Contrat de Sous-Traitance

Le présent Contrat de Sous-Traitance (« CST ») est un contrat juridique entre Enigma Labs BV et nos clients qui régit la manière dont nous traitons les données personnelles pour le compte de nos clients lors de la fourniture de nos services de cybersécurité.

Ce que cela signifie en termes simples :

• Vous (notre client) êtes le « Responsable du Traitement » — vous décidez quelles données personnelles sont traitées et pourquoi.
• Nous (Enigma Labs) sommes le « Sous-Traitant » — nous traitons les données personnelles uniquement selon vos instructions pour fournir nos services.
• Le présent contrat garantit que nous respectons toutes les exigences du Règlement Général sur la Protection des Données de l'UE (RGPD).

Engagements clés que nous prenons :

| Engagement | Détails | |------------|---------| | Limitations de Traitement | Nous traitons les données personnelles uniquement pour fournir nos services de cybersécurité | | Sécurité | Nous mettons en œuvre des mesures de sécurité robustes pour protéger vos données | | Notification de Violation | Nous vous informons dans les 48 heures en cas de violation de sécurité | | Droits des Personnes Concernées | Nous vous aidons à répondre aux demandes des personnes concernées dans un délai de 5 jours ouvrables | | Suppression des Données | Nous supprimons vos données dans les 90 jours suivant la fin de notre accord | | Sous-Traitants Ultérieurs | Nous utilisons des sous-traitants ultérieurs soigneusement vérifiés et vous informons 7 jours avant toute modification |

Le présent CST s'applique conjointement à nos Conditions Générales d'Utilisation et à notre Politique de Confidentialité. En cas de conflit entre ces documents concernant la protection des données, le présent CST prévaut.

Aux fins du présent Contrat de Sous-Traitance, les termes suivants ont les significations définies ci-dessous. Les termes en majuscules non définis dans le présent document ont la signification qui leur est attribuée dans l'Accord Principal.

| Terme | Définition | |-------|------------| | « Accord » | Le présent Contrat de Sous-Traitance, incluant toutes les Annexes qui y sont attachées. | | « Législation Applicable en Protection des Données » | Toutes les lois et réglementations applicables au traitement des Données Personnelles en vertu du présent CST, y compris mais non limité au RGPD, au RGPD britannique, et toute législation nationale de mise en œuvre ou complémentaire. | | « Responsable du Traitement » | La personne physique ou morale, l'autorité publique, l'organisme ou un autre corps qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données Personnelles. Aux fins du présent CST, le Client agit en tant que Responsable du Traitement. | | « Client » | L'entité qui a conclu l'Accord Principal avec Enigma Labs BV pour utiliser les Services. | | « Données Client » | Toutes les Données Personnelles traitées par Enigma Labs pour le compte du Client dans le cadre de la fourniture des Services. | | « Personne Concernée » | Une personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles. | | « CST » | Le présent Contrat de Sous-Traitance. | | « DPD » | Délégué à la Protection des Données. | | « EEE » | L'Espace Économique Européen. | | « RGPD » | Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données). | | « Données Personnelles » | Toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'article 4(1) du RGPD. | | « Violation de Données Personnelles » | Une violation de la sécurité entraînant la destruction, la perte, la modification, la divulgation non autorisée ou l'accès aux Données Personnelles transmises, conservées ou traitées d'une autre manière. | | « Accord Principal » | Les Conditions Générales d'Utilisation ou tout autre accord-cadre entre Enigma Labs et le Client régissant la fourniture des Services. | | « Traitement » | Toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou des ensembles de Données Personnelles, de manière automatisée ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. | | « Sous-Traitant » | Une personne physique ou morale, une autorité publique, un organisme ou un autre corps qui traite des Données Personnelles pour le compte du Responsable du Traitement. Aux fins du présent CST, Enigma Labs agit en tant que Sous-Traitant. | | « Incident de Sécurité » | Tout accès, acquisition, utilisation, divulgation ou destruction non autorisés réels ou soupçonnés des Données Client, ou tout autre événement compromettant la sécurité, la confidentialité ou l'intégrité des Données Client. Cela inclut, sans s'y limiter, les attaques par ransomware, les accès non autorisés aux données, l'exfiltration de données, les infections par logiciels malveillants affectant les Données Client, et l'exposition accidentelle de données. | | « Services » | Les services de cybersécurité fournis par Enigma Labs au Client tels que décrits dans l'Accord Principal, y compris mais non limité à la détection de menaces par IA, la surveillance de réseau, l'analyse de vulnérabilités, la gestion des identités et des accès, et les rapports de conformité. | | « CCT » | Les Clauses Contractuelles Types de l'UE pour le transfert de données personnelles vers des pays tiers en vertu du Règlement (UE) 2016/679, telles que définies dans la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021. | | « Sous-Traitant Ultérieur » | Tout Sous-Traitant engagé par Enigma Labs pour traiter les Données Client pour le compte du Client. | | « Autorité de Contrôle » | Une autorité publique indépendante établie par un État membre de l'UE conformément à l'article 51 du RGPD. | | « RGPD britannique » | Le Règlement Général sur la Protection des Données du Royaume-Uni, dans sa forme intégrante du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'article 3 de la loi sur le retrait de l'Union européenne 2018. |

2.1 Rôle des Parties

Les parties reconnaissent et conviennent que :

(a) Client en tant que Responsable du Traitement : Le Client agit en tant que Responsable du Traitement des Données Client. Le Client détermine les finalités et les moyens du traitement des Données Client et est responsable de s'assurer qu'il dispose d'une base juridique valide pour un tel traitement conformément à la Législation Applicable en Protection des Données.

(b) Enigma Labs en tant que Sous-Traitant : Enigma Labs agit en tant que Sous-Traitant des Données Client. Enigma Labs traitera les Données Client uniquement sur instructions documentées du Client, y compris tel que stipulé dans le présent CST, l'Accord Principal, et dans la mesure nécessaire pour fournir les Services.

(c) Portée du Traitement : Le présent CST s'applique à tout traitement des Données Client par Enigma Labs dans le cadre de la fourniture des Services, indépendamment du lieu où ce traitement a lieu.

2.2 Référence à l'Accord Principal

Le présent CST est incorporé dans l'Accord Principal conclu entre les parties et en constitue une partie intégrante. En cas de conflit entre les dispositions du présent CST et l'Accord Principal concernant la protection des Données Personnelles, les dispositions du présent CST prévaudront.

2.3 Enigma Labs en tant que Responsable du Traitement

Aucune disposition du présent CST n'affecte le statut d'Enigma Labs en tant que Responsable du Traitement concernant ses propres informations de contact client (telles que les informations de compte, les détails de facturation et les communications commerciales), qui sont traitées conformément à la Politique de Confidentialité d'Enigma Labs.

3.1 Instructions Documentées

Enigma Labs traitera les Données Client uniquement sur instructions documentées du Client, y compris en ce qui concerne les transferts de Données Client vers des pays tiers ou des organisations internationales, sauf obligation de le faire en vertu de la Législation Applicable en Protection des Données ou de la loi néerlandaise.

3.2 Instructions Réputées

Les instructions du Client à Enigma Labs pour le traitement des Données Client sont réputées être données par :

(a) Le présent Contrat de Sous-Traitance ;

(b) L'Accord Principal (Conditions Générales d'Utilisation) ;

(c) L'utilisation par le Client des Services et des fonctionnalités de la plateforme conformément à la documentation ;

(d) Toute instruction écrite fournie par le Client à Enigma Labs via des canaux autorisés.

3.3 Conformité aux Instructions

Enigma Labs informera rapidement le Client si, selon son avis, une instruction enfreint la Législation Applicable en Protection des Données, sauf si Enigma Labs est interdit de notifier le Client pour des motifs importants d'intérêt public.

3.4 Légalité des Instructions

Le Client garantit et déclare que :

(a) Il a obtenu tous les consentements nécessaires et/ou dispose d'une autre base juridique valide pour le traitement des Données Client conformément à la Législation Applicable en Protection des Données ;

(b) Ses instructions à Enigma Labs pour le traitement des Données Client sont conformes à la Législation Applicable en Protection des Données ;

(c) Il a fourni aux Personnes Concernées les informations appropriées concernant le traitement de leurs Données Personnelles conformément à la Législation Applicable en Protection des Données.

