Addendum relatif au traitement des données

Dernière mise à jour le 6 février 2025

‍

Pour une version signée de cet addendum, veuillez visiter security.meetgeek.ai

Addendum sur le traitement des données MeetGeek

Cet addendum relatif au traitement des données (»DPA») régit le traitement par MeetGeek des données client fournies par le client à MeetGeek via l'API de MeetGeek ou tout service MeetGeek pour les entreprises (»Des services») selon les termes du Contrat client MeetGeek (le »Entente») et est par la présente intégrée au Contrat. Si et dans la mesure où le libellé du présent DPA entre en conflit avec le Contrat, les termes contradictoires du présent DPA prévaudront. Les termes en majuscules qui ne sont pas définis dans le présent DPA ont le sens indiqué dans le Contrat. Aux fins du présent DPA uniquement, le terme « client » inclut tout affilié du client.  

MeetGeek et le Client acceptent chacun de se conformer à leurs obligations respectives en vertu des lois applicables en matière de confidentialité et de protection des données (collectivement, »Lois sur la protection des données») en lien avec les Services. Les lois sur la protection des données incluent le Règlement général sur la protection des données de l'Union européenne (Règlement (UE) 2016/679) (»GDPR»), ainsi que la législation et les réglementations subordonnées applicables.

Dans le cadre du Contrat, le Client est la personne qui détermine les finalités et les moyens pour lesquels les Données du Client (telles que définies ci-dessous) sont traitées (a »Contrôleur des données»), alors que MeetGeek traite les données des clients conformément aux instructions du responsable du traitement et pour le compte du responsable du traitement (en tant que »Processeur de données»). Les termes « responsable du traitement des données » et « processeur de données » désignent également les concepts équivalents en vertu des lois sur la protection des données. Aux fins de l'Accord et du présent DPA, (i) « Données personnelles » a le sens attribué au terme « données personnelles » ou « informations personnelles » en vertu des lois applicables en matière de protection des données ; et (ii) »Données sur les clients» désigne les données personnelles que le client fournit à MeetGeek et que MeetGeek traite pour le compte du client afin de fournir les services. MeetGeek traitera les données du client en tant que responsable du traitement des données du client pour fournir ou gérer les services et aux fins énoncées dans le présent DPA, le Contrat et dans tout autre accord applicable entre le Client et MeetGeek.

‍

1. Exigences en matière de traitement. En tant que responsable du traitement des données, MeetGeek va :

a. traiter les données du client uniquement (i) pour le compte du client dans le but de fournir et de soutenir les services de MeetGeek (y compris pour fournir des informations, des rapports, des analyses et des abus de plateforme, une surveillance de la confiance et de la sécurité) ; ; (ii) conformément aux instructions écrites reçues du client ; et (iii) d'une manière qui ne soit pas inférieure au niveau de protection de la vie privée requis par les lois sur la protection des données ;

b. informer rapidement le client par écrit et cessera de traiter les données du client si MeetGeek ne peut pas se conformer aux exigences du présent DPA ;

c. ne pas fournir de rémunération au client en échange des données client du client. Les parties reconnaissent et conviennent que le client n'a pas « vendu » (tel que ce terme est défini par le CCPA)

d. ne pas « vendre » (tel que ce terme est défini par les lois américaines sur la confidentialité) ou « partager » (tel que ce terme est défini par le CCPA) de données personnelles ;

e. informer rapidement le Client si, de l'avis de MeetGeek, une instruction du Client enfreint les lois applicables en matière de protection des données ;

f. exiger (i) que les personnes qu'elle emploie et (ii) les autres personnes engagées pour agir pour le compte de MeetGeek soient soumises à une obligation de confidentialité en ce qui concerne les données des clients et qu'elles se conforment aux obligations de protection des données applicables à MeetGeek en vertu du Contrat et du présent DPA ;

