Couchbase Capella Cloud Customer Data Processing Addendum

Le présent addendum sur le traitement des données (le "DPA") fait partie de l'entente d'abonnement au service cloud de Capella ou de toute autre entente entre le client et Couchbase régissant l'utilisation du service cloud par le client. ("Accord"), entre Couchbase, Inc. ("Couchbase”) and the party identified as the “Customer” in the Agreement (“Customer”) (each a “Parti"et ensemble, les "Les partis”). The effective date of this DPA is the effective date of the Agreement, or if executed separately, the date of the last signature below (“Date d'entrée en vigueur").

Le présent DPA décrit les engagements des parties concernant le traitement des données à caractère personnel dans le cadre de l'utilisation du service cloud par le client. En cas de conflit entre les termes de l'Accord et les termes de ce DPA, les termes de ce DPA prévaudront dans la mesure de ce conflit. Tout terme en majuscule non défini dans le présent DPA aura la signification qui lui est donnée dans l'Accord.

Le présent accord a été mis à jour pour la dernière fois le September 21, 2022.

Les parties conviennent de ce qui suit :

1. Définitions. Les termes en majuscules suivants, lorsqu'ils sont utilisés dans le présent DPA, ont la signification qui leur est donnée ci-dessous :
a. "Lois applicables en matière de protection des données" désigne l'ensemble des lois, règlements, règles, ordonnances et autres décrets mondiaux relatifs à la protection de la vie privée et des données applicables aux Données à caractère personnel, y compris (mais sans s'y limiter) : (i) les lois européennes sur la protection des données ; et (ii) toutes les lois et réglementations des États-Unis, y compris le California Consumer Privacy Act de 2018 (California Civil Code §§ 1798.100 et seq ("CCPA") ; tel qu'il peut être modifié, annulé ou remplacé.

b. "Données sur les clients" désigne toute Donnée personnelle traitée par Couchbase au nom du Client en tant que fournisseur de services ou sous-traitant (selon le cas) en lien avec le Service cloud, tel que plus particulièrement décrit dans l'Annexe A de ce DPA.

c. "EEE"Les États membres de l'Union européenne, ainsi que l'Islande, le Liechtenstein et la Norvège.

d. "Lois européennes sur la protection des données" : i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ("GDPR") ; ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ("Directive sur la vie privée et les communications électroniques) ; (iii) toute mise en œuvre nationale applicable des points (i) et (ii) ; (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance ("loi sur la protection des données") ; (v) la loi sur la protection des données de l'Union européenne ("loi sur la protection des données")."La loi suisse sur la protection des droits de l'homme") ; et (v) en ce qui concerne le Royaume-Uni, la loi sur la protection des données de 2018 et toute législation nationale applicable qui remplace ou convertit en droit interne le GDPR, la directive e-Privacy ou toute autre loi relative aux données et à la vie privée à la suite de la sortie du Royaume-Uni de l'Union européenne (collectivement, "Lois britanniques sur la protection des données"), dans chaque cas tel qu'il peut être modifié, annulé ou remplacé.

e. "Clauses typesOn entend par " clauses contractuelles ", en fonction des circonstances propres à un client donné, l'une des clauses suivantes : (i) les clauses contractuelles types pour les sous-traitants, telles qu'approuvées par la Commission européenne conformément à sa décision 2021/914 (les "2021 Clauses contractuelles types"), et (ii) l'addendum britannique sur le transfert international de données aux clauses contractuelles types de la Commission européenne, version B1.0, en vigueur à partir du 21 mars 2022, ("UK IDTA"), appelées alternativement clauses contractuelles types, incorporées par référence et faisant partie intégrante du présent DPA.

f. "Données personnellesOn entend par "données personnelles", toute information concernant une personne physique identifiée ou identifiable et qui est protégée en tant que "données personnelles", "informations personnelles" ou "informations personnellement identifiables" en vertu des lois applicables en matière de protection des données.

g. "Incident de sécuritéIncident de sécurité " signifie toute violation de la sécurité qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données du client transmises, stockées ou autrement traitées par Couchbase et/ou ses sous-traitants dans le cadre de la fourniture du service en nuage. Les parties reconnaissent et conviennent que le terme " incident de sécurité " n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données du client, y compris les tentatives infructueuses de connexion, les pings, les balayages de port, les attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau.

h. "Sous-processeur" signifie tout sous-traitant engagé par Couchbase ou ses sociétés affiliées pour l'aider à remplir ses obligations relatives à la fourniture du service en nuage conformément à l'entente ou à la présente DPA. Les sous-traitants peuvent inclure des tiers ou des affiliés de Couchbase, mais excluent tout employé, entrepreneur ou consultant de Couchbase.

i. Les termes "contrôleur", "processeur"et "transformation"ont les significations qui leur sont données dans le GDPR, et "processus", "processus" et "traité"sont interprétés en conséquence, et les termes "entreprise", "fournisseur de services" et "vendre"ont la signification qui leur est donnée dans l'ACCP.