3.5 Instructions Supplémentaires

Si le Client exige qu'Enigma Labs traite les Données Client d'une manière qui dépasse la portée des instructions réputées définies à la section 3.2, le Client fournira ces instructions supplémentaires par écrit. Enigma Labs évaluera sa capacité à se conformer à ces instructions supplémentaires et informera le Client de tout coût supplémentaire ou exigence technique dans un délai raisonnable.

Enigma Labs s'engage à respecter les obligations énoncées à l'article 28(3) du RGPD et doit :

4.1 Traiter Uniquement sur Instructions Documentées

Traiter les Données Client uniquement sur instructions documentées du Client, y compris en ce qui concerne les transferts de Données Client vers des pays tiers ou des organisations internationales, sauf lorsque la loi l'exige en vertu de la Législation Applicable en Protection des Données.

4.2 Garantir la Confidentialité du Personnel

Prendre des mesures raisonnables pour garantir la fiabilité de tout personnel ayant accès aux Données Client et s'assurer que tout ce personnel :

(a) Est lié par des obligations de confidentialité concernant les Données Client ;

(b) A reçu une formation appropriée sur la protection des données et la sécurité ;

(c) N'accède aux Données Client que sur la base du besoin d'en connaître.

4.3 Mettre en Œuvre des Mesures de Sécurité Appropriées

Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, tel que décrit plus en détail à l'Annexe 2 (Mesures Techniques et Organisationnelles).

4.4 Respecter les Conditions des Sous-Traitants Ultérieurs

Ne pas engager un autre Sous-Traitant (Sous-Traitant Ultérieur) sans l'autorisation écrite préalable spécifique ou générale du Client, conformément à la section 6 (Sous-Traitants Ultérieurs).

4.5 Aider à l'Exercice des Droits des Personnes Concernées

Compte tenu de la nature du traitement, aider le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Client de répondre aux demandes d'exercice des droits des Personnes Concernées en vertu du chapitre III du RGPD.

4.6 Aider à la Sécurité, la Notification de Violation et les AIPD

Compte tenu de la nature du traitement et des informations disponibles pour Enigma Labs :

(a) Aider le Client à garantir la conformité avec les obligations prévues aux articles 32 à 36 du RGPD concernant la sécurité du traitement, la notification de violation de données et les analyses d'impact relatives à la protection des données ;

(b) Fournir au Client toutes les informations nécessaires pour démontrer la conformité avec les obligations énoncées à l'article 28 du RGPD ;

(c) Permettre et contribuer aux audits, y compris les inspections, menés par le Client ou un autre auditeur mandaté par le Client conformément à la section 11 (Droits d'Audit).

4.7 Supprimer ou Restituer les Données Après la Fin des Services

Au choix du Client, supprimer ou restituer toutes les Données Client au Client après la fin de la fourniture des Services liés au traitement, et supprimer les copies existantes, sauf si la Législation Applicable en Protection des Données exige la conservation des Données Personnelles, conformément à la section 12 (Conservation et Suppression des Données).

4.8 Informer le Responsable du Traitement de la Non-Conformité

Informer immédiatement le Client si, selon l'avis d'Enigma Labs, une instruction enfreint la Législation Applicable en Protection des Données ou d'autres dispositions du droit de l'UE ou du droit d'un État membre.

5.1 Obligation Générale de Sécurité

Enigma Labs doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Client contre tout traitement non autorisé ou illicite et contre toute perte, destruction, dommage, vol, altération ou divulgation accidentels. Ces mesures doivent garantir un niveau de sécurité adapté au préjudice qui pourrait résulter de tels événements et à la nature des Données Client à protéger.

5.2 Mesures Techniques et Organisationnelles

Les mesures techniques et organisationnelles spécifiques mises en œuvre par Enigma Labs sont détaillées à l'Annexe 2 (Mesures Techniques et Organisationnelles). Ces mesures incluent, sans s'y limiter :

(a) Les contrôles d'accès et les mécanismes d'authentification ;

(b) Le chiffrement des données en transit et au repos ;

(c) La sécurité et la surveillance du réseau ;

(d) Les pratiques de sécurité des applications ;

(e) La protection et la minimisation des données ;

(f) La journalisation et la surveillance des événements de sécurité ;

(g) Les contrôles de sécurité physique ;

(h) Les mesures de continuité des activités et de reprise après sinistre.

5.3 Tests et Évaluation Réguliers

Enigma Labs doit tester, évaluer et contrôler régulièrement l'efficacité de ses mesures techniques et organisationnelles pour garantir la sécurité du traitement. Cela inclut :

(a) Des évaluations de vulnérabilité et des tests d'intrusion réguliers ;

(b) Des audits de sécurité et des révisions de conformité ;

(c) Des tests et des simulations de réponse aux incidents ;

(d) La révision et la mise à jour des politiques et procédures de sécurité.

5.4 Sécurité du Personnel

Enigma Labs doit s'assurer que tout le personnel ayant accès aux Données Client :

(a) Subit des vérifications d'antécédents lorsque la loi le permet et que cela est approprié pour son rôle ;

(b) Reçoit une formation régulière sur la sensibilisation à la sécurité et à la protection des données ;

(c) Est lié par des obligations de confidentialité (contractuelles ou légales).

5.5 Documentation de Sécurité

Enigma Labs doit maintenir une documentation de ses mesures de sécurité et la mettre à disposition du Client sur demande, sous réserve des obligations de confidentialité énoncées dans l'Accord Principal.

5.6 Certifications de Sécurité

Enigma Labs poursuit les certifications de sécurité suivantes pour démontrer son engagement en matière de sécurité de l'information :

| Certification | Statut | Calendrier Cible | |---------------|--------|------------------| | ISO 27001 (Gestion de la Sécurité de l'Information) | En Cours | 2026 | | ISO 27017 (Contrôles de Sécurité Cloud) | En Cours | 2026 | | ISO 27018 (Protection des Données dans le Cloud) | En Cours | 2026 |

Une fois les certifications obtenues, les certificats et les rapports d'audit pertinents seront mis à disposition des Clients sous des obligations de confidentialité appropriées.

6.1 Autorisation Générale

Le Client donne une autorisation générale à Enigma Labs pour engager des Sous-Traitants Ultérieurs afin de traiter les Données Client pour le compte du Client. La liste actuelle des Sous-Traitants Ultérieurs approuvés est énoncée à l'Annexe 3 (Sous-Traitants Ultérieurs Approuvés).

6.2 Exigences des Sous-Traitants Ultérieurs

Enigma Labs doit s'assurer que tout Sous-Traitant Ultérieur :

(a) Est lié par un contrat écrit qui impose au Sous-Traitant Ultérieur les mêmes obligations de protection des données que celles imposées à Enigma Labs en vertu du présent CST ;

(b) Traite les Données Client uniquement dans la mesure nécessaire pour effectuer les services sous-traités ;

(c) Met en œuvre des mesures de sécurité techniques et organisationnelles appropriées ;

(d) Se conforme à la Législation Applicable en Protection des Données.

6.3 Surveillance des Sous-Traitants Ultérieurs

Enigma Labs effectue des évaluations de sécurité périodiques des Sous-Traitants Ultérieurs pour garantir la conformité continue avec les exigences de sécurité et de protection des données. Cela inclut :

(a) La révision des certifications de sécurité et des rapports d'audit des Sous-Traitants Ultérieurs ;

(b) L'évaluation des pratiques et des contrôles de sécurité des Sous-Traitants Ultérieurs ;

(c) La surveillance de la conformité des Sous-Traitants Ultérieurs avec les obligations contractuelles.

6.4 Modifications de Sous-Traitants Ultérieurs

(a) Préavis : Enigma Labs doit fournir au Client un préavis écrit d'au moins sept (7) jours avant d'engager tout nouveau Sous-Traitant Ultérieur pour traiter les Données Client.

(b) Méthode de Notification : Cette notification doit être fournie par e-mail au contact désigné du Client et en mettant à jour la liste des Sous-Traitants Ultérieurs disponible à l'adresse https://enigmalabs.nl/legal/sub-processors.