g. faire participer les organisations ou les personnes énumérées sur https://meetgeek.ai/subprocessors pour traiter les données des clients (chacune étant un »Sous-processeur», et la liste figurant à l'URL précédente, la »Liste des sous-processeurs») pour aider MeetGeek à remplir ses obligations conformément au présent DPA ou pour déléguer tout ou partie des activités de traitement à ces sous-traitants. Le client consent par la présente à l'utilisation de tels sous-traitants. Si le client s'abonne aux notifications par e-mail comme prévu dans la liste des sous-traitants sur le site Web, MeetGeek informera le client de toute modification que MeetGeek a l'intention d'apporter à la liste des sous-traitants au moins 30 jours avant l'entrée en vigueur des modifications (ce qui peut être par e-mail, publication ou notification sur un portail en ligne pour nos services ou tout autre moyen raisonnable). Si le Client ne souhaite pas consentir à l'utilisation d'un tel sous-traitant supplémentaire, le Client peut informer MeetGeek que le Client n'y consent pas dans un délai de quinze (15) jours pour des motifs raisonnables liés à la protection des données du client en suivant les instructions énoncées dans la liste des sous-traitants ou en contactant [email protected]. Dans ce cas, MeetGeek aura le droit de remédier à l'objection en utilisant l'une des options suivantes : (i) MeetGeek annulera ses plans d'utilisation du sous-traitant pour le traitement des données client ou proposera une alternative pour fournir ses services ou services sans un tel sous-traitant ; (ii) MeetGeek prendra les mesures correctives demandées par le client dans la notification d'opposition du client et continuera à utiliser le sous-processeur ; (iii) MeetGeek peut cesser pour fournir, ou le Client peut accepter de ne pas utiliser, de manière temporaire ou permanente, l'aspect particulier ou fonctionnalité des Services MeetGeek ou des services qui impliqueraient l'utilisation d'un tel Sous-traitant ; ou (iv) Le Client peut cesser de fournir des Données client à MeetGeek pour un traitement impliquant ce Sous-traitant. Si aucune des options ci-dessus n'est commercialement réalisable, selon le jugement raisonnable de MeetGeek, et que les objections n'ont pas été résolues à la satisfaction des parties dans les trente (30) jours suivant la réception par MeetGeek de l'avis d'opposition du client, chaque partie peut résilier tout abonnement, bon de commande ou utilisation des Services qui ne peut être fourni sans l'utilisation du nouveau sous-processeur pour un motif valable et, dans ce cas, le client sera remboursé de tous les frais prépayés pour les abonnements, les bons de commande ou l'utilisation applicables dans la mesure où ils couvrent des périodes ou conditions à compter de la date de cette résiliation. Ce droit de résiliation constitue le seul et unique recours du Client si le Client s'oppose raisonnablement à tout nouveau sous-traitant. MeetGeek conclura des accords contractuels avec chaque sous-traitant les engageant à fournir un niveau de protection des données et de sécurité des informations qui ne soit pas moins onéreux que celui prévu par le présent DPA.

h. sur demande raisonnable, pas plus d'une fois par an, fournir au client les politiques de confidentialité et de sécurité de MeetGeek et les autres informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA et les lois applicables en matière de protection des données ;

i. lorsque la loi l'exige et moyennant un préavis raisonnable et des accords de confidentialité appropriés, coopérer aux évaluations, audits ou autres mesures effectuées par ou pour le compte du Client aux seuls frais du Client et d'une manière qui perturbe le moins possible les activités de MeetGeek qui sont nécessaires pour confirmer que MeetGeek traite les Données du client d'une manière conforme au présent DPA. Le Client coordonnera le calendrier et la portée de l'audit ou de l'évaluation avec MeetGeek, afin de limiter l'impact sur les services de MeetGeek ; exclura les données des autres clients de MeetGeek (y compris les données personnelles) de l'audit ; obtiendra l'approbation de MeetGeek avant d'utiliser tout outil ou logiciel sur l'infrastructure de MeetGeek ; n'inclura dans l'audit aucune donnée sensible (y compris des données personnelles, des données personnelles spéciales ou des données susceptibles de porter atteinte à la sécurité des services décrits dans Accord) ; ou donnez à MeetGeek une opportunité raisonnable d'examiner le rapport d'audit et de résoudre tout problème questions ou questions factuelles ; et préserver la confidentialité des résultats de tout audit et ne pas les divulguer, sauf disposition contraire de la loi. Lorsque la loi l'autorise, MeetGeek peut mettre à la disposition du client un résumé des résultats d'un audit tiers ou un rapport de certification pertinent pour la conformité de MeetGeek à cette DPA. Ces résultats, et/ou les résultats de telles évaluations, audits ou autres étapes constitueront les informations confidentielles de MeetGeek ;