2. Rôle et champ d'application de la transformation
a. Champ d'application. Sous réserve de la section 2(b), ce DPA s'applique dans la mesure où Couchbase traite, en tant que processeur ou fournisseur de services (selon le cas), toute donnée client protégée par les lois applicables en matière de protection des données.

b. Rôle des parties. The parties acknowledge and agree that (i) with respect to the processing of Customer Data, Customer is the relevant business, controller or processor (as applicable) of such Customer Data, and Couchbase is a service provider, processor or subprocessor (as applicable) on behalf of Customer, as further described in Annex A of this DPA; and (ii) with respect to Personal Data included in any technical usage data Couchbase collects in connection with Customer’s use of the Cloud Service (“Données d'utilisation"), Couchbase est l'entreprise concernée ou le contrôleur des données d'utilisation et traitera les données d'utilisation conformément à la politique de confidentialité de Couchbase disponible à l'adresse suivante https://www.couchbase.com/privacy-policy. Chaque partie se conformera à toutes les lois, règles et réglementations qui lui sont applicables et qui la lient dans le cadre de l'exécution de ce DPA, y compris toutes les lois applicables en matière de protection des données. En ce qui concerne les données d'utilisation, Couchbase traitera ces données en conformité avec les sections 8(a)(iii) et (iv), dans la mesure où elles sont applicables.

c. Traitement des données à caractère personnel par Couchbase. Couchbase accepte de traiter les données du client uniquement aux fins décrites dans la DPA et conformément aux instructions légales documentées du client. Les parties conviennent que l'Accord (y compris la présente DPA) énonce les instructions complètes et finales du Client à Couchbase en ce qui concerne le traitement des Données du Client et que le traitement en dehors de la portée de ces instructions (le cas échéant) nécessitera une entente écrite préalable entre le Client et Couchbase. Sans préjudice de la section 2(d) (Responsabilités du client), Couchbase doit aviser le client par écrit, à moins qu'il ne soit interdit de le faire en vertu des lois applicables sur la protection des données, et peut suspendre le traitement des données du client, s'il apprend ou croit que toute instruction de traitement des données du client viole les lois applicables sur la protection des données.

d. Responsabilités du client. Le client est responsable de la légalité du traitement des données du client dans le cadre de l'Entente. Le client déclare et garantit que (i) il a fourni, et continuera de fournir, tous les avis et obtenu, et continuera d'obtenir, tous les consentements, permissions et droits nécessaires en vertu des lois applicables sur la protection des données pour que Couchbase puisse légalement traiter les données du client aux fins envisagées par l'Entente (y compris cette DPA) ; (ii) il s'est conformé à toutes les Lois sur la protection des données applicables en tant que contrôleur et/ou entreprise des données du client pour la collecte et la fourniture à Couchbase et à ses sous-traitants de telles données du client ; et (iii) il s'assurera que ses instructions de traitement sont conformes aux lois applicables (y compris les Lois sur la protection des données applicables) et que le traitement des données du client par Couchbase conformément aux instructions du client ne fera pas en sorte que Couchbase contrevienne aux Lois sur la protection des données applicables.

e. Données agrégées. Nonobstant ce qui précède ou toute disposition contraire dans l'entente (incluant cette DPA), le client reconnaît que Couchbase et ses affiliés ont le droit de recueillir et de créer de l'information anonyme, agrégée et/ou dépersonnalisée (tel que défini par les lois applicables sur la protection des données) pour ses propres affaires légitimes.

3. Sous-traitement
a. Sous-traitants autorisés. Le client reconnaît et accepte que Couchbase puisse engager des sous-traitants pour traiter les données du client en son nom. Les sous-traitants actuellement engagés par Couchbase et autorisés par le client sont listés sur le site web de Couchbase (actuellement affiché à https://info.couchbase.com/cloud-subprocessors.html). Au moins quinze (15) jours avant l'ajout d'un nouveau sous-traitant, Couchbase mettra à jour le site Web applicable et avisera le client de cette mise à jour par le biais du mécanisme fourni sur le site Web de Couchbase, sauf que si Couchbase croit raisonnablement que l'engagement d'un nouveau sous-traitant sur une base accélérée est nécessaire pour protéger la confidentialité, l'intégrité ou la disponibilité des données du client ou pour éviter une perturbation matérielle du service en nuage, Couchbase donnera plutôt un tel avis dès que possible.

4. Sécurité et audits
a. Mesures de sécurité. Couchbase doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les données des clients sous son contrôle contre les incidents de sécurité et pour préserver la sécurité et la confidentialité des données des clients, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement ("Couchbase").Mesures de sécurité"). Ces mesures de sécurité incluront, au minimum, les mesures décrites à l'annexe B de la présente DPA. Couchbase doit s'assurer que toute personne autorisée par Couchbase à traiter les données des clients en vertu de la présente DPA est soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou statutaire).

b. Mise à jour des mesures de sécurité. Le client reconnaît que les mesures de sécurité sont sujettes au progrès technique et au développement et que Couchbase peut mettre à jour ou modifier les mesures de sécurité de temps à autre, pourvu que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale du service cloud acheté par le client.