(c) Droit d'Opposition : Le Client peut s'opposer à l'engagement d'un nouveau Sous-Traitant Ultérieur en fournissant un avis écrit à Enigma Labs dans les sept (7) jours suivant la réception de l'avis d'engagement proposé.

(d) Processus de Résolution : Si le Client s'oppose à un nouveau Sous-Traitant Ultérieur, les parties discuteront de l'objection de bonne foi. Si les parties ne parviennent pas à une solution mutuellement acceptable dans les quatorze (14) jours suivant la réception de l'objection par Enigma Labs, le Client peut résilier les Services concernés en fournissant un préavis écrit de trente (30) jours à Enigma Labs.

6.5 Responsabilité des Sous-Traitants Ultérieurs

Enigma Labs reste pleinement responsable envers le Client de l'exécution des obligations de tout Sous-Traitant Ultérieur en vertu du présent CST. Tout acte ou omission d'un Sous-Traitant Ultérieur est réputé être un acte ou une omission d'Enigma Labs aux fins du présent CST.

6.6 Sous-Traitants Ultérieurs Actuels

Les Sous-Traitants Ultérieurs actuellement engagés par Enigma Labs et autorisés par le Client sont répertoriés à l'Annexe 3 (Sous-Traitants Ultérieurs Approuvés).

7.1 Aide aux Demandes des Personnes Concernées

Compte tenu de la nature du traitement, Enigma Labs doit aider le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Client de répondre aux demandes des Personnes Concernées exerçant leurs droits en vertu du chapitre III du RGPD, y compris :

(a) Droit d'accès (article 15) ;

(b) Droit de rectification (article 16) ;

(c) Droit à l'effacement / « droit à l'oubli » (article 17) ;

(d) Droit à la limitation du traitement (article 18) ;

(e) Droit à la portabilité des données (article 20) ;

(f) Droit d'opposition (article 21) ;

(g) Droits relatifs à la prise de décision automatisée, y compris le profilage (article 22).

7.2 Notification des Demandes Directes

Si Enigma Labs reçoit une demande directement d'une Personne Concernée relative aux Données Client, Enigma Labs doit :

(a) Ne pas répondre à une telle demande sans l'autorisation écrite préalable du Client ;

(b) Transmettre rapidement la demande (dans les 48 heures) au Client ;

(c) Fournir au Client une coopération et une assistance raisonnables pour répondre à la demande.

7.3 Mesures Techniques

Enigma Labs doit mettre en œuvre des mesures techniques appropriées pour permettre au Client de répondre aux demandes des Personnes Concernées, y compris :

(a) Fournir des fonctionnalités pour exporter, modifier ou supprimer les Données Client selon le cas ;

(b) Maintenir des registres précis des activités de traitement ;

(c) S'assurer que les données sont stockées dans un format structuré, couramment utilisé et lisible par machine lorsque cela est approprié.

7.4 Calendrier de Réponse et Coûts

(a) Calendrier de Réponse : Enigma Labs doit répondre aux demandes d'assistance du Client concernant les droits des Personnes Concernées dans un délai de cinq (5) jours ouvrables suivant la réception de la demande.

(b) Coûts : Enigma Labs doit fournir une assistance raisonnable au Client pour répondre aux demandes des Personnes Concernées sans coût supplémentaire, à condition que ces demandes ne dépassent pas une fréquence ou un volume raisonnables (généralement, jusqu'à 10 demandes par mois).

(c) Demandes Excédentaires : Si le volume ou la complexité des demandes nécessite un effort disproportionné, les parties peuvent convenir d'arrangements appropriés de partage des coûts.

8.1 Définition d'un Incident de Sécurité

Un « Incident de Sécurité » désigne tout :

(a) Accès, acquisition, utilisation, divulgation ou destruction non autorisés réels ou raisonnablement soupçonnés des Données Client ;

(b) Événement compromettant la sécurité, la confidentialité ou l'intégrité des Données Client ;

(c) Violation de Données Personnelles telle que définie en vertu du RGPD.

Les exemples d'Incidents de Sécurité incluent, sans s'y limiter :

• Attaques par ransomware affectant les systèmes contenant des Données Client
• Accès non autorisés aux Données Client par des acteurs internes ou externes
• Exfiltration ou vol de Données Client
• Infections par logiciels malveillants affectant les systèmes traitant des Données Client
• Exposition ou divulgation accidentelle de Données Client
• Perte ou vol d'appareils contenant des Données Client

8.2 Notification d'Incident de Sécurité

(a) Calendrier : Enigma Labs doit notifier le Client sans retard injustifié et en tout état de cause dans les quarante-huit (48) heures suivant la prise de connaissance d'un Incident de Sécurité affectant les Données Client.

(b) Méthode de Notification : La notification doit être fournie par e-mail au contact de sécurité désigné du Client. Si aucun contact de sécurité n'a été désigné, la notification sera envoyée à l'Administrateur de Compte.

(c) Contenu de la Notification : La notification doit inclure, dans la mesure où ces informations sont disponibles :

(i) Une description de la nature de l'Incident de Sécurité, y compris les catégories et le nombre approximatif de Personnes Concernées concernées et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;

(ii) Les conséquences probables de l'Incident de Sécurité ;

(iii) Les mesures prises ou proposées par Enigma Labs pour remédier à l'Incident de Sécurité, y compris les mesures pour atténuer ses effets préjudiciables éventuels ;

(iv) Les coordonnées pour plus d'informations (y compris legal@enigmalabs.nl et dpo@enigmalabs.nl).

(d) Mises à Jour Continues : Enigma Labs doit fournir des mises à jour au Client lorsque de nouvelles informations pertinentes pour l'Incident de Sécurité deviennent disponibles, au moins toutes les 24 heures pendant la réponse active à l'incident et selon les besoins par la suite.

8.3 Limitations de Notification

L'obligation d'Enigma Labs de signaler ou de répondre à un Incident de Sécurité en vertu de la présente section ne constitue pas et ne sera pas interprétée comme une reconnaissance par Enigma Labs de toute faute ou responsabilité concernant l'Incident de Sécurité.

8.4 Coopération et Remédiation

Enigma Labs doit :

(a) Coopérer avec le Client et prendre les mesures commerciales raisonnables dirigées par le Client pour aider à l'enquête, à l'atténuation et à la remédiation de chaque Incident de Sécurité ;

(b) Mettre en œuvre des mesures appropriées pour prévenir la récurrence d'Incidents de Sécurité similaires ;

(c) Fournir au Client les informations raisonnablement demandées pour permettre au Client de se conformer à ses obligations de notification envers les Autorités de Contrôle et les Personnes Concernées en vertu des articles 33 et 34 du RGPD.

8.5 Documentation et Registres

Enigma Labs doit maintenir des registres de tous les Incidents de Sécurité affectant les Données Client, y compris :

(a) Les faits relatifs à l'Incident de Sécurité ;

(b) Les effets de l'Incident de Sécurité ;

(c) Les mesures correctives prises.

Ces registres doivent être mis à disposition du Client sur demande et des Autorités de Contrôle sur demande.

9.1 Assistance aux AIPD

Compte tenu de la nature du traitement et des informations disponibles pour Enigma Labs, Enigma Labs doit aider le Client pour toute analyse d'impact relative à la protection des données (« AIPD ») que le Client est tenu de mener en vertu de l'article 35 du RGPD, y compris en fournissant :

(a) Des informations sur les Services et la manière dont les Données Client sont traitées ;

(b) Des informations sur les mesures de sécurité techniques et organisationnelles mises en œuvre ;

(c) Des informations sur les Sous-Traitants Ultérieurs et leurs activités de traitement ;

(d) Toute autre information raisonnablement nécessaire pour que le Client mène son AIPD.

9.2 Consultation Préalable

Si une AIPD indique que le traitement entraînerait un risque élevé pour les droits et libertés des Personnes Concernées en l'absence de mesures prises par le Client pour atténuer le risque, et que le Client est tenu de consulter une Autorité de Contrôle en vertu de l'article 36 du RGPD, Enigma Labs doit fournir une assistance raisonnable au Client pour une telle consultation.