j. dans la mesure où le Client autorise ou demande à MeetGeek de traiter les données du client soumises aux lois américaines sur la confidentialité sous une forme désidentifiée, anonymisée et/ou agrégée dans le cadre des Services, MeetGeek adoptera des mesures raisonnables pour empêcher que ces données anonymisées ne soient utilisées pour déduire des informations concernant une personne physique ou un foyer en particulier ou soient liées à celle-ci ; (ii) ne tentera pas de réidentifier les informations, sauf que MeetGeek peut tenter de réidentifier les informations uniquement dans le but de déterminer si les processus de désidentification sont conformes aux lois sur la protection des données ou fonctionnent comme prévu ; et (iii) avant de partager des données anonymisées avec une autre partie, y compris les sous-traitants, obliger contractuellement ces destinataires à se conformer aux exigences de cette disposition ;

k. lorsque les données client sont soumises à la CCPA, ne pas (i) conserver, utiliser, divulguer ou traiter les données client de quelque manière que ce soit, sauf dans la mesure nécessaire aux fins commerciales spécifiées dans le Contrat ou le présent DPA ; (ii) conserver, utiliser, divulguer ou traiter les données client de quelque manière que ce soit en dehors de la relation commerciale directe entre MeetGeek et le Client ; ou (iii) combiner les données client avec les données personnelles que MeetGeek reçoit de ou pour le compte de autre tiers ou collecte de données provenant des interactions de MeetGeek avec des individus, à condition que MeetGeek puisse combiner les données du client dans un but autorisé par le CCPA si le client le demande ou si le CCPA l'autorise ;

l. lorsque la loi l'exige, accorder au Client le droit de (i) prendre des mesures raisonnables et appropriées pour s'assurer que MeetGeek utilise les données du client d'une manière conforme aux lois sur la protection des données en appliquant les dispositions d'audit énoncées dans le présent DPA ci-dessus ; et (ii) d'arrêter et de remédier à l'utilisation non autorisée des données client, par exemple en demandant à MeetGeek de fournir une confirmation écrite que les données client applicables ont été supprimées.

2. Avis au client. MeetGeek informera le Client si MeetGeek prend connaissance de :

a. toute demande juridiquement contraignante de divulgation de données client par une autorité chargée de l'application de la loi, à moins que la loi n'interdise autrement à MeetGeek d'informer le Client, par exemple pour préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi ;

b. toute notification, enquête ou enquête menée par une autorité publique indépendante établie par un État membre conformément à l'article 51 du RGPD (a »Autorité de surveillance») en ce qui concerne les données des clients ; ou

c. toute plainte ou demande (en particulier les demandes d'accès, de rectification ou de blocage des données du client) reçue directement des personnes concernées du client. MeetGeek ne répondra à aucune demande de ce type sans l'autorisation écrite préalable du Client.

3. Assistance au client. MeetGeek fournira une assistance raisonnable au Client concernant :

a. les informations nécessaires, compte tenu de la nature du traitement, pour répondre aux demandes reçues conformément aux lois sur la protection des données de la part des personnes concernées du client concernant l'accès ou la rectification, l'effacement, la restriction, la portabilité, l'objection, le blocage ou la suppression des données du client que MeetGeek traite pour le compte du client. Dans le cas où une personne concernée envoie une telle demande directement à MeetGeek, MeetGeek enverra rapidement cette demande au Client ;

b. l'enquête sur toute violation de la sécurité de MeetGeek ayant entraîné la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données du client traitées par MeetGeek pour le compte du client (a »Violation de données personnelles») ; et

c. le cas échéant, la préparation d'analyses d'impact sur la protection des données concernant le traitement des données des clients par MeetGeek et, le cas échéant, la tenue de consultations avec toute autorité de contrôle compétente pour ce traitement.