c. Responsabilités en matière de sécurité des clients. Nonobstant ce qui précède, le Client accepte que, sauf dans les cas prévus par le présent DPA, il mette en œuvre et maintienne des mesures de sécurité techniques et organisationnelles appropriées conçues pour se protéger contre les incidents de sécurité et pour préserver la sécurité et la confidentialité des données du Client lorsqu'elles sont sous sa domination et son contrôle. Le Client est responsable (i) de la protection de la sécurité de tous les identifiants du Client utilisés pour accéder au Service en nuage ; (ii) de la sécurisation de l'Environnement en nuage du Client et de tout Système du Client (ces mesures devant inclure, sans s'y limiter, la rotation régulière des clés d'accès et d'autres mesures standard de l'industrie pour empêcher l'accès non autorisé) ; (iii) sauvegarder et sécuriser les données du client sous le contrôle du client dans l'environnement cloud du client ou tout autre système contrôlé par le client ; et (iv) réviser l'information rendue disponible par Couchbase concernant la sécurité et la confidentialité des données et déterminer de façon indépendante si le service cloud répond aux exigences du client et à ses obligations légales en vertu de la loi sur la protection des données applicable.

d. Réponse aux incidents de sécurité. Dans la mesure requise par les Lois sur la protection des données applicables, Couchbase doit, dès qu'elle prend connaissance d'un incident de sécurité, en aviser le client sans délai excessif par l'entremise des services en nuage et doit : (i) afin d'aider le client dans le cadre de toute notification de violation de données personnelles que le client est tenu de faire en vertu des lois applicables sur la protection des données, Couchbase inclura dans cet avis au client des informations opportunes relatives à l'incident de sécurité au fur et à mesure qu'il est connu, tel que raisonnablement demandé par le client, en tenant compte de la nature du service cloud, des informations disponibles à Couchbase, et de toute restriction sur la divulgation de l'information, telle que la confidentialité ; et (ii) prendre rapidement les mesures jugées nécessaires et raisonnables par Couchbase pour contenir, enquêter et remédier à tout incident de sécurité, dans la mesure où la remédiation est sous le contrôle raisonnable de Couchbase. La notification ou la réponse de Couchbase à un incident de sécurité en vertu de cette section 4(d) ne doit pas être interprétée comme une reconnaissance par Couchbase d'une faute ou d'une responsabilité à l'égard de l'incident de sécurité. Les obligations énoncées ici ne s'appliquent pas aux incidents de sécurité dans la mesure où ils sont causés par le client ou ses utilisateurs autorisés.

e. Audits de sécurité. Couchbase fournira des réponses écrites (sur une base confidentielle) à toutes les demandes écrites raisonnables d'information faites par le client relativement au traitement des données du client par Couchbase, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont nécessaires pour confirmer la conformité de Couchbase à ce RGPD, à condition que le client n'exerce pas ce droit plus d'une fois au cours d'une période mobile de douze (12) mois. Nonobstant ce qui précède, le client peut également exercer ce droit d'audit dans le cas où il est expressément demandé ou requis de fournir ces informations à une autorité de protection des données, ou si Couchbase a connu un incident de sécurité, ou sur une autre base raisonnablement similaire.

5. Transferts internationaux
a. Lieux de traitement. Customer acknowledges and agrees that Couchbase may transfer and process Customer Data to and in the United States and anywhere else in the world where Couchbase, its Affiliates or its Sub-processors maintain data processing operations. Couchbase shall at all times ensure such transfers are made in compliance with the requirements of Applicable Data Protection Laws and this DPA.

b. Transfer Mechanisms. Si, à tout moment, les lois applicables en matière de protection des données exigent que d'autres mesures soient prises afin de permettre le transfert des données du client tel que défini dans ce DPA (y compris, sans limitation, l'exécution ou la réexécution des Clauses contractuelles standard 2021 ou de l'IDTA britannique en tant que document distinct et/ou l'entrée dans des clauses de transfert transfrontalier supplémentaires), alors le client et Couchbase acceptent que le DPA soit modifié, remplacé, abrogé ou autrement résilié en vertu des lois applicables en matière de protection des données, et/ou les mécanismes de transfert de la présente DPA (y compris, sans s'y limiter, tel qu'énoncé dans la section 8 ci-dessous) sont modifiés, remplacés, abrogés ou autrement résiliés en vertu de la Loi sur la protection des données applicable, alors le Client et Couchbase conviennent de travailler ensemble de bonne foi afin de prendre toutes les mesures raisonnablement requises pour permettre un transfert en conformité avec les Lois sur la protection des données applicables.

6. Suppression des données relatives aux clients
a. Le Service en nuage fournira au Client des contrôles qu'il pourra utiliser pour supprimer ou récupérer les Données du Client pendant la durée du contrat d'une manière compatible avec la fonctionnalité du Service en nuage.

b. Le client autorise Couchbase, à la résiliation ou à l'expiration de l'Entente, ou en cas de résiliation ou de suspension du Service en nuage conformément à l'Entente, à supprimer toutes les Données du client (y compris les copies) en sa possession ou sous son contrôle conformément à l'Entente, sauf que cette exigence ne s'applique pas dans la mesure où Couchbase est tenu par la loi applicable de conserver une partie ou l'ensemble des Données du client.