9.3 Fourniture d'Informations

Enigma Labs doit répondre aux demandes raisonnables d'informations en lien avec les AIPD dans un délai raisonnable, ne dépassant pas quinze (15) jours ouvrables à compter de la réception de la demande.

10.1 Engagement d'Hébergement dans l'UE

Enigma Labs héberge les Données Client au sein de l'Union Européenne en utilisant l'infrastructure cloud Scaleway située à Paris, France, et Amsterdam, Pays-Bas. Sauf accord écrit contraire, toutes les Données Client sont stockées et traitées au sein de l'EEE.

10.2 Transferts Hors de l'EEE

Lorsqu'Enigma Labs transfère des Données Client vers un pays hors de l'EEE (un « Pays Tiers »), ce transfert ne peut être effectué que conformément à la Législation Applicable en Protection des Données et selon l'un des mécanismes de transfert suivants :

(a) Une décision d'adéquation de la Commission européenne en vertu de l'article 45 du RGPD ;

(b) Les Clauses Contractuelles Types de l'UE (CCT) adoptées par la Commission européenne en vertu de l'article 46(2)(c) du RGPD ;

(c) Des Règles d'Entreprise Contraignantes approuvées par une Autorité de Contrôle compétente en vertu de l'article 46(2)(b) du RGPD ;

(d) Tout autre mécanisme de transfert valide reconnu par la Législation Applicable en Protection des Données.

10.3 Clauses Contractuelles Types

Les Clauses Contractuelles Types de l'UE (Décision d'exécution (UE) 2021/914 de la Commission) sont incorporées par référence dans le présent CST et en constituent une partie intégrante. Les CCT sont jointes en tant qu'Annexe 4 et s'appliquent à tout transfert de Données Client vers des Sous-Traitants Ultérieurs situés hors de l'EEE.

10.4 Évaluations d'Impact des Transferts

Enigma Labs doit effectuer des évaluations d'impact des transferts (EIT) pour tout transfert de Données Client vers des Sous-Traitants Ultérieurs hors de l'EEE, en tenant compte des circonstances du transfert et des lois et pratiques du pays de destination. Les résultats de ces évaluations seront mis à disposition du Client sur demande, sous réserve des obligations de confidentialité.

10.5 Mesures Complémentaires

Lorsque la Législation Applicable en Protection des Données ou le résultat d'une EIT l'exige, Enigma Labs doit mettre en œuvre des mesures complémentaires appropriées pour garantir un niveau de protection essentiellement équivalent pour les Données Client transférées hors de l'EEE.

10.6 Résolution des Conflits

En cas de conflit entre les dispositions des CCT et les autres dispositions du présent CST, les dispositions des CCT prévaudront.

11.1 Documentation et Preuve de Conformité

Enigma Labs doit mettre à disposition du Client toutes les informations nécessaires pour démontrer la conformité avec les obligations énoncées à l'article 28 du RGPD et au présent CST, et doit permettre et contribuer aux audits, y compris les inspections, menés par le Client ou un autre auditeur mandaté par le Client.

11.2 Méthode Principale d'Audit : Rapports de Tiers

Comme moyen principal de démontrer la conformité, Enigma Labs doit fournir au Client :

(a) Des copies des certificats ISO 27001, ISO 27017 et ISO 27018 (une fois obtenus) ;

(b) Des copies des rapports SOC 2 Type II (une fois obtenus) ;

(c) Des réponses aux questionnaires de sécurité raisonnables (jusqu'à 100 questions par an) ;

(d) Des preuves de conformité sur demande raisonnable.

Enigma Labs poursuit actuellement les certifications ISO 27001, ISO 27017 et ISO 27018, avec une finalisation prévue en 2026.

11.3 Audits sur Site

Les audits sur site des installations et des opérations d'Enigma Labs ne sont autorisés que si :

(a) Les informations fournies en vertu de la section 11.2 sont insuffisantes pour démontrer la conformité avec le présent CST ;

(b) Suite à un Incident de Sécurité confirmé affectant les Données Client ;

(c) Exigé par la Législation Applicable en Protection des Données ou une autorité réglementaire.

11.4 Conditions des Audits sur Site

Tout audit sur site est soumis aux conditions suivantes :

(a) Préavis : Le Client doit fournir un préavis écrit d'au moins trente (30) jours avant l'audit proposé ;

(b) Horaires : L'audit doit être effectué pendant les heures de travail normales d'Enigma Labs ;

(c) Confidentialité : Le Client et ses auditeurs sont liés par des obligations de confidentialité concernant toute information propriétaire ou confidentielle d'Enigma Labs consultée pendant l'audit ;

(d) Répartition des Coûts : Le Client supporte tous les coûts associés à l'audit, sauf si l'audit révèle une non-conformité matérielle d'Enigma Labs avec ses obligations en vertu du présent CST, auquel cas Enigma Labs supporte ses propres coûts ;

(e) Portée : La portée de l'audit est limitée aux activités de traitement pertinentes pour les Données Client ;

(f) Fréquence : Sauf pour les audits déclenchés par un Incident de Sécurité ou exigés par la loi, le Client ne peut effectuer plus d'un (1) audit sur site par année civile.

11.5 Rapports d'Audit

Enigma Labs doit fournir au Client un rapport écrit de tout audit effectué par Enigma Labs ou un tiers pertinent pour le traitement des Données Client, sous réserve des obligations de confidentialité.

11.6 Coopération

Enigma Labs doit coopérer raisonnablement avec le Client et ses auditeurs pendant tout audit, y compris en :

(a) Fournissant l'accès au personnel pertinent ;

(b) Fournissant l'accès à la documentation et aux registres pertinents ;

(c) Répondant aux questions et fournissant des explications.

12.1 Durée du Traitement

Enigma Labs doit traiter les Données Client uniquement pendant la durée de l'Accord Principal, sauf instruction contraire du Client ou exigence de la Législation Applicable en Protection des Données.

12.2 Période d'Exportation des Données

Lors de la résiliation ou de l'expiration de l'Accord Principal, ou sur demande écrite du Client, le Client dispose de trente (30) jours pour exporter ou récupérer les Données Client des Services.

12.3 Suppression des Données

(a) Calendrier : Suite à l'expiration de la période d'exportation définie à la section 12.2, Enigma Labs doit supprimer toutes les Données Client dans les quatre-vingt-dix (90) jours, sauf si :

(i) Le Client demande une suppression antérieure ;

(ii) La Législation Applicable en Protection des Données exige la conservation des Données Personnelles ;

(iii) Les données ont été anonymisées ou agrégées de telle sorte qu'elles ne constituent plus des Données Personnelles.

(b) Méthode : La suppression doit être effectuée en utilisant des méthodes de suppression sécurisées conformes aux normes de l'industrie qui rendent les données irrécupérables.

(c) Exceptions : Enigma Labs peut conserver les Données Client au-delà de la période de suppression dans la mesure où la Législation Applicable en Protection des Données l'exige, y compris pour :

(i) La conformité avec des obligations légales ;

(ii) L'établissement, l'exercice ou la défense de réclamations juridiques ;

(iii) Des analyses et des fins statistiques anonymisées.

12.4 Confirmation de Suppression

Sur demande écrite du Client, Enigma Labs doit fournir une confirmation écrite que les Données Client ont été supprimées conformément à la présente section, à condition que cette demande soit faite dans les soixante (60) jours suivant la date de suppression.

12.5 Restitution des Données

Sur demande écrite du Client avant la résiliation, Enigma Labs doit restituer les Données Client au Client dans un format structuré, couramment utilisé et lisible par machine, au lieu de ou en plus de la suppression.

13.1 Plafond de Responsabilité

Sous réserve de la section 13.2, la responsabilité globale de chaque partie découlant du présent CST ou s'y rapportant, que ce soit en contrat, en délit ou sous toute autre théorie de responsabilité, est limitée dans la même mesure que celle définie dans l'Accord Principal. Pour plus de clarté, le plafond de responsabilité en vertu de l'Accord Principal est de douze (12) mois de Frais payés par le Client à Enigma Labs en vertu de l'Accord Principal au cours des douze (12) mois précédant l'événement donnant lieu à responsabilité.