4. Traitement requis. Si MeetGeek est tenue par les lois sur la protection des données de traiter les données des clients pour une raison autre que celle liée au Contrat, MeetGeek informera le Client de cette exigence avant tout traitement de ce type, sauf interdiction légale.

5. Sécurité. MeetGeek va :

a. maintenir des mesures de sécurité organisationnelles et techniques raisonnables et appropriées (y compris en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, les contrôles d'accès, la surveillance et la journalisation, la détection des vulnérabilités et des violations, la réponse aux incidents et le cryptage) pour se protéger contre l'accès non autorisé ou accidentel, la perte, l'altération, la divulgation ou la destruction des données client et pour protéger les droits des sujets de ces données client ;

b. prendre les mesures appropriées pour confirmer que le personnel de MeetGeek protège la sécurité, la confidentialité et la confidentialité des données des clients conformément aux exigences du présent DPA ;

c. informer le Client de toute violation de données personnelles par MeetGeek, ses sous-traitants ou tout autre tiers agissant pour le compte de MeetGeek sans retard injustifié après que MeetGeek a eu connaissance d'une telle violation de données personnelles.

6. Obligations du client.

a. Le Client déclare et garantit qu'il possède et conservera pendant toute la durée de tous les droits, consentements et autorisations nécessaires pour fournir les données client à MeetGeek et pour autoriser MeetGeek à utiliser, divulguer, conserver et traiter de toute autre manière les données client conformément au présent DPA, au Contrat et/ou à d'autres instructions de traitement fournies à MeetGeek.

b. Le client se conformera à toutes les lois applicables en matière de protection des données.

c. Le Client coopérera raisonnablement avec MeetGeek pour aider MeetGeek à s'acquitter de ses obligations en ce qui concerne toute demande émanant des personnes concernées du Client.

d. Sans préjudice des obligations de sécurité de MeetGeek énoncées à la section 5 du présent DPA, le Client reconnaît et accepte que c'est lui, et non MeetGeek, qui est responsable de certaines configurations et décisions de conception des services et que le Client, et non MeetGeek, est responsable de la mise en œuvre de ces configurations et décisions de conception d'une manière sécurisée, conformément aux lois applicables en matière de protection des données.

e. Le client ne doit pas fournir de données client à MeetGeek, sauf par le biais de mécanismes convenus. Par exemple, le client ne doit pas inclure de données client autres que ses coordonnées techniques ou, dans les tickets de support technique, transmettre les données client de l'utilisateur à MeetGeek par e-mail. Sans se limiter à ce qui précède, le Client déclare, garantit et s'engage à ne transférer les données du client à MeetGeek qu'en utilisant des mécanismes sécurisés, raisonnables et appropriés, dans la mesure où ces mécanismes sont sous le contrôle du Client.

f. Le client ne prendra aucune mesure qui (i) ferait de la fourniture de données client à MeetGeek une « vente » en vertu des lois américaines sur la confidentialité ou une « action » en vertu de la CCPA (ou des concepts équivalents en vertu des lois américaines sur la confidentialité) ; ou (ii) ferait de MeetGeek un « fournisseur de services » au sens de la CCPA ou un « sous-traitant » en vertu des lois américaines sur la confidentialité.

7. Clauses contractuelles types.  

a. MeetGeek traitera les données des clients provenant de l'Espace économique européen conformément aux clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021 (»CCT de l'UE») qui sont considérés comme conclus (et incorporés dans le présent DPA par cette référence) et complétés comme suit :

i. Le module 2 (du responsable du traitement au processeur) des CCT de l'UE s'applique lorsque le client est responsable du traitement et que MeetGeek traite les données du client en tant que sous-traitant.

ii. Le module 3 (du processeur au sous-traitant) des CCT de l'UE s'applique lorsque le client est un sous-traitant et que MeetGeek traite les données du client en tant que sous-traitant.