7. Droits des personnes et coopération
a. Demandes des personnes concernées. The Cloud Service provide Customer with a number of controls, including security features and functionalities, that Customer may use to retrieve, correct, delete or restrict Customer Data, as described in any documentation applicable to the Cloud Service. Without prejudice to Section 4(a), Customer may use these controls as technical and organizational measures to assist it in connection with its obligations under Applicable Data Protection Laws, including its obligations relating to responding to requests from data subjects. To the extent that Customer is unable to independently access the relevant Customer Data within the Cloud Service, Couchbase shall, taking into account the nature of the processing, provide reasonable cooperation to assist Customer to respond to any requests from individuals or applicable data protection authorities relating to the processing of Customer Data under the Agreement. In the event that any such request is made to Couchbase directly, Couchbase shall not respond to such communication directly without Customer’s prior authorization, unless legally compelled to do so. If Couchbase is required to respond to such a request, Couchbase shall promptly notify Customer and provide it with a copy of the request unless legally prohibited from doing so.

b. Citations à comparaître et ordonnances judiciaires. Si un organisme d'application de la loi envoie à Couchbase une demande pour les données du client (par exemple, par le biais d'une citation à comparaître ou d'une ordonnance du tribunal), Couchbase doit donner au client un avis raisonnable de la demande afin de permettre au client de demander une ordonnance de protection ou un autre recours approprié, à moins que Couchbase ne soit légalement interdit de le faire.

8. Conditions spécifiques à la juridiction
a. L'Europe. Dans la mesure où les données du client sont soumises aux lois européennes sur la protection des données, les conditions suivantes s'appliquent en plus des conditions énoncées dans le reste du présent DPA :

i. Obligations des sous-traitants. Couchbase doit : (A) conclure un accord écrit avec chaque Sous-Traitant imposant des conditions de protection des données qui exigent que le Sous-Traitant protège les données personnelles selon les normes requises par la loi européenne sur la protection des données et le présent DPA ; et (B) demeurer responsable de son respect des obligations du présent DPA et de tout acte ou omission du Sous-Traitant entraînant la violation par Couchbase de l'une de ses obligations en vertu du présent DPA.

ii. Oppositions aux sous-traitants secondaires. Customer may object in writing to Couchbase’s appointment of a new Sub-processor on reasonable grounds relating to data protection (e.g. if making Customer Data available to the Sub-processor may violate European Data Protection Law or weaken the protections for such Customer Data) by notifying Couchbase promptly in writing within five (5) calendar days of receipt of notice from Couchbase in accordance with Section 3(a) above. Such notice shall explain the reasonable grounds for the objection and the parties shall discuss such concerns in good faith with a view to achieving commercially reasonable resolution. If no such resolution can be reached, Couchbase will, at its sole discretion, either not appoint Sub-processor, or permit Customer to suspend or terminate the affected Cloud Service in accordance with the termination provisions in the Agreement without liability to either party (but without prejudice to any fees incurred by Customer prior to suspension or termination). Unless an objection is made as set forth in this Section 8(a)(ii), Customer consents to Couchbase’s use of sub-processors as described in this DPA.

iii. Transferts de données. Dans la mesure où Couchbase traite (ou fait traiter) des données personnelles protégées par les lois européennes sur la protection des données dans un pays tiers qui n'est pas reconnu comme offrant une protection adéquate des données personnelles (tel que décrit dans les lois européennes sur la protection des données), les modalités de l'annexe C (Transferts de données) s'appliqueront et le client (en tant qu'exportateur de données) sera réputé avoir conclu les clauses types avec Couchbase (en tant qu'importateur de données) et Couchbase s'engage à respecter et à traiter les données du client en conformité avec les clauses types, qui sont entièrement incorporées par référence et font partie intégrante de la présente DPA. Pour les besoins des descriptions des clauses types : (A) Couchbase accepte d'être un "importateur de données" et le client est un "exportateur de données" (même si le client peut être une entité située à l'extérieur de l'EEE ou du Royaume-Uni) ; (B) les annexes A et B de la présente DPA remplacent les annexes 1 et 2 des clauses types. Il n'est pas dans l'intention de l'une ou l'autre des parties, et le présent DPA n'a pas pour effet de contredire ou de restreindre les dispositions énoncées dans les clauses types. En conséquence, si et dans la mesure où les clauses types entrent en conflit avec une disposition du présent DPA, les clauses types prévaudront dans la mesure de ce conflit. Les clauses types ne s'appliquent pas aux données des clients qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors de l'EEE ou du Royaume-Uni.

iv. Mécanisme de transfert alternatif. Si et dans la mesure où Couchbase adopte une solution alternative d'exportation de données pour le transfert des données du client, tel que prescrit par les lois européennes sur la protection des données applicables (les "Mécanisme de transfert alternatif"), le mécanisme de transfert alternatif s'appliquera à la place (mais uniquement dans la mesure où ce mécanisme de transfert alternatif s'applique au transfert).