13.2 Exclusions du Plafond de Responsabilité

Le plafond de responsabilité de la section 13.1 ne s'applique pas à :

(a) La négligence grave ou la faute intentionnelle de l'une ou l'autre partie ;

(b) Les violations des obligations de confidentialité ;

(c) Les obligations d'indemnisation ;

(d) Les violations qui ne peuvent pas être limitées en vertu de la Législation Applicable en Protection des Données, y compris le RGPD ;

(e) Le décès ou les blessures corporelles causés par négligence ;

(f) La fraude ou la fausse déclaration frauduleuse.

13.3 Répartition des Amendes Réglementaires

(a) Chaque partie est seule responsable de toutes les amendes, pénalités ou autres sanctions imposées par une Autorité de Contrôle ou un autre organisme réglementaire découlant de ses propres violations de la Législation Applicable en Protection des Données.

(b) Le Client doit indemniser et garantir Enigma Labs contre toutes les amendes, pénalités ou sanctions imposées à Enigma Labs découlant de :

(i) Les instructions illégales du Client ;

(ii) Le manquement du Client à respecter ses obligations en tant que Responsable du Traitement en vertu de la Législation Applicable en Protection des Données ;

(iii) Le manquement du Client à fournir des informations appropriées aux Personnes Concernées.

(c) Enigma Labs doit indemniser et garantir le Client contre toutes les amendes, pénalités ou sanctions imposées au Client découlant du manquement d'Enigma Labs à respecter ses obligations en tant que Sous-Traitant en vertu du présent CST et de la Législation Applicable en Protection des Données.

13.4 Indemnisation pour les Réclamations des Personnes Concernées

(a) Le Client doit indemniser et défendre Enigma Labs contre toutes les réclamations, dommages et dépenses (y compris les honoraires juridiques raisonnables) intentées par des Personnes Concernées ou des tiers découlant de :

(i) Les instructions du Client à Enigma Labs ;

(ii) Le manquement du Client à respecter ses obligations en vertu de la Législation Applicable en Protection des Données.

(b) Enigma Labs doit indemniser et défendre le Client contre toutes les réclamations, dommages et dépenses (y compris les honoraires juridiques raisonnables) intentées par des Personnes Concernées ou des tiers découlant du manquement d'Enigma Labs à respecter ses obligations en vertu du présent CST.

13.5 Aucune Indemnisation pour les Pénalités Réglementaires

Nonobstant toute autre disposition du présent CST, aucune partie n'indemnise l'autre pour les amendes ou pénalités réglementaires imposées par une Autorité de Contrôle pour les violations du RGPD ou d'autres Législations Applicables en Protection des Données.

14.1 Date d'Entrée en Vigueur

Le présent CST entre en vigueur à la date la plus ancienne des suivantes :

(a) La date à laquelle l'Accord Principal est exécuté par les deux parties ;

(b) La date à laquelle le Client utilise les Services pour la première fois.

14.2 Durée

Le présent CST reste en vigueur pendant la durée de l'Accord Principal et se termine automatiquement lors de la résiliation ou de l'expiration de l'Accord Principal, à l'exception des dispositions qui, par leur nature, devraient survivre à la résiliation.

14.3 Dispositions Survivantes

Les dispositions suivantes survivront à la résiliation du présent CST :

(a) Section 12 (Conservation et Suppression des Données) ;

(b) Section 13 (Responsabilité) ;

(c) Section 15 (Dispositions Générales) ;

(d) Toute autre disposition qui, par sa nature, devrait survivre à la résiliation.

14.4 Effet sur l'Accord Principal

La résiliation du présent CST n'affecte pas l'Accord Principal, qui continuera de plein effet selon ses termes. Cependant, si le Client résilie le présent CST en raison d'une violation matérielle d'Enigma Labs qui ne peut pas être corrigée, le Client peut également résilier l'Accord Principal pour cause.

15.1 Intégralité de l'Accord

Le présent CST, ainsi que l'Accord Principal, constitue l'intégralité de l'accord entre les parties concernant l'objet du présent document et remplace tous les accords, ententes, négociations et discussions antérieurs, qu'ils soient oraux ou écrits, relatifs à cet objet.

15.2 Modifications

Aucune modification, révision ou renonciation à une disposition du présent CST n'est effective à moins d'être faite par écrit et signée par des représentants autorisés des deux parties. Enigma Labs peut mettre à jour le présent CST de temps à autre pour refléter les changements dans la Législation Applicable en Protection des Données ou les Services. Le Client sera informé des modifications substantielles au moins trente (30) jours avant leur entrée en vigueur.

15.3 Divisibilité

Si une disposition du présent CST est jugée invalide, illégale ou inapplicable par un tribunal compétent, cette disposition est réputée modifiée dans la mesure minimale nécessaire pour la rendre valide, légale et applicable, ou si une telle modification n'est pas possible, cette disposition est réputée séparée du présent CST, et les dispositions restantes continueront de plein effet.

15.4 Aucun Bénéficiaire Tiers

Le présent CST est conclu pour le bénéfice des parties et de leurs successeurs et cessionnaires autorisés respectifs. Aucune disposition du présent CST ne doit être interprétée comme créant des droits ou des obligations pour un tiers, y compris les Personnes Concernées, sauf disposition expresse contraire.

15.5 Ordre de Préséance

En cas de conflit ou d'incohérence entre les dispositions du présent CST et :

(a) L'Accord Principal : Les dispositions du présent CST prévaudront en ce qui concerne les questions de protection des données ;

(b) Les CCT (Annexe 4) : Les dispositions des CCT prévaudront.

15.6 Droit Applicable

Le présent CST est régi et interprété conformément au droit néerlandais, sans égard à ses principes de conflit de lois.

15.7 Résolution des Litiges

Tout litige découlant du présent CST ou s'y rapportant, y compris toute question concernant son existence, sa validité ou sa résiliation, sera finalement résolu par arbitrage conformément aux Règles d'Arbitrage de l'Institut Néerlandais d'Arbitrage (NAI). Le tribunal arbitral sera composé d'un seul arbitre. Le siège de l'arbitrage sera Amsterdam, Pays-Bas. La langue de l'arbitrage sera l'anglais.

15.8 Renonciation

Aucune renonciation à une disposition du présent CST n'est effective à moins d'être faite par écrit et signée par la partie renonçante. Aucun manquement ou retard de l'une ou l'autre partie dans l'exercice d'un droit, d'un pouvoir ou d'un recours en vertu du présent CST ne constitue une renonciation à celui-ci, et aucun exercice unique ou partiel d'un tel droit, pouvoir ou recours ne prive la partie de tout autre exercice ultérieur.

15.9 Cession

Enigma Labs peut céder le présent CST à toute société affiliée ou dans le cadre d'une fusion, d'une acquisition, d'une réorganisation sociétaire ou d'une vente de tout ou de la quasi-totalité de ses actifs. Le Client ne peut pas céder le présent CST sans le consentement écrit préalable d'Enigma Labs, sauf à une société affiliée ou dans le cadre d'une fusion, d'une acquisition ou d'une vente de tout ou de la quasi-totalité de ses actifs.

15.10 Notifications

Toutes les notifications en vertu du présent CST doivent être faites par écrit et remises aux adresses indiquées à la section 16 (Coordonnées) ou à toute autre adresse que l'une ou l'autre partie peut désigner par notification écrite. Les notifications sont réputées données :

(a) Lorsqu'elles sont remises en personne ;

(b) Trois (3) jours ouvrables après avoir été envoyées par courrier recommandé ;

(c) Un (1) jour ouvrable après avoir été envoyées par e-mail avec accusé de réception.

16.1 Demandes Concernant le CST

Pour toute question ou demande concernant le présent Contrat de Sous-Traitance, veuillez contacter :

| Méthode de Contact | Détails | |--------------------|---------| | E-mail | legal@enigmalabs.nl | | Adresse Postale | Enigma Labs BV, À l'attention de : Service Juridique, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas |

16.2 Délégué à la Protection des Données (DPD)

Enigma Labs a nommé volontairement un Délégué à la Protection des Données qui peut être contacté pour les questions relatives à la protection des données :

| Méthode de Contact | Détails | |--------------------|---------| | E-mail | dpo@enigmalabs.nl | | Adresse Postale | Enigma Labs BV, À l'attention de : Délégué à la Protection des Données, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas |

16.3 Contact Désigné par le Client

Le Client doit désigner un contact principal pour les questions relatives au CST, y compris les notifications d'Incidents de Sécurité et les notifications de modification de Sous-Traitants Ultérieurs. Le Client doit fournir à Enigma Labs le nom et l'adresse e-mail de ce contact et informer rapidement Enigma Labs de tout changement.