b. Pour chaque module des CCT de l'UE, le cas échéant, ce qui suit s'applique :

i. La clause d'amarrage facultative de la Clause 7 ne s'applique pas ;

ii. Dans la Clause 9, l'Option 2 (autorisation écrite générale) s'applique, et le délai minimum pour la notification préalable des modifications apportées au sous-processeur doit être celui indiqué dans la Section 1 (g) du présent DPA.

iii. Dans la Clause 11, la langue optionnelle ne s'applique pas ; iv. Tous les crochets de l'article 13 sont supprimés ;

v. Dans la clause 17 (Option 1), les CCT de l'UE seront régies par l'État membre de l'UE dans lequel se trouve l'exportateur de données ;

vi. Dans la clause 18 (b), les litiges seront résolus devant les tribunaux de l'État membre de l'UE où se trouve l'exportateur de données ;

vii. Le tableau A du présent DPA contient les informations requises dans les annexes I et III de l'UE

SCC ; viii. L'annexe B du présent DPA contient les informations requises dans l'annexe II des CCT de l'UE ; et

c. Les données des clients provenant de Suisse seront traitées conformément aux CCT de l'UE avec les modifications suivantes :

i. « PFDPIC » désigne le Préposé fédéral suisse à la protection des données et à la transparence.

ii. Par « PFA révisé », on entend la version révisée du PFA du 25 septembre 2020, dont l'entrée en vigueur est prévue pour le 1er janvier 2023.

iii. Le terme « État membre de l'UE » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits sur leur lieu de résidence habituelle (Suisse) conformément à la clause 18 (c).

iv. Les CCT de l'UE protègent également les données des personnes morales jusqu'à l'entrée en vigueur du FADP révisé.

v. Le PFDPIC agit en tant qu' « autorité de contrôle compétente » dans la mesure où le transfert de données concerné est régi par le FADP

d. En ce qui concerne les données clients provenant du Royaume-Uni, les parties se conformeront aux termes de la partie 2 : Clauses obligatoires de l'addendum approuvé, à savoir le modèle d'addendum B.1.0 publié par le Bureau du commissaire à l'information et déposé devant le Parlement conformément à l'article S119a de la Loi sur la protection des données 2018 le 2 février 2022, tel qu'il est révisé en vertu de la section 18 de ces clauses obligatoires (le »Addendum britannique»). Les parties conviennent également (i) que les informations incluses dans la partie 1 de l'addendum britannique sont telles qu'énoncées dans l'annexe I de l'appendice A du présent DPA et (ii) que chaque partie peut mettre fin à l'addendum britannique comme indiqué dans la section 19 de l'addendum britannique.

8. Durée ; retour et suppression des données. Ce DPA restera en vigueur tant que MeetGeek effectuera des opérations de traitement des données du client pour le compte du client ou jusqu'à la résiliation du contrat (et que toutes les données du client auront été renvoyées ou supprimées conformément à ce DPA). MeetGeek conservera les données client envoyées via l'API pendant trente (30) jours au maximum, après quoi elles seront supprimées, sauf lorsque MeetGeek est tenu d'en conserver des copies en vertu des lois applicables, auquel cas MeetGeek isolera et protégera ces données client de tout traitement ultérieur, sauf dans la mesure requise par les lois applicables. À la résiliation de la DPA, MeetGeek demandera à chaque sous-traitant de supprimer les données du client dans les trente (30) jours suivant la résiliation de la DPA, sauf interdiction légale. Pour plus de clarté, MeetGeek peut continuer à traiter les informations dérivées des données clients qui ont été anonymisées, anonymisées et/ou agrégées de telle sorte que les données ne soient plus considérées comme des données personnelles en vertu des lois applicables en matière de protection des données et d'une manière qui n'identifie pas les individus ou le client afin d'améliorer les systèmes et services de MeetGeek.

Pièce A

‍

A. LISTE DES PARTIES

Exportateur (s) de données : le client des Services identifié sur les documents d'enregistrement des Services applicables

‍Importateur (s) de données :

Nom : MeetGeek,

Adresse : Calea Vacaresti 203A, Bucarest, UE

Nom, fonction et coordonnées de la personne de contact :

Dan Huru

Responsable du service juridique commercial

[email protected]

Activités relatives aux données transférées en vertu de ces clauses : La prestation des services décrits dans le contrat auquel elles sont jointes.