v. Évaluation de l'impact de la protection des données. Dans la mesure où Couchbase est requis par la loi européenne sur la protection des données, Couchbase fournira les informations raisonnablement demandées concernant le traitement des données personnelles par Couchbase dans le cadre de l'accord afin de permettre au client d'effectuer des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de surveillance, tel que requis par la loi.

vi. Transferts de données à partir du Royaume-Uni. Lorsque le transfert de données à caractère personnel est soumis à la législation du Royaume-Uni (y compris le règlement général sur la protection des données), les parties conviennent de ce qui suit :

1. Les dispositions de l'IDTA, y compris la partie 2 "Clauses obligatoires", s'appliquent dans leur intégralité ;

2. Aux fins du tableau 1 de l'IDTA britannique, les noms des parties, leurs rôles et leurs coordonnées sont indiqués dans l'annexe C ci-jointe ;

3. Aux fins des tableaux 2 et 3 de l'IDTA britannique, les clauses contractuelles types 2021 incorporées par référence dans le présent DPA, y compris les informations figurant dans les annexes ci-jointes, s'appliquent ; et

4. Aux fins du tableau 4 de l'IDTA britannique, chaque partie peut mettre fin à l'IDTA britannique si, après s'être efforcées de bonne foi de modifier le présent DPA, les parties ne parviennent pas à un accord mutuel.

b. Californie. Dans la mesure où les données du client sont soumises à la CCPA, les parties conviennent que le client est une entreprise et qu'il désigne Couchbase comme son fournisseur de services pour traiter les données du client comme le permettent l'accord (y compris le présent DPA) et la CCPA, ou à d'autres fins convenues par écrit (les " données du client ").Fins autorisées"). Le client et Couchbase conviennent que : (i) Couchbase ne conservera pas, n'utilisera pas et ne divulguera pas les renseignements personnels à des fins autres que les fins autorisées ; (ii) les données du client n'ont pas été vendues à Couchbase et Couchbase ne " vendra " pas de renseignements personnels (tel que défini par la CCPA) ; (iii) Couchbase ne conservera pas, n'utilisera pas et ne divulguera pas de renseignements personnels en dehors de la relation d'affaires directe entre le client et Couchbase ; et (iv) Couchbase peut dépersonnaliser ou agréger des renseignements personnels dans le cadre de la fourniture du service en nuage. Couchbase certifie qu'elle comprend les restrictions énoncées dans la présente section 8(b) et qu'elle s'y conformera.

9. Limitation de la responsabilité
a. La responsabilité de chaque partie et de toutes ses sociétés affiliées, prise dans son ensemble, découlant de ou liée au présent DPA (y compris les clauses types), que ce soit dans le cadre d'un contrat, d'un délit (y compris la négligence) ou de toute autre théorie de la responsabilité, est soumise aux limitations et exclusions de responsabilité de l'accord, et toute référence dans les dispositions à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de toutes ses sociétés affiliées en vertu et en relation avec l'accord et le présent DPA.

b. Except where Applicable Data Protection Laws require a Customer Affiliate to exercise a right or seek any remedy under this DPA against Couchbase directly by itself, the parties agree that (i) solely the Customer entity that is the contracting party to the Agreement shall exercise any right or seek any remedy any Customer Affiliate may have under this DPA on behalf of its Affiliates, and (ii) the Customer that is the contracting party to the Agreement shall exercise any such rights under this DPA not separately for each Affiliate individually but in a combined manner for all of its Affiliates together.

10. Divers et variés
a. À l'exception des modifications apportées par le présent DPA, l'accord reste inchangé et pleinement en vigueur.

b. Le présent DPA peut être signé en plusieurs exemplaires, dont chacun sera considéré comme un original, mais dont l'ensemble constituera un seul et même instrument.

c. Si une disposition ou une partie de disposition de ce DPA est ou devient invalide, illégale ou inapplicable, elle sera considérée comme supprimée, mais cela n'affectera pas la validité et l'applicabilité du reste du DPA.

d. Le présent DPA est régi et interprété conformément aux dispositions de l'accord en matière de droit applicable et de juridiction, sauf disposition contraire des lois européennes sur la protection des données.

La présente annexe A fait partie de la DPA et décrit (i) le traitement que Couchbase effectuera sur les données du client en tant que sous-traitant ou soustraitant pour le compte du client en tant que responsable du traitement ou sous-traitant, selon le cas, et (ii) les transferts de données d'utilisation que Couchbase effectuera en tant que responsable du traitement.

1) Données sur les clients
Durée de l'accord
La durée du traitement des données en vertu de cette DPA est jusqu'à la résiliation de l'accord conformément à ses termes, plus la période entre l'expiration de l'accord et la suppression des données personnelles par Couchbase conformément aux termes de l'accord (y compris cette DPA).

Catégories de données
Les données à caractère personnel à traiter concernent les catégories de données suivantes (à préciser) :
● Données à caractère personnel figurant dans le contenu destiné aux clients ou le contenu destiné à l'assistance: Données à caractère personnel incluses dans le contenu ou les données fournies par ou au nom du Client ou des Utilisateurs autorisés par ou via le Service en nuage.