16.4 Contacts Alternatifs

Pour les questions urgentes, les contacts suivants sont disponibles :

| Objectif | Contact | |----------|---------| | Incidents de Sécurité | security@enigmalabs.nl | | Support Général | support@enigmalabs.nl | | Demandes de Confidentialité | privacy@enigmalabs.nl |

17.1 Accord Contraignant

Le présent CST est conclu et devient juridiquement contraignant à la date la plus ancienne des suivantes :

(a) L'acceptation électronique du présent CST par le Client via les Services ;

(b) L'exécution par le Client d'un Accord Principal (Conditions Générales d'Utilisation ou autre accord-cadre) qui incorpore le présent CST par référence ;

(c) La première utilisation des Services par le Client après la mise à disposition du présent CST.

17.2 Aucune Signature Physique Requise

Aucune signature physique n'est requise pour que le présent CST soit juridiquement contraignant. L'acceptation électronique, y compris le fait de cliquer sur « J'accepte » ou une reconnaissance similaire, ou l'utilisation des Services après la mise à disposition du présent CST, constitue une acceptation valide en vertu du droit néerlandais et des réglementations applicables du commerce électronique de l'UE.

17.3 Exemplaires

Si les parties choisissent d'exécuter le présent CST en exemplaires (par exemple, dans le cadre d'un Bon de Commande ou d'un accord d'entreprise), chaque exemplaire est réputé être un original, et tous les exemplaires ensemble constituent un seul et même accord.

17.4 Autorité

Chaque partie déclare et garantit que :

(a) Elle a le pouvoir et l'autorité juridiques pour conclure le présent CST ;

(b) La personne acceptant le présent CST au nom de la partie est autorisée à le faire ;

(c) Le présent CST constitue une obligation juridique, valide et contraignante.

La présente Annexe 1 décrit le traitement des Données Client tel que requis par l'article 28(3) du RGPD.

A1.1 Objet

L'objet du traitement est la fourniture des services de plateforme SaaS de cybersécurité d'Enigma Labs au Client, y compris la détection de menaces par IA, la surveillance de réseau, l'analyse de vulnérabilités, la gestion des identités et des accès, les rapports de conformité, et les services connexes.

A1.2 Durée

La durée du traitement est celle de l'Accord Principal (Conditions Générales d'Utilisation), y compris toute période de renouvellement, plus la période de conservation des données spécifiée à la section 12 du présent CST.

A1.3 Nature et Finalité du Traitement

| Élément | Détails | |---------|---------| | Nature du Traitement | Collecte, stockage, analyse, alerte, reporting et suppression de données liées à la sécurité. | | Finalité du Traitement | Fournir les services de cybersécurité décrits dans l'Accord Principal, y compris : détection et réponse aux menaces, surveillance et analyse de réseau, évaluation des vulnérabilités, gestion des identités et des accès, rapports de conformité, et automatisation du centre des opérations de sécurité. |

A1.4 Types de Données Personnelles

Les types suivants de Données Personnelles peuvent être traités dans le cadre des Services :

| Catégorie | Exemples | |-----------|----------| | Identifiants des Employés | Noms, noms d'utilisateur, identifiants d'employé, adresses e-mail, intitulés de poste, informations de département | | Identifiants de Réseau | Adresses IP, identifiants d'appareil, adresses MAC, noms d'hôte, identifiants de session réseau | | Données d'Authentification | Horodatages de connexion, horodatages de déconnexion, informations de session, jetons d'authentification, statut d'authentification multi-facteurs | | Données d'Événements de Sécurité | Journaux d'accès, alertes de menaces, données de détection d'anomalies, enregistrements d'incidents de sécurité, pistes d'audit | | Données de Gestion des Identités et des Accès | Rôles utilisateur, autorisations, appartenances aux groupes, droits d'accès, niveaux de privilèges |

A1.5 Catégories de Personnes Concernées

Les Données Personnelles traitées concernent les catégories suivantes de Personnes Concernées :

| Catégorie | Description | |-----------|-------------| | Employés du Client | Employés du Client utilisant les systèmes ou réseaux surveillés par les Services | | Prestataires et Consultants du Client | Prestataires, consultants et travailleurs temporaires tiers ayant accès aux systèmes du Client | | Utilisateurs Finaux du Client | Utilisateurs finaux des produits ou services du Client, le cas échéant | | Utilisateurs de Réseau | Toute personne dont les données transitent par le réseau surveillé du Client |

A1.6 Obligations du Responsable du Traitement

Le Client (Responsable du Traitement) doit :

(a) S'assurer qu'il dispose d'une base juridique valide pour le traitement des Données Client en vertu de la Législation Applicable en Protection des Données ;

(b) Fournir aux Personnes Concernées les informations appropriées concernant le traitement de leurs Données Personnelles ;

(c) S'assurer que ses instructions à Enigma Labs sont conformes à la Législation Applicable en Protection des Données ;

(d) Obtenir tous les consentements ou autorisations nécessaires pour le traitement des Données Client ;

(e) Se conformer à toutes les autres obligations applicables aux Responsables du Traitement en vertu de la Législation Applicable en Protection des Données.

A1.7 Obligations du Sous-Traitant

Enigma Labs (Sous-Traitant) doit :

(a) Traiter les Données Client uniquement sur instructions documentées du Client ;

(b) Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées ;

(c) Garantir la confidentialité du personnel ayant accès aux Données Client ;

(d) N'engager des Sous-Traitants Ultérieurs que conformément à la section 6 du présent CST ;

(e) Aider le Client à répondre aux demandes des Personnes Concernées ;

(f) Aider le Client avec les obligations de sécurité, la notification de violation et les AIPD ;

(g) Supprimer ou restituer les Données Client à la fin de la fourniture des Services ;

(h) Fournir des informations pour démontrer la conformité avec l'article 28 du RGPD ;

(i) Permettre et contribuer aux audits et inspections.

La présente Annexe 2 décrit les mesures de sécurité techniques et organisationnelles mises en œuvre par Enigma Labs pour protéger les Données Client, telles que requises par l'article 32 du RGPD.

A2.1 Mesures Organisationnelles

| Mesure | Mise en Œuvre | |--------|---------------| | Politiques de Sécurité de l'Information | Enigma Labs maintient des politiques de sécurité de l'information complètes alignées sur les normes ISO 27001, couvrant des domaines tels que le contrôle d'accès, la gestion des actifs, la cryptographie, la sécurité physique, la sécurité des opérations, la sécurité des communications et la gestion des incidents. | | Rôles et Responsabilités de Sécurité | Des rôles et responsabilités de sécurité clairs sont définis, y compris un Responsable de la Sécurité de l'Information désigné chargé de superviser le programme de sécurité de l'information. | | Vérifications d'Antécédents des Employés | Des vérifications d'antécédents sont effectuées sur les employés ayant accès aux Données Client, lorsque la loi applicable le permet et que cela est approprié pour leur rôle. | | Formation à la Sensibilisation à la Sécurité | Tous les employés ayant accès aux Données Client reçoivent une formation régulière à la sensibilisation à la sécurité et à la protection des données, y compris une formation sur le hameçonnage, la sécurité des mots de passe et la déclaration des incidents. | | Accords de Confidentialité | Tous les employés et prestataires ayant accès aux Données Client sont liés par des obligations de confidentialité, contractuelles ou légales. | | Procédures de Réponse aux Incidents | Des procédures de réponse aux incidents documentées sont en place pour détecter, répondre et se remettre des Incidents de Sécurité. Des tests et des simulations réguliers sont menés. | | Planification de la Continuité des Activités | Des plans de continuité des activités et de reprise après sinistre sont maintenus et régulièrement testés pour garantir la disponibilité des Services et la protection des Données Client. | | Gestion des Risques Fournisseurs | Un programme de gestion des risques fournisseurs est en place pour évaluer et surveiller les pratiques de sécurité des Sous-Traitants Ultérieurs et autres fournisseurs de services tiers. | | Évaluations de Sécurité Régulières | Des évaluations de sécurité régulières, y compris des analyses de vulnérabilité et des tests d'intrusion, sont menées pour identifier et remédier aux failles de sécurité. |