Signature et date :

Rôle (contrôleur/processeur) : Processeur

‍

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données personnelles sont transférées Utilisateurs d'applications d'exportation de données.

Catégories de données personnelles transférées

Nom, coordonnées, informations démographiques, enregistrements vocaux et vidéo des réunions en ligne ou autres informations fournies par l'utilisateur (données client telles que définies dans le contrat auquel cette annexe est jointe).

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre de l'accès aux données, les restrictions relatives aux transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucune donnée sensible n'est destinée à être transférée à moins que l'utilisateur ne l'inclue de manière inattendue dans des données non structurées.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

Continu.

Nature du traitement

L'exécution des services décrits dans le contrat auquel cette annexe est jointe.

Finalité (s) du transfert de données et du traitement ultérieur

L'exécution des services décrits dans le contrat auquel cette annexe est jointe.

La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période

Pendant la durée du contrat

Pour les transferts vers des (sous-) processeurs, précisez également l'objet, la nature et la durée du traitement

L'exécution des services décrits dans le contrat auquel cette annexe est jointe.

‍

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier la ou les autorités de surveillance compétentes conformément à la Clause 13

L'autorité de protection des données de l'État membre de l'UE dans lequel l'exportateur est établi.

Exposition B

‍

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR GARANTIR LA SÉCURITÉ DES DONNÉES

‍

PRÉSENTATION

MeetGeek dispose d'un programme de sécurité de l'information conçu pour protéger ses systèmes, ses données et les données de ses clients. Cet addendum décrit le programme de sécurité des informations et les normes de sécurité que MeetGeek applique en ce qui concerne les Services et le traitement des données soumises par ou pour le compte du Client (les « Données client »). Les termes en majuscules qui ne sont pas définis dans la présente annexe II ont la signification qui leur est donnée dans le DPA ou l'Accord.

Pour en savoir plus sur les mesures de sécurité techniques et organisationnelles de MeetGeek visant à protéger les données des clients, consultez le portail de sécurité MeetGeek à l'adresse https://security.meetgeek.ai (le « Portail de sécurité »). Les mesures de sécurité ci-dessous incluent le sous-ensemble des informations disponibles sur le portail de sécurité qui s'appliquent à cette DPA.

‍

MESURES DE SÉCURITÉ

Contrôles d'identité, d'authentification et d'autorisation de l'entreprise. MeetGeek applique les meilleures pratiques du secteur pour authentifier et autoriser l'accès interne des employés et des services, y compris les mesures suivantes :

○ MeetGeek utilise l'authentification unique (SSO) pour s'authentifier auprès des services tiers utilisés dans le cadre de la fourniture des Services. Les contrôles d'accès basés sur les rôles (RBAC) sont utilisés lors de la fourniture d'un accès interne aux Services ;

○ L'authentification multifactorielle obligatoire est utilisée pour s'authentifier auprès du fournisseur d'identité de MeetGeek.

○ Des identifiants de connexion uniques sont attribués à chaque utilisateur ;

○ Processus de révision et d'approbation mis en place pour toute demande d'accès aux services stockant les données des clients ;

○ Des audits d'accès périodiques conçus pour garantir que les niveaux d'accès sont adaptés aux rôles joués par chaque utilisateur ;

○ Procédures établies pour révoquer rapidement les droits d'accès en cas de cessation d'emploi ;

○ Des procédures établies pour signaler et révoquer les informations d'identification compromises (telles que les mots de passe et les clés API) ; et

○ Procédures établies de réinitialisation des mots de passe, y compris des procédures conçues pour vérifier l'identité d'un utilisateur avant d'utiliser un nouveau mot de passe, un mot de passe de remplacement ou un mot de passe temporaire.