Catégories particulières de données (le cas échéant)
Les parties n'ont pas l'intention de traiter des données de catégorie spéciale dans le cadre de l'accord.

Personnes concernées
Les données à caractère personnel à traiter concernent les catégories suivantes de personnes concernées (à préciser) :
● Data subjects include individuals about whom data is provided to Couchbase via the Cloud Service by or at the direction of Customer, including Authorized Users. Data subjects may include Customer’s customers, employees, suppliers and end-users.

Opérations de traitement
Les données à caractère personnel seront soumises aux activités de traitement de base suivantes (veuillez préciser) :
● processing to provide the Cloud Service in accordance with the Agreement;
● le traitement pour effectuer toute démarche nécessaire à l'exécution de l'accord ;
● le traitement initié par le client dans le cadre de son utilisation du service cloud ; et
● processing to comply with other reasonable instructions provided by Customer (e.g. via email or support tickets) that are consistent with the terms of the Agreement.

Fréquence
Les données à caractère personnel peuvent être transférées en continu.

ii) Données d'utilisation

Durée de l'accord
Les données d'utilisation sont transférées et conservées pendant la durée de l'entente pertinente, plus la période pendant laquelle les données d'utilisation sont nécessaires aux efforts commerciaux légitimes de Couchbase. Certains enregistrements agrégés et anonymes des actions des utilisateurs peuvent être conservés de façon permanente.

Catégories de données
Les données à caractère personnel à transférer concernent les catégories de données suivantes (veuillez préciser) :

● Données personnelles dans les données d'utilisation: Les données d'utilisation peuvent inclure des informations sur le compte de l'utilisateur, y compris l'identifiant du compte et l'adresse électronique ; des informations d'identification personnelle, y compris l'adresse IP ; des informations sur l'emploi ; des informations de contact ; des informations sur le navigateur et des métadonnées.

Catégories particulières de données (le cas échéant)
Les parties n'ont pas l'intention de transférer des données de catégorie spéciale dans le cadre de l'accord.

Personnes concernées
Les données à caractère personnel à traiter concernent les catégories suivantes de personnes concernées (à préciser) :
● Data subjects may include Customer, Customer’s employees and other Authorized Users and any other permitted collaborators.

Opérations de traitement
Les données à caractère personnel seront soumises aux activités de traitement de base suivantes (veuillez préciser) :
● Processing to provide and administer the products, services and support;
● Processing to derive insights in order to improve the products, services and support and support business development;
● Processing to engage and respond to customer questions, perform marketing and sales activities, and analyze business metadata.

Fréquence
Les données à caractère personnel peuvent être transférées en continu.

Cette annexe décrit les mesures de sécurité de Couchbase. Le client reconnaît que le service en nuage fonctionne selon un modèle de responsabilité partagée qui exige, entre autres, que le client prenne certaines mesures telles que la protection de la sécurité du contenu du client (qui demeure stocké dans l'environnement du client sous son contrôle). Si et dans la mesure où Couchbase traite les données du client au nom du client en lien avec le service en nuage ou transfère toute donnée d'utilisation sujette aux clauses contractuelles standard, Couchbase doit mettre en œuvre et maintenir les mesures de sécurité suivantes :

Mesures de cryptage des données
● All customer data is encrypted in-transit using TLS 1.2 (or higher) and encrypted at-rest using AES-256 encryption.
● Employee laptops are encrypted using full disk AES-256 encryption.
● All credentials are encrypted in transit using TLS 1.2 (or higher) and encrypted at-rest.
● Encryption keys are rotated on an annual basis and are stored and managed by the cloud service provider selected by Customer.

Mesures de disponibilité et de recouvrabilité
● Couchbase maintient des plans et des procédures de reprise après sinistre et de continuité des activités qui sont conçus pour assurer raisonnablement la disponibilité du service cloud.
● L'offre Couchbase Capella est déployée dans des centres de données géographiquement distribués et exploités par des fournisseurs de services de cloud public reconnus par l'industrie, tels qu'Amazon (AWS), Microsoft (Azure) et Google (GCP) (selon le cas).
● La redondance est intégrée à l'infrastructure système qui prend en charge l'offre Couchbase Capella. En cas de défaillance d'un système primaire, l'infrastructure redondante dans une autre zone de disponibilité est configurée pour prendre sa place.
● Les sauvegardes sont stockées dans des environnements contrôlés au sein de l'infrastructure cloud. L'accès logique aux données de sauvegarde est limité au personnel approprié et est stocké dans un stockage à haute disponibilité.
● On an annual basis, a backup restoration test is performed where operations personnel restore a backup from a snapshot to ensure that data could be recovered in the event of an incident.

