Addenda sur le traitement des données (DPA)

1. Validité

En tant qu’entreprise responsable, Gardien Virtuel porte la plus haute attention à la protection des données sensibles, notamment les données personnelles, de ses clients et partenaires.

Le présent Addendum sur le traitement des données est intégré, par la présente, aux conditions générales de service (contrat cadre) du contrat SOC Gardien Virtuel, signé par le client.

À moins que le Client n’ait conclu un accord écrit de remplacement spécifique, Gardien Virtuel peut modifier le présent Addendum au fur et à mesure de l’évolution de ses activités. Toute révision entrera en vigueur à la date à laquelle Gardien Virtuel publiera les modifications. Le Client sera notifié d’une telle mise à jour par courriel.

Le Client peut consulter la version la plus récente de l’Addendum sur le traitement des données à tout moment en visitant cette page. Si le Client utilise les services après la date d’entrée en vigueur de toute modification, cette utilisation constituera une acceptation de l’Addendum révisé sur le traitement des données.

Dernière mise à jour : 22/08/2024

2. Définitions

« Législations sur la Protection des Données » : toutes les lois et réglementations sur la protection des données applicables au traitement des Données Personnelles en vertu de ce DPA, y compris, mais sans s’y limiter, les lois sur la protection des renseignements personnels dans les secteurs privés et publics au Québec (dite Loi 25).

« Données Personnelles » ou « Renseignements Personnels » : désigne toute information relative à une personne physique identifiée ou identifiable, directement ou non, traitée par Gardien Virtuel ou ses sous-traitants dans le cadre du contrat SOC.

« Traitement » : désigne toute opération ou ensemble d’opérations effectuées sur des Données Personnelles, qu’elles soient ou non réalisées par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition de toute autre manière, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.

« Sous-traitant » : désigne tout tiers nommé par ou au nom de Gardien Virtuel pour traiter des Données Personnelles au nom du Client.

3. Traitement des données personnelles

3.1 Rôles des parties

Les parties reconnaissent et conviennent qu’en ce qui concerne le traitement des Données Personnelles, le Client est le Responsable du Traitement et Gardien Virtuel est le Sous-traitant.

3.2 Traitement des données personnelles par le Client

Le Client doit, dans son utilisation des services SOC, traiter les données personnelles conformément aux exigences des législations sur la protection des données. Les instructions du Client pour le traitement des données personnelles doivent être conformes aux législations sur la protection des données. Gardien Virtuel ne traite les données personnelles que dans le but décrit dans le contrat et conformément aux instructions documentées légales du Client.

4 Collecte et gestion des données

4.1 Contexte d’affaires – Objectifs de la collecte

Dans le cadre de son offre de service gérée de surveillance de cybersécurité (Centre de Sécurité Opérationnelle – SOC), Gardien Virtuel bénéficie d’accès contrôlés aux systèmes d’information de ses clients afin d’assurer, par la collecte et l’analyse de données techniques, la surveillance des évènements et la détection d’incidents de sécurité éventuels.

Dans ce but, et afin de livrer les services objets de la transaction commerciale, Gardien Virtuel collecte des données techniques et des informations personnelles dans le but unique de permettre la livraison des services contractés de manière appropriée, personnalisée et sure.

Dans tous les cas, la divulgation des informations personnelles et confidentielles est soumise aux obligations de maintien de la confidentialité et de respect des lois applicables.

4.2 Les données collectées

4.2.1 Les renseignements personnels collectés

La finalité de la collecte de renseignements personnels et l’ensemble des règles relatives à la protection des renseignements personnels est décrite dans la Politique de Confidentialité de ESI Technologies, société mère de Gardien Virtuel.

Les catégories de renseignements personnels potentiellement collectés par Gardien Virtuel sont indiquées ci-dessous (liste non exhaustive) :

Renseignements d’identification professionnelle : nom, prénom, adresse postale, numéro de téléphone mobile, adresse, courriel, etc.
Renseignements commerciaux : historique des transactions, demandes de renseignement et de devis, etc.
Renseignements informatiques et relatifs à l’activité numérique : adresse IP, adresse MAC, journaux, type d’appareil, etc.
Renseignements relatifs au compte : rôle et autorisations, paramètres et préférences, identifiants de connexion, etc.
Témoins de navigation (cookies) : les témoins de navigation sont de petits fichiers qui peuvent être téléchargés sur l’appareil du visiteur lors de la consultation et l’utilisation du site internet de Gardien Virtuel. Ils permettent de reconnaître les appareils et de stocker des informations sur les préférences ou les actions antérieures des utilisateurs. Nous utilisons des témoins de navigation pour enregistrer les préférences des utilisateurs, optimiser la conception du site internet de Gardien Virtuel ou à des fins commerciales et promotionnelles.