Contrôles d'identité, d'authentification et d'autorisation des clients. MeetGeek applique les meilleures pratiques du secteur pour authentifier et autoriser les clients à accéder aux Services, y compris les mesures suivantes :

○ Utilisation d'un service tiers de gestion des identités et des accès pour gérer l'identité des clients, ce qui signifie que MeetGeek ne stocke pas les mots de passe fournis par les utilisateurs pour le compte des utilisateurs ; et

○ Séparer de manière logique les données clients par compte d'organisation à l'aide d'identifiants uniques. Au sein d'un compte d'organisation, les comptes utilisateurs uniques sont pris en charge.

Infrastructure cloud et sécurité du réseau. MeetGeek applique les meilleures pratiques du secteur pour sécuriser et exploiter son infrastructure cloud, y compris les mesures suivantes :

○ Environnements de production et de non-production séparés ; ○ Les ressources principales du backend sont déployées derrière un VPN.

○ Les Services sont régulièrement audités pour détecter les failles de sécurité.

○ Les secrets d'application et les comptes de service sont gérés par un service de gestion des secrets ;

○ Les politiques de sécurité réseau et les pare-feux sont configurés pour un accès au moindre privilège par rapport à un ensemble préétabli de flux de trafic autorisés. Les flux de trafic non autorisés sont bloqués ; et ○ Les journaux des services sont surveillés pour des raisons de sécurité et de disponibilité.

Contrôle du système et du poste de travail. MeetGeek applique les meilleures pratiques du secteur pour sécuriser les systèmes d'entreprise de MeetGeek, y compris les ordinateurs portables et l'infrastructure sur site, notamment :

○ Gestion des terminaux des postes de travail de l'entreprise ;

○ Gestion des terminaux des appareils mobiles ;

○ Application automatique des configurations de sécurité aux postes de travail ;

○ Gestion obligatoire des correctifs ; et

○ Tenir à jour des journaux de sécurité appropriés.

Contrôle d'accès aux données. MeetGeek applique les meilleures pratiques du secteur pour empêcher les utilisateurs autorisés d'accéder à des données au-delà de leurs droits d'accès autorisés et pour empêcher la saisie, la lecture, la copie, la suppression, la modification ou la divulgation non autorisées de données. Ces mesures sont notamment les suivantes :

○ L'accès des employés aux Services suit le principe du moindre privilège. Seuls les employés dont la fonction consiste à soutenir la prestation des Services sont accrédités dans l'environnement des Services ; et

○ Les données client soumises aux Services ne sont utilisées que conformément aux termes du DPA, du Contrat et de tout autre accord contractuel applicable en place avec le Client.

Contrôle de la divulgation. MeetGeek applique les meilleures pratiques du secteur pour empêcher l'accès, la modification ou la suppression non autorisés des données pendant le transfert, et pour sécuriser et enregistrer tous les transferts. Ces mesures incluent :

○ Chiffrement des données au repos dans les banques de données de production à l'aide d'algorithmes de cryptage puissants ;

○ Chiffrement des données en transit ;

○ Piste d'audit pour toutes les demandes d'accès aux données pour les banques de données de production ;

○ Chiffrement complet du disque requis sur tous les postes de travail de l'entreprise ;

○ Contrôles de gestion des appareils requis sur tous les postes de travail de l'entreprise ; ○ Restrictions relatives à l'utilisation de supports portables ou amovibles ; et ○ Les données client peuvent être supprimées sur demande.

Contrôle de disponibilité. MeetGeek applique les meilleures pratiques du secteur pour maintenir la fonctionnalité des Services en cas d'intention accidentelle ou malveillante, notamment :

○ Veiller à ce que les systèmes puissent être restaurés en cas d'interruption ;

○ S'assurer que les systèmes fonctionnent et que les défauts sont signalés ; et

○ Solutions anti-malware et de détection/prévention des intrusions mises en œuvre de manière exhaustive dans notre environnement

Contrôle de la ségrégation. MeetGeek applique les meilleures pratiques du secteur pour le traitement séparé des données collectées à des fins différentes, notamment :

○ Séparation logique des données clients ;

○ Restriction de l'accès aux données stockées à différentes fins en fonction des rôles et responsabilités du personnel ;

○ Séparation des fonctions des systèmes d'information d'entreprise ; et

○ Séparation des environnements des systèmes d'information de test et de production.