Mesures de sécurité organisationnelle
● Couchbase a mis en place un système formel de gestion de la sécurité de l'information (ISMS) afin de protéger la confidentialité, l'intégrité et la disponibilité de l'offre Couchbase Capella et des systèmes d'information, et d'assurer l'efficacité des contrôles de sécurité sur les données et les systèmes d'information.
● Employees are required to undergo Anti-Bribery & Corruption, Ethics and Code of Conduct, Insider Trading, Global Data Privacy and annual Security Awareness Training.
● Employees are required to sign non-disclosure and Confidentiality agreements upon hire.
● Formal policies and procedures are in place for employee onboarding and offboarding activities. Account provisioning and de-provisioning processes are defined and implemented.
● Employee access is removed upon termination or adjusted as required as a result of  role change.
● Multi-factor Authentication (MFA) is enforced for access to critical and production resources.
● Password complexity requirements are enforced.
● Segregation of responsibilities and duties is implemented to reduce opportunities for unauthorized or unintentional modification or misuse.
● Couchbase maintains signed non-disclosure agreements with third parties.
● Couchbase networks are segregated based on trust levels and protected by firewalls.

Mesures d'enregistrement et de suivi
● Logging of user activities, exceptions, faults, and information security events are enabled. Logs are retained, as necessary.
● All logs can be accessed only by authorized Couchbase employees and access controls are in place to prevent unauthorized access.
● Write access to logging data is strictly prohibited. Logging facilities and log information are protected against tampering and unauthorized access through use of access controls and security measures.
● Couchbase has various monitoring measures in place to generate security alerts and identify irregular activity.
● The Couchbase Capella operations team regularly reviews security alerts and their underlying configuration to ensure they are operating as intended and that controls are modified as conditions change.

Mesures de contrôle d'accès
● Couchbase implements security best practices and uses a role-based security architecture across the database, network, and application layers and strictly follows principles of least privilege when granting access to key systems.
● Couchbase has defined job functions and roles to support proper segregation of duties.
● Access to operational, production and disaster recovery environments is protected by use of unique user accounts, strong passwords, use of Multi-Factor Authentication (MFA), role-based access, and principle of least privileges.
● Access keys used by production Couchbase applications (e.g. AWS Access Keys) are accessible only to authorized personnel. They are rotated (changed) as required (e.g., pursuant to a security advisory or personnel departure) and at least yearly.
● User activity in operational environments including access, modification or deletion of data is logged.
● Authorization requests and provisioning is logged, tracked and audited.
● Web Application Firewalls (WAF), in addition to the network-based firewalls, are deployed.

Mesures de sécurité physique
● L'offre Couchbase Capella est déployée dans des centres de données géographiquement distribués et exploités par des fournisseurs de services de cloud public reconnus par l'industrie, tels qu'Amazon (AWS), Microsoft (Azure) et Google (GCP) (selon le cas).
● Physical access to all facilities containing sensitive data is restricted and managed.
● All information resource facilities (e.g. network closets and storerooms) are physically protected in proportion to the criticality or importance of their function.
● Access to information resource facilities is granted only to company personnel and contractors whose job responsibilities require access to those facilities.
● All information resource facilities that allow access to visitors are configured to track visitor access with a sign-in log.
● Card access records and visitor logs for information resource facilities are kept for routine review based upon the criticality of the information resources being protected.
● Equipment is protected to reduce the risks from environmental threats, hazards, and opportunities for unauthorized access.

Configurations sécurisées du système
● Couchbase has a Change Management policy and procedure in place.
● Couchbase monitors changes to in-scope systems to ensure that the applicable standard process is followed and to mitigate any risk of un-detected changes to production. Changes are tracked in the change management system.
● Access Control policy and procedures are in place to prevent unauthorized changes.
● Mobile device management controls are in place.

Gouvernance
● Couchbase a mis en place un système formel de gestion de la sécurité de l'information (ISMS) afin de protéger la confidentialité, l'intégrité et la disponibilité de l'offre Couchbase Capella et des systèmes d'information, et d'assurer l'efficacité des contrôles de sécurité sur les données et les systèmes d'information.
● Couchbase has in place a documented and approved information security policy, including supporting documentation.
● The authority and responsibility for managing Couchbase’s information security program has been delegated to Information Security and Compliance Group, who is authorized by senior management to take actions necessary to establish, implement, and manage Couchbase’s information security program.

Conformité
● Couchbase is audited by an independent third-party auditor and has achieved SOC 2 Type 1 compliance, attesting to our commitment to controls that safeguard the confidentiality and availability of information stored and processed in the Couchbase Capella service.

Accès minimal aux données
● Privacy assessments are performed related to implementation of new products/services and processing of personal data by third parties.
● Data collection is limited to the purposes of the processing (or the data that the customer chooses to provide).
● Security measures are in place to provide only the minimum amount of access necessary to perform required functions.
● Data retention requirements are identified
● Access to personal data is restricted to the personnel involved in the processing, adhering to the “need to know” principle, and according to defined roles and responsibilities of the individuals.

Mesures de responsabilisation
● Customer Privacy Assessments are required when introducing any new product/service that involves processing of personal data.
● Data protection impact assessments are part of any new processing initiative.

Demandes d'accès des personnes concernées
● Data subjects are eligible to request the export of their personal data in an industry standard format.
● Processes are in place that allow individuals to exercise their privacy rights (e.g. right of erasure or right to data portability), as described in Couchbase’s publicly available Privacy Policy.

