut, par le droit de la République d'Irlande ; à condition qu'en ce qui concerne les transferts de données soumis aux lois sur la protection des données d'un pays situé en dehors de l'EEE dans lequel l'autorité compétente a approuvé l'utilisation des Clauses contractuelles types 2021 (y compris, mais sans s'y limiter, la Suisse) (un "exportateur de données"), les Clauses contractuelles types 2021 soient régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi.Pays d'adoption"), les Clauses contractuelles types 2021 seront régies par les lois sur la protection des données du pays d'adoption.
5. dans la clause 18(b), les litiges seront résolus par les tribunaux de l'État membre de l'UE dans lequel l'exportateur de données est établi et, à défaut, par les tribunaux de la République d'Irlande ; toutefois, en ce qui concerne les transferts de données soumis aux lois sur la protection des données d'un pays d'adoption, tout litige découlant des Clauses contractuelles types 2021 sera résolu par les tribunaux du pays d'adoption.
6. À l'annexe I, partie A :

   Exportateur de données Le client et les sociétés affiliées autorisées du client.

   Coordonnées adresse(s) électronique(s) du client spécifiée(s) comme compte pertinent pour recevoir des communications dans le cadre du service cloud

   Rôle de l'exportateur de données Le client est le responsable du traitement ou le sous-traitant des données du client, selon le cas

   Activités liées aux données transférées: Réception de logiciels et de services de Couchbase et de ses affiliés

   Signature et date En concluant l'accord et le DPA, l'exportateur de données est réputé avoir signé les présentes clauses contractuelles types, y compris leurs annexes, à la date d'entrée en vigueur du DPA.

   Importateur de données Couchbase, Inc.

   Coordonnées: Équipe juridique de Couchbase - legal@couchbase.com

   Rôle de l'importateur de données: Couchbase est le sous-traitant ou le sous-traitant secondaire des données du client, selon le cas.

   Activités liées aux données transférées: Fourniture de logiciels et de services

   Signature et date: En concluant l'Accord et le DPA, l'importateur de données est réputé avoir signé les présentes clauses contractuelles types, incorporées dans le présent document, y compris leurs annexes, à la date d'entrée en vigueur du DPA.

7. À l'annexe I, partie B :

   Les catégories de personnes concernées sont décrites à l'annexe A du présent DPA.

   Les données sensibles transférées sont décrites à l'annexe A du présent DPA.

   La fréquence du transfert est continue pendant toute la durée de l'accord.

   La nature du traitement est décrite à l'annexe A du présent DPA.

   La finalité du traitement est décrite à l'annexe A du présent DPA.

   La durée du traitement est décrite à l'annexe A du présent DPA.

   Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont décrits à l'adresse suivante https://info.couchbase.com/cloud-subprocessors.html

8. À l'annexe I, partie C : l'autorité de contrôle de l'État membre de l'UE spécifié à la section 1, point d) iv), de la présente annexe C agit en tant qu'autorité de contrôle compétente ; toutefois, en ce qui concerne les transferts de données soumis à la législation sur la protection des données d'un pays adoptant, l'autorité de contrôle est l'autorité de protection des données du pays adoptant.
9. L'annexe B de ce DPA fait office d'annexe II des clauses contractuelles types.
10. Les parties conviennent que les points suivants décrivent leur compréhension de certaines obligations en vertu des clauses contractuelles types :
    1. Audits : L'exportateur de données donne instruction à l'importateur de données de se conformer à tout audit en se conformant aux dispositions relatives aux audits de la section 4(e) du DPA.
    2. Responsabilité : Dans la mesure où les lois européennes sur la protection des données le permettent, la responsabilité de l'importateur de données en vertu des Clauses contractuelles types 2021 sera soumise à toute limitation globale de la responsabilité prévue dans l'Accord.

2. Transferts de données depuis la Suisse. Lorsque le transfert de données à caractère personnel est soumis à la LPD suisse, les dispositions de la section 1 ci-dessus s'appliquent avec les modifications suivantes :

1. toute référence dans les clauses contractuelles types à la "directive 95/46/CE" ou au "règlement (UE) 2016/679" doit être interprétée comme une référence au RGPD suisse ;
2. toute référence à l'"UE", à l'"Union", à l'"État membre" et au "droit de l'État membre" est interprétée comme une référence à la Suisse et au droit suisse, selon le cas ; et
3. toute référence à l'"autorité de contrôle compétente" et aux "tribunaux compétents" doit être interprétée comme une référence au Préposé fédéral à la protection des données et à la transparence et aux tribunaux compétents en Suisse.

3. Transferts de données à partir du Royaume-Uni. Lorsque le transfert de données à caractère personnel est soumis aux lois britanniques sur la protection des données, les parties conviennent de ce qui suit :

1. Les dispositions de l'IDTA, y compris la partie 2 "Clauses obligatoires", s'appliquent dans leur intégralité ;
2. Aux fins du tableau 1 de l'IDTA britannique, les noms des parties, leurs rôles et leurs coordonnées sont indiqués dans l'annexe C ci-jointe ;
3. Aux fins des tableaux 2 et 3 de l'IDTA britannique, les clauses contractuelles types 2021 incorporées par référence dans le présent DPA, y compris les informations figurant dans les annexes ci-jointes, s'appliquent ; et
4. Aux fins du tableau 4 de l'IDTA britannique, l'une ou l'autre des parties peut mettre fin à l'IDTA britannique si, après s'être efforcées de bonne foi de modifier le présent DPA, les parties ne sont pas en mesure de parvenir à un accord mutuel.
5. Dans la mesure où les lois britanniques sur la protection des données le permettent, la responsabilité de l'importateur de données sera soumise à toutes les limitations globales de responsabilité énoncées dans l'accord.