Gestion des risques. MeetGeek applique les meilleures pratiques du secteur pour détecter et gérer les risques de cybersécurité, notamment :

○ Modélisation des menaces pour documenter et trier les sources de risques de sécurité afin de les hiérarchiser et de les corriger ;  

○ Des tests d'intrusion sont effectués sur les Services au moins une fois par an, et tous les éléments de remédiation identifiés sont résolus dès que possible selon un calendrier adapté au risque associé. Sur demande, MeetGeek fournira des informations récapitulatives sur les tests effectués et indiquera si les problèmes identifiés ont été résolus ;  

○ Engagements annuels d'un auditeur externe indépendant et qualifié pour effectuer des examens périodiques des pratiques de sécurité de MeetGeek par rapport aux normes d'audit reconnues, y compris les audits de certification SOC 2 de type II. Sur demande raisonnable, MeetGeek fournira des informations récapitulatives ; et

○ Un programme de gestion des vulnérabilités conçu pour garantir la correction rapide des vulnérabilités affectant les Services.

Le personnel. MeetGeek applique les meilleures pratiques du secteur en matière de vérification, de formation et de gestion du personnel en matière de sécurité, notamment :

○ Vérification des antécédents, lorsque la loi l'autorise, des employés ayant accès aux données des clients ou prenant en charge d'autres aspects des Services ;

○ Formation annuelle en matière de sécurité pour les employés et formation supplémentaire en matière de sécurité, le cas échéant.

Contrôle d'accès physique. MeetGeek applique les meilleures pratiques du secteur pour empêcher l'accès physique non autorisé aux installations de MeetGeek, notamment :

○ Contrôles physiques des barrières, y compris les portes et les portails verrouillés ;

○ Personnel de sécurité sur place 24 heures sur 24 ;

○ Systèmes de vidéosurveillance et d'alarme 24 heures sur 24, y compris la vidéosurveillance des espaces communs et des points d'entrée et de sortie des installations ;

○ Systèmes de contrôle d'accès nécessitant des données biométriques ou un badge d'identification avec photo et un code PIN pour permettre au personnel de MeetGeek d'accéder à toutes les installations de MeetGeek ;

○ Protocoles d'identification, de connexion et d'escorte des visiteurs ; et ○ Enregistrement des entrées et sorties des installations.

Gestion des risques liés aux tiers. MeetGeek applique les meilleures pratiques du secteur pour gérer les risques de sécurité liés aux tiers, y compris en ce qui concerne tout sous-traitant ou sous-traitant auquel MeetGeek fournit des données clients, y compris les mesures suivantes :

○ Contrats écrits conçus pour garantir que tout agent accepte de maintenir des garanties raisonnables et appropriées pour protéger les données des clients ; et

○ Évaluations de sécurité des fournisseurs : tous les tiers sont soumis à un processus officiel d'évaluation des fournisseurs géré par l'équipe de sécurité de MeetGeek.

Réponse aux incidents de sécurité. MeetGeek dispose d'un plan de réponse aux incidents de sécurité pour répondre et résoudre les événements qui compromettent la confidentialité, la disponibilité ou l'intégrité des Services ou des Données des clients, notamment les suivants :

○ MeetGeek regroupe les journaux du système pour des raisons de sécurité et d'observabilité générale à partir d'une gamme de systèmes afin de faciliter la détection et la réponse ; et

○ Si MeetGeek découvre qu'une violation de données personnelles s'est produite, MeetGeek en informera le Client conformément à la DPA.

Évaluations de sécurité. MeetGeek effectue régulièrement des tests de sécurité et de vulnérabilité pour évaluer si les contrôles clés sont correctement mis en œuvre et sont efficaces par rapport aux normes de sécurité du secteur et à ses politiques et procédures et pour garantir la conformité continue aux obligations imposées par la loi, la réglementation ou les contrats en ce qui concerne la sécurité des données clients ainsi que la maintenance et la structure des systèmes d'information de MeetGeek.