Gardien Virtuel utilise des moyens technologiques pour recueillir des renseignements personnels, notamment : outil de balayage des serveurs, des systèmes et des postes appartenant à Gardien Virtuel ou au client dans le cadre du contrat SOC, outil de géolocalisation, etc.

4.2.2 Les renseignements techniques collectés

Le Centre de Sécurité Opérationnelle (SOC) de Gardien Virtuel collecte diverses données techniques pour garantir la sécurité et l’intégrité du système d’information de ses clients et assurer le service objet de la transaction commerciale.

Les renseignements clients collectés et traités par le SOC incluent les informations collectées lors de la signature du contrat et les données incluses dans les évènements (event data), les flux réseau (flow data) et les évaluations de vulnérabilités.

Le SOC collecte notamment (liste non exhaustive) :

Données clients collectés lors de la mise en place du contrat et du service : personne contact (nom & prénom, téléphone, courriel), adresse IP, système d’exploitation, service, VLAN, adresse IP public, switch, routeur, environnement cloud, application cloud, sites web, équipement de sécurité, historique des incidents de sécurité, inventaires des applications (nom d’application, fabriquant, version) et processus métier critiques.
Événements (Event Data) : dates et heures des événements enregistrés, noms d’utilisateur, adresses IP et données de géolocalisation dérivées, noms du système, processus effectués, ports source et destination, messages d’erreur.
Flux Réseau (Flow Data) : adresses IP/ ports source et destination, volumes de données, durée des sessions.
Évaluation de vulnérabilité : actifs vulnérables, failles de sécurité, scores de gravité, statut des correctifs, résultats des évaluations de conformité, données de configuration système.

4.3 Gestion par des sous-traitants de Gardien Virtuel

4.3.1 Sous traitance

Sous-traitants autorisés : Le Client accepte que la Gardien Virtuel puisse engager des sous-traitants pour traiter des données personnelles ou techniques en son nom.

Gardien Virtuel maintient une liste à jour de ses sous-traitants (voir ci-dessous).

4.3.2 Programme de gestion des risques liés aux tierces parties

Gardien Virtuel s’appuie sur certains sous-traitants pour le traitement des données collectées et la réalisation du service SOC au bénéfice du client.

Gardien Virtuel veille à ce que ses partenaires prennent toutes les mesures nécessaires pour assurer la protection des données de ses clients.

Pour se faire, Gardien Virtuel s’appuie sur des partenaires titulaires d’un rapport SOC2 valide, attestant de la robustesse de leurs contrôles de sécurité. Ces rapports SOC 2 sont sollicités annuellement auprès des sous-traitants critiques du SOC.

Les sous-traitants critiques rentent dans le programme de gestion des risques liés aux tierces parties (TPRM[1]) mise en œuvre par Gardien Virtuel. Ce programme implique les mesures suivantes :

Une directive interne concernant la gestion des tierces parties met en place les règles de gestion des sous-traitant au niveau de l’entreprise.
Sous le contrôle de son comité de sécurité, Gardien Virtuel met en place une veille en temps réel du niveau de sécurité de ses prestataires critiques.
Les sous-traitants ne disposant pas d’un rapport SOC2, font l’objet d’une évaluation sécurité spécifique par Gardien Virtuel.
Mesures correctives : en cas d’anomalie détectée dans le dispositif de sécurité du prestataire, des requêtes pourront être émises par Gardien Virtuel pour correction.

4.3.3 Transfert de responsabilité aux tierces parties

Sur la base des contrôles présentés au chapitre précédent, Gardien Virtuel transfert le risque lié à la cybersécurité et à la gestion des données confiées sur ses sous-traitants.

Ce transfert inclut les contrôles liés à la gestion des incidents de sécurité, la continuité des affaires et le recouvrement après sinistre.