Couchbase continuera d'analyser les récentes orientations du Conseil européen de la protection des données sur les mesures supplémentaires pour répondre à l'exigence d'adéquation du GDPR, ainsi que toute autre recommandation émise par les autorités européennes de protection des données au fur et à mesure qu'elles se présentent.

La présente annexe énonce les conditions qui s'appliquent lorsque l'utilisation par le client du service en nuage nécessite un mécanisme de transfert ultérieur pour transférer légalement des données personnelles d'une juridiction à Couchbase située à l'extérieur de cette juridiction.

1. Les 2021 clauses contractuelles types. Pour les transferts de données soumis au GDPR et/ou à la FDPA suisse, les 2021 Clauses Contractuelles Types s'appliqueront de la manière suivante :

a. Le module un (contrôleur à contrôleur) s'appliquera lorsque le client est un contrôleur des données d'utilisation et que Couchbase est un contrôleur des données d'utilisation.
b. Le module deux (contrôleur à processeur) s'appliquera lorsque le client est un contrôleur des données du client et que Couchbase est un processeur des données du client ;
c. Le module trois (processeur à processeur) s'appliquera lorsque le client est un processeur des données du client et que Couchbase est un sous-processeur des données du client ;
d. Pour chaque module, le cas échéant :

(i) in Clause 7, the optional docking clause will apply and the parties shall cooperate in good faith to take the necessary steps to apply the 2021 Standard Contractual Clauses to another party;
(ii) à la clause 9, l'option 2 s'applique et le délai de notification préalable des changements de sous-traitant est celui prévu à la section 3 (Sous-traitance) du présent DPA ;
(iii) à la clause 11, la langue optionnelle ne s'appliquera pas ;
(iv) dans la clause 17 (option 1), les Clauses contractuelles types 2021 seront régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi et, en l'absence d'un tel droit, par le droit irlandais ; à condition qu'en ce qui concerne tout transfert de données soumis aux lois sur la protection des données d'un pays situé en dehors de l'EEE dans lequel l'autorité compétente a approuvé l'utilisation des Clauses contractuelles types 2021 (y compris, mais sans s'y limiter, la Suisse) (un "exportateur de données"), les Clauses contractuelles types 2021 soient régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi.Pays d'adoption"), les Clauses contractuelles types 2021 seront régies par les lois sur la protection des données du pays d'adoption.
(v) dans la clause 18(b), les litiges seront résolus par les tribunaux de l'État membre de l'UE dans lequel l'exportateur de données est établi et, à défaut, par les tribunaux de la République d'Irlande ; toutefois, en ce qui concerne les transferts de données soumis aux lois sur la protection des données d'un pays d'adoption, tout litige découlant des Clauses contractuelles types 2021 sera résolu par les tribunaux du pays d'adoption.
(vi) À l'annexe I, partie A : 

Exportateur de données : Le client et les sociétés affiliées autorisées du client.

Coordonnées : adresse(s) électronique(s) du client spécifiée(s) comme compte pertinent pour recevoir des communications dans le cadre du service cloud

Rôle de l'exportateur de données : Le client est le contrôleur ou le responsable du traitement des données du client, selon le cas, et le contrôleur des données d'utilisation.
Activités en rapport avec les données transférées : Réception de logiciels et de services de Couchbase et de ses affiliés

Signature et date : En concluant l'accord et le DPA, l'exportateur de données est réputé avoir signé les présentes clauses contractuelles types, y compris leurs annexes, à la date d'entrée en vigueur du DPA.

Importateur de données : Couchbase, Inc.

Coordonnées : Couchbase Legal Team – legal@couchbase.com

Rôle de l'importateur de données : Couchbase est le sous-traitant ou le sous-traitant secondaire des données du client, selon le cas, et le contrôleur des données d'utilisation.
Activités en rapport avec les données transférées : Fourniture de logiciels et de services

Signature et date : By entering into the Agreement and DPA, Data Importer is deemed to have signed these Standard Contractual Clauses, incorporated herein, including their Annexes, as of the Effective Date of the DPA.

(vii) À l'annexe I, partie B :
Les catégories de personnes concernées sont décrites à l'annexe A du présent DPA.

Les données sensibles transférées sont décrites à l'annexe A du présent DPA.

La fréquence du transfert est continue pendant toute la durée de l'accord.

La nature du traitement est décrite à l'annexe A du présent DPA.

La finalité du traitement est décrite à l'annexe A du présent DPA.

La durée du traitement est décrite à l'annexe A du présent DPA.

Pour les transferts aux sous-traitants, l'objet, la nature et la durée du traitement sont décrits à l'adresse suivante https://info.couchbase.com/cloud-subprocessors.html

(viii) In Annex I, Part C: The supervisory authority of the EU member state specified in Section 1(d)(iv) above shall act as competent supervisory authority; provided that with respect to any transfers of data subject to the data protection laws of an Adopting Country, the supervisory authority is the data protection authority of the Adopting Country.

(ix) Annex B of this DPA serves as Annex II of the Standard Contractual Clauses.

4. Termes contradictoires. En cas de conflit entre les clauses contractuelles types et toute autre disposition du présent DPA, les dispositions des clauses contractuelles types prévalent.