A2.2 Mesures Techniques

Contrôle d'Accès

| Contrôle | Mise en Œuvre | |----------|---------------| | Contrôle d'Accès Basé sur les Rôles (RBAC) | L'accès aux Données Client est accordé en fonction des rôles et responsabilités professionnels, suivant le principe du moindre privilège. | | Principe du Moindre Privilège | Les utilisateurs se voient accorder uniquement les droits d'accès minimums nécessaires pour exercer leurs fonctions professionnelles. | | Authentification Multi-Facteurs (AMF) | L'AMF est requise pour tout accès administratif aux systèmes contenant des Données Client. | | Identifiants Utilisateurs Uniques | Chaque utilisateur dispose d'un identifiant unique pour accéder aux systèmes et applications. | | Révisions d'Accès | Des révisions d'accès régulières sont menées pour s'assurer que les droits d'accès restent appropriés et pour supprimer l'accès des employés licenciés ou ayant changé de rôle. | | Gestion des Accès Privilégiés | Des contrôles renforcés sont en place pour les comptes privilégiés, y compris une surveillance supplémentaire et des flux de travail d'approbation. |

Chiffrement

| Contrôle | Mise en Œuvre | |----------|---------------| | Données en Transit | Toutes les données transmises entre le Client et les systèmes d'Enigma Labs sont chiffrées en utilisant TLS 1.2 ou supérieur. | | Données au Repos | Les Données Client stockées par Enigma Labs sont chiffrées en utilisant AES-256 ou un chiffrement équivalent. | | Gestion des Clés | Les clés de chiffrement sont gérées de manière sécurisée selon les pratiques de l'industrie, y compris la rotation des clés et le stockage sécurisé. | | Gestion des Certificats | Les certificats SSL/TLS sont correctement gérés, surveillés pour leur expiration, et renouvelés selon les besoins. |

Sécurité du Réseau

| Contrôle | Mise en Œuvre | |----------|---------------| | Pare-feu | Des pare-feu réseau sont déployés pour contrôler et surveiller le trafic réseau. | | Détection/Prévention d'Intrusion | Des systèmes de détection et de prévention d'intrusion (IDS/IPS) sont en place pour identifier et bloquer les activités malveillantes. | | Segmentation du Réseau | Les réseaux sont segmentés pour isoler les systèmes critiques et limiter l'impact potentiel des incidents de sécurité. | | Protection DDoS | Des mesures de protection DDoS sont en place pour maintenir la disponibilité du service. | | VPN pour l'Accès Administratif | Un VPN est requis pour l'accès administratif à distance aux systèmes de production. |

Sécurité des Applications

| Contrôle | Mise en Œuvre | |----------|---------------| | Cycle de Développement Sécurisé | La sécurité est intégrée tout au long du cycle de vie du développement logiciel, y compris les exigences de sécurité, les révisions de conception et les tests de sécurité. | | Révisions de Code | Des révisions de code sont menées pour identifier et remédier aux vulnérabilités de sécurité. | | Analyse de Vulnérabilités | Une analyse régulière de vulnérabilités est effectuée sur les applications et l'infrastructure. | | Tests d'Intrusion | Des tests d'intrusion sont menés périodiquement par des professionnels de la sécurité qualifiés. | | Pare-feu d'Application Web (WAF) | Un WAF est déployé pour protéger les applications web contre les attaques courantes. | | Validation des Entrées | Une validation des entrées est mise en œuvre pour prévenir les attaques par injection et autres vulnérabilités basées sur les entrées. |

Protection des Données

| Contrôle | Mise en Œuvre | |----------|---------------| | Classification des Données | Des politiques de classification des données sont en place pour identifier et protéger les données sensibles de manière appropriée. | | Minimisation des Données | Seules les données nécessaires pour la fourniture des Services sont collectées et conservées. | | Pseudonymisation | Des techniques de pseudonymisation sont utilisées lorsque cela est approprié pour réduire les risques pour la vie privée. | | Suppression Sécurisée | Des méthodes de suppression sécurisée sont utilisées lorsque les données ne sont plus nécessaires, garantissant que les données sont irrécupérables. |

Surveillance et Journalisation

| Contrôle | Mise en Œuvre | |----------|---------------| | Journalisation des Événements de Sécurité | Les événements de sécurité sont journalisés, y compris l'accès aux Données Client, les actions administratives et les changements système. | | Protection de l'Intégrité des Journaux | L'intégrité des journaux est protégée pour prévenir toute falsification ou modification non autorisée. | | Détection d'Anomalies | Des systèmes de détection d'anomalies sont en place pour identifier les activités suspectes. | | Surveillance 24/7 | Une surveillance de sécurité est effectuée 24 heures sur 24, 7 jours sur 7 pour détecter et répondre aux incidents de sécurité. |

Sécurité Physique

| Contrôle | Mise en Œuvre | |----------|---------------| | Contrôles d'Accès aux Centres de Données | L'accès physique aux centres de données (via Scaleway) est strictement contrôlé, avec une authentification multi-facteurs, du personnel de sécurité et des systèmes de surveillance. | | Contrôles Environnementaux | Des contrôles environnementaux sont en place pour protéger l'équipement contre le feu, les inondations et autres dangers. | | Sécurité de l'Équipement | L'équipement contenant des Données Client est physiquement sécurisé et éliminé de manière sécurisée lorsqu'il n'est plus nécessaire. |

Disponibilité

| Contrôle | Mise en Œuvre | |----------|---------------| | Infrastructure Redondante | Une infrastructure redondante est déployée pour garantir la disponibilité du service. | | Sauvegardes Automatisées | Des sauvegardes automatisées sont effectuées régulièrement pour permettre la récupération des données. | | Reprise après Sinistre | Des procédures de reprise après sinistre sont en place et régulièrement testées. | | Capacités de Basculement | Des capacités de basculement sont mises en œuvre pour minimiser les perturbations de service. |

La présente Annexe 3 répertorie les Sous-Traitants Ultérieurs actuellement engagés par Enigma Labs pour traiter les Données Client pour le compte du Client. Le Client donne une autorisation générale pour l'utilisation de ces Sous-Traitants Ultérieurs.

A3.1 Liste des Sous-Traitants Ultérieurs Approuvés

| Sous-Traitant Ultérieur | Entité Juridique | Adresse | Activités de Traitement | Localisation des Données | |-------------------------|------------------|---------|------------------------|--------------------------| | Scaleway | Scaleway SAS | 8 rue de la Ville l'Evêque, 75008 Paris, France | Infrastructure cloud, hébergement de données, calcul, stockage | UE (Paris, Amsterdam) | | Microsoft | Microsoft Ireland Operations Limited | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlande | E-mail professionnel, outils de productivité (communications internes) | UE (avec Frontière de Données UE) | | Intercom | Intercom R&D Unlimited Company | 2nd Floor, Stephen Court, 18-21 St. Stephen's Green, Dublin 2, Irlande | Plateforme de support client, chat, billetterie | UE | | Highlight.io | Highlight Run, Inc. | 2261 Market Street #4242, San Francisco, CA 94114, USA | Surveillance d'applications, suivi des erreurs, analyses de performance | UE |

A3.2 Détails des Sous-Traitants Ultérieurs

Scaleway

| Champ | Détails | |-------|---------| | Finalité | Fournisseur d'infrastructure cloud principal pour tout le traitement des données client | | Localisation des Données | UE (Paris, France et Amsterdam, Pays-Bas) | | Pays de l'Entité | France | | Mécanisme de Transfert | S/O (Basé dans l'UE) | | Note | Toutes les Données Client sont hébergées sur l'infrastructure Scaleway au sein de l'UE. |