Partenaire	Type de traitement	Localisation	SOC2	Transfert	DPA
CrowdStrike	Cloud EDR	USA	Oui	Clauses contractuelles standards	https://wwww.crowdstrike.com/data-protection-agreement/ https://www.crowdstrike.com/terms-conditions/
CrowdStrike	Cloud Threat Anlaysis	USA	Oui	Clauses contractuelles standards	https://wwww.crowdstrike.com/data-protection-agreement/ https://www.crowdstrike.com/terms-conditions/
Qualys	Cloud Balayage de vulnérabilité	USA	Oui	Clauses contractuelles standards	https://www.qualys.com/company/privacy/ https://docs.qualys.com/en/vmdr-mobile/latest/configuration/EULA_Management.htm https://www.qualys.com/support/sla/ https://www.qualys.com/company/community-terms-of-use/
ConnectWise	Cloud	USA	Oui	Clauses contractuelles standards	https://www.connectwise.com/globalassets/media/documents/legal/connectwise-data-processing-addendum-82620.pdf https://www.connectwise.com/globalassets/media/documents/legal/connectwise-data-processing-addendum-rev.-04.04.2023.pdf https://www.connectwise.com/company/gdpr https://www.connectwise.com/globalassets/media/documents/gdpr-checklist-for-data-controllers_.pdf
D3 Security	Cloud	Canada	Non	Clauses contractuelles standards	https://d3security.com/privacy/ https://d3security.com/blog/quick-guide-to-gdpr-infographic/ https://d3security.com/blog/2018-gdpr-compliance-report/
Fortinet	Cloud	USA	Oui	Clauses contractuelles standards	https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Data_Privacy_Practices.pdf https://www.fortinet.com/corporate/about-us/gdpr https://www.fortinet.com/content/dam/fortinet/assets/legal/Fortinet-Service-Offering-Terms.pdf
Microsoft Azure	Cloud	USA	Oui	Clauses contractuelles standards	https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA?lang=1 https://www.microsoft.com/en/servicesagreement https://www.tfm-now.com/files/tfm/docs/Windows Azure Data Processing Agreement.pdf

5 Droits d’audit

Gardien Virtuel met à la disposition du Client toutes les informations nécessaires pour démontrer la conformité à cet addendum et permettre et contribuer à des audits, y compris des inspections, menés par le Client ou un autre auditeur mandaté par le Client.

Annexe A – Description générale des mesures de protection des données

En tant qu’organisation certifiée ISO 27001, Gardien Virtuel respecte la règlementation en vigueur et les normes imposées en matière de protection des données en termes de confidentialité, disponibilité et intégrité.

D’un point de vue général, Gardien Virtuel applique des mesures de sécurité humaines, techniques, organisationnelles et de réponses aux incidents pour assurer la protection des données de ses clients.

Des mesures de gestion du cycle de vie des données (collecte, traitement, destruction, etc.) sont mises en œuvre conformément à la norme de cybersécurité ISO27001 :2022.

Capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience continue des systèmes et services de traitement.
Formation et sensibilisation du personnel	La formation et la sensibilisation du personnel de Gardien Virtuel sont des éléments clés de la protection des données de nos clients. L’ensemble du personnel est assujetti à une sensibilisation obligatoire sur les risques associés aux systèmes d’information et à la protection des données sensibles. Les employé(e)s reçoivent également une formation spécialisée en lien avec les enjeux de leurs fonctions : gestionnaires, responsable de la sécurité des SI, techniciens informatiques, etc.
Confidentialité	Gardien Virtuel a mis en place des mesures pour s’assurer qu’aucune personne n’est autorisée à accéder aux données des clients sans autorisation. Ces mesures comprennent, sans s’y limiter : – Gardien Virtuel gère les accès aux données des clients en fonction du modèle de permissions de contrôle d’accès basé sur les rôles en fonction du besoin d’accès et du principe du moindre privilège. – Gardien Virtuel a mis en place un processus d’authentification sécurisé. – Tous les employés de Gardien Virtuel font l’objet d’une vérification des antécédents criminels afin de s’assurer qu’ils ne sont pas coupables d’une infraction liée à l’emploi. – La base de données interne de Gardien Virtuel est située dans un centre de données Microsoft Azure de la société Microsoft Inc – Gardien Virtuel a mis en place des mesures pour contrôler la sécurité physique à son bureau (y compris agent de sécurité à l’entrée de l’immeuble, système d’alarme, enregistrement des visiteurs). – Tous les employés et sous-traitants critiques de Gardien Virtuel sont soumis à des règles de non-divulgation. Chiffrement : Les données sont chiffrées en transit avec HTTP sur TLS. Les certificats sont de 2048 bits et les clés privées sont stockées dans un coffre-fort secret spécifique. Les chiffrements faibles sont désactivés. Les données sont également cryptées au repos par Gardien Virtuel et les sous-traitants ultérieurs. Les clés de chiffrement sont gérées avec un nombre limité d’employés et sécurisées dans un coffre-fort avec des rotations régulières. Anonymisation : La politique de Gardien Virtuel est d’anonymiser les Renseignements Personnels des clients dans la mesure du possible.
Intégrité	Gardien Virtuel a mis en place des mesures pour s’assurer que l’intégrité des données est maintenue. Ces mesures comprennent, sans s’y limiter : -Le droit de modifier ou de supprimer toute donnée client (y compris les informations personnelles du client) est limité à un groupe limité de personnes en fonction des besoins et selon le principe de ségrégation des tâches. – Les collaborateurs de l’équipe SOC et de l’équipe assistance technique se voient accorder le droit de modifier et de supprimer les données clients dans la base de données de Gardien Virtuel. Toute modification ou suppression par ces employés est cataloguée dans un registre d’audit. Une revue des accès est réalisée par Gardien Virtuel sur des bases régulières.
Disponibilité	Gardien Virtuel a mis en place des mesures pour s’assurer que les données du client sont disponibles et qu’elles sont utilisées correctement dans le cadre du processus prévu. Ces mesures comprennent, sans s’y limiter : -Gardien Virtuel et ses sous-traitants disposent d’un plan de réaction aux incidents, de continuité des affaires et de recouvrement après désastre. Les tests sur table sont effectués au moins une fois par an pour Gardien Virtuel. -Gardien Virtuel assure des sauvegardes de sa base de données conformément à sa politique de conservation. Les sauvegardes sont vérifiées et des tests sont effectués annuellement pour répondre à son RPO et RTO. -L’infrastructure et le schéma de la base de données de Gardien Virtuel sont construits à partir de scripts archivés. Ainsi, Gardien Virtuel peut déployer l’ensemble de l’infrastructure de manière dynamique en quelques heures conformément à son plan de recouvrement après sinistre. -Gardien Virtuel est surveillé par son SOC pour prévenir les logiciels malveillants dans l’environnement d’hébergement et une solution anti-malware centralisée pour prévenir les logiciels malveillants au bureau avec des analyses complètes périodiques et l’intégration d’un pare-feu.
Gestion des incidents	Gardien Virtuel dispose d’un plan de réaction aux incidents destiné à organiser la gestion des incidents de sécurité par les équipes dédiées (CSIRT). Note – Incidents de confidentialité : un incident de confidentialité est un évènement concernant la sécurité des renseignements personnels – le cas échéant, les incidents de confidentialité sont traités conformément à la règlementation spécifique applicable.
Résilience	Gardien Virtuel a mis en place des mesures pour s’assurer que le SOC est résilient. Parmi ces mesures, mentionnons : -L’infrastructure de Gardien Virtuel peut évoluer en fonction de la charge. -L’infrastructure de Gardien Virtuel est redondante. -Le serveur de base de données de Gardien Virtuel est redondant dans le Cloud.
Capacité à rétablir la disponibilité et l’accès aux renseignements personnels du client en temps opportun en cas d’incident physique ou technique.
Si les causes de panne sont sous le contrôle de Gardien Virtuel, son objectif de temps de récupération (RTO) est d’environ 4 heures ou moins. Voir les mesures décrites ci-dessus en ce qui concerne la « disponibilité ».
Processus de test, d’évaluation et d’évaluation régulière de l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du Traitement.
-Contrôle d’accès : Gardien Virtuel vérifie les droits d’accès régulièrement. -Évaluations des vulnérabilités : des tests sont effectués en continu. Évaluation de la sécurité : Gardien Virtuel dispose de plusieurs tableaux de bord pour évaluer sa sécurité et fait l’objet d’un audit externe annuel ISO27001 par une société accréditée extérieure. -Centralisation des logs : Gardien Virtuel utilise un SIEM pour agréger ses logs. Les logs sont hébergés dans un environnement infonuagique MS Azure au Canada.
Processus visant à garantir que l’accès du gouvernement ou des organismes d’application de la loi est juridiquement valide et approprié.
Gardien Virtuel s’assure que les renseignements personnels des clients ne peuvent pas être consultés par des organisations gouvernementales ou des forces de l’ordre sans une procédure régulière. Gardien Virtuel et ses sous-traitants ne divulgueront pas de données au gouvernement ou aux organismes d’application de la loi, sauf sur instruction du Client ou lorsque la loi l’exige. Gardien Virtuel et ses sous-traitants ultérieurs examinent toutes les demandes pour s’assurer qu’elles sont juridiquement valides et appropriées. À la réception d’une telle demande, Gardien Virtuel informera le client, à moins que la loi ne l’interdise. Par défaut, nous demanderons à l’organisation gouvernementale ou à l’organisme d’application de la loi de rechercher les données directement auprès du Client. Lorsque Gardien Virtuel ou ses sous-traitants sont légalement tenus de divulguer des informations, seules les informations spécifiquement demandées peuvent être divulguées.

[1] Third Party Risk Management