Microsoft

| Champ | Détails | |-------|---------| | Finalité | E-mail professionnel et outils de productivité pour les communications internes | | Localisation des Données | UE (configuré pour la Frontière de Données UE) | | Pays de l'Entité | Irlande (établissement UE) | | Mécanisme de Transfert | Engagement de Frontière de Données UE ; CCT lorsque applicable | | Note | Microsoft 365 est configuré pour la résidence de données UE. Les données client peuvent être référencées dans les communications de support. |

Intercom

| Champ | Détails | |-------|---------| | Finalité | Plateforme de support client pour le chat et la billetterie | | Localisation des Données | UE | | Pays de l'Entité | Irlande (établissement UE) | | Mécanisme de Transfert | S/O (Hébergement de données UE) | | Note | Intercom est configuré pour la résidence de données UE. Traite les interactions de support client qui peuvent inclure des données personnelles limitées. |

Highlight.io

| Champ | Détails | |-------|---------| | Finalité | Surveillance d'applications et journalisation des erreurs | | Localisation des Données | UE | | Pays de l'Entité | USA (hébergement de données UE) | | Mécanisme de Transfert | CCT pour l'accès de l'entreprise ; données stockées dans l'UE | | Note | Utilisé pour la surveillance de la plateforme ; peut traiter des identifiants techniques limités. Configuré pour l'hébergement de données UE. |

A3.3 Services Exclus

Les services suivants ne sont pas considérés comme des Sous-Traitants Ultérieurs en vertu du présent CST car ils ne traitent pas de Données Client :

| Service | Finalité | Raison de l'Exclusion | |---------|----------|----------------------| | Vercel | Hébergement de site web | N'héberge que le site web marketing ; aucune Donnée Client n'est traitée | | Plausible Analytics | Analyses de site web | Auto-hébergé par Enigma Labs ; ne traite pas de données personnelles |

A3.4 Liste Actuelle des Sous-Traitants Ultérieurs

La liste actuelle et complète des Sous-Traitants Ultérieurs est toujours disponible à l'adresse : https://enigmalabs.nl/legal/sub-processors

A3.5 Modifications de Sous-Traitants Ultérieurs

Enigma Labs fournira un préavis de sept (7) jours avant d'engager tout nouveau Sous-Traitant Ultérieur conformément à la section 6.4 du présent CST.

A4.1 Incorporation par Référence

Les Clauses Contractuelles Types de l'UE pour le transfert de données personnelles vers des pays tiers en vertu du Règlement (UE) 2016/679, telles que définies dans la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 (les « CCT »), sont incorporées par référence dans le présent CST et en constituent une partie intégrante.

Les CCT sont disponibles à l'adresse : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

A4.2 Modules Applicables

Les modules suivants des CCT s'appliquent aux transferts en vertu du présent CST :

| Scénario de Transfert | Module Applicable | |-----------------------|-------------------| | Transferts Responsable du Traitement vers Sous-Traitant | Module Deux | | Transferts Sous-Traitant vers Sous-Traitant | Module Trois |

A4.3 Annexes des CCT

Annexe I.A : Liste des Parties

Exportateur de Données (Responsable du Traitement) :

| Champ | Détails | |-------|---------| | Nom | Client (tel que défini dans l'Accord Principal) | | Adresse | Telle que fournie dans l'Accord Principal | | Personne de contact | Telle que désignée par le Client | | Activités | Utilisation des services de cybersécurité d'Enigma Labs | | Signature et date | Par exécution de l'Accord Principal ou utilisation des Services | | Rôle | Responsable du Traitement |

Importateur de Données (Sous-Traitant) :

| Champ | Détails | |-------|---------| | Nom | Enigma Labs BV | | Adresse | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas | | Personne de contact | Délégué à la Protection des Données, dpo@enigmalabs.nl ; Service Juridique, legal@enigmalabs.nl | | Activités | Fourniture de services SaaS de cybersécurité | | Signature et date | Par exécution de l'Accord Principal ou fourniture des Services | | Rôle | Sous-Traitant |

Annexe I.B : Description du Transfert

La description du transfert est telle que définie à l'Annexe 1 (Description du Traitement) du présent CST.

Annexe I.C : Autorité de Contrôle Compétente

L'autorité de contrôle compétente aux fins de la Clause 13 des CCT est :

Autoriteit Persoonsgegevens (Autorité Néerlandaise de Protection des Données)

| Champ | Détails | |-------|---------| | Adresse | Bezuidenhoutseweg 30, 2594 AV La Haye, Pays-Bas | | Téléphone | +31 70 888 8500 | | Site Web | https://autoriteitpersoonsgegevens.nl |

Annexe II : Mesures Techniques et Organisationnelles

Les mesures techniques et organisationnelles mises en œuvre par l'Importateur de Données sont telles que définies à l'Annexe 2 (Mesures Techniques et Organisationnelles) du présent CST.

Annexe III : Liste des Sous-Traitants Ultérieurs

La liste des Sous-Traitants Ultérieurs autorisés à traiter des Données Personnelles en vertu des CCT est telle que définie à l'Annexe 3 (Sous-Traitants Ultérieurs Approuvés) du présent CST.

A4.4 Élections des Clauses des CCT

Les élections suivantes sont faites aux fins des CCT :

| Clause | Élection | |--------|----------| | Clause 7 (Clause d'Adhésion) | Clause optionnelle incluse | | Clause 9(a) (Autorisation générale des Sous-Traitants Ultérieurs) | Autorisation générale pour les Sous-Traitants Ultérieurs | | Clause 9(b) (Délai de préavis des Sous-Traitants Ultérieurs) | 7 jours | | Clause 11(a) (Recours) | Clause optionnelle incluse | | Clause 17 (Droit Applicable) | Pays-Bas | | Clause 18 (Choix de la Juridiction) | Tribunaux d'Amsterdam, Pays-Bas |

A4.5 Résolution des Conflits

En cas de conflit entre les dispositions des CCT et les autres dispositions du présent CST, les dispositions des CCT prévaudront.

| Champ | Détails | |-------|---------| | Titre du Document | Contrat de Sous-Traitance | | Entreprise | Enigma Labs BV | | Forme Juridique | Besloten Vennootschap (société à responsabilité limitée néerlandaise) | | Adresse du Siège | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas | | Numéro KvK | 99568322 | | Site Web | https://enigmalabs.nl | | URL du CST | https://enigmalabs.nl/dpa | | URL de la Liste des Sous-Traitants Ultérieurs | https://enigmalabs.nl/legal/sub-processors | | URL de la Politique de Confidentialité | https://enigmalabs.nl/privacy | | URL des CGU | https://enigmalabs.nl/terms | | Contact E-mail (CST) | legal@enigmalabs.nl | | E-mail DPD | dpo@enigmalabs.nl | | E-mail Contact Sécurité | security@enigmalabs.nl | | Localisation de l'Hébergement des Données | Union Européenne (Scaleway, Paris/Amsterdam) | | Date d'Entrée en Vigueur | 22 janvier 2026 | | Dernière Mise à Jour | 28 janvier 2026 | | Version | 1.1 |

Historique des Versions

| Version | Date | Modifications | |---------|------|---------------| | 1.0 | 15 janvier 2026 | Publication initiale | | 1.1 | 22 janvier 2026 | Clarifications concernant les Sous-Traitants Ultérieurs et les mesures de sécurité |

Documents Associés

| Document | URL | Description | |----------|-----|-------------| | Politique de Confidentialité | https://enigmalabs.nl/privacy | Comment Enigma Labs traite les données personnelles en tant que Responsable du Traitement | | Conditions Générales d'Utilisation | https://enigmalabs.nl/terms | Conditions générales régissant l'utilisation des Services | | Politique des Cookies | https://enigmalabs.nl/cookies | Comment Enigma Labs utilise les cookies sur son site web | | Liste des Sous-Traitants Ultérieurs | https://enigmalabs.nl/legal/sub-processors | Liste actuelle des Sous-Traitants Ultérieurs approuvés |

Le présent Contrat de Sous-Traitance est conçu pour garantir la conformité avec le Règlement Général sur la Protection des Données de l'UE (RGPD) et autres lois applicables en protection des données. Pour toute question ou préoccupation, veuillez nous contacter à legal@enigmalabs.nl ou dpo@enigmalabs.nl.

© 2026 Enigma Labs BV. Tous droits réservés.