Addendum sur le traitement des données Brisk

Date d'entrée en vigueur : 22 août 2024

En bref : les « données personnelles » désignent des données ou des informations qui vous identifient ou vous concernent, ou qui répondent à la définition ci-dessous.DPA«) complète et fait partie intégrante de l'accord entre Brisk Labs Corp. (»Vif«) et l'établissement d'enseignement ou (le cas échéant) un enseignant en ce qui concerne le transfert et le traitement des données couvertes dans le cadre de la fourniture du Service.

1. DÉFINITIONS
1,1

Sauf définition contraire dans le présent DPA, les termes en majuscules utilisés mais non définis dans le présent DPA auront le sens indiqué dans le Contrat. Les termes en majuscules suivants utilisés dans ce DPA seront définis comme suit :
«Entente« désigne le contrat conclu entre Brisk et le Client incorporant les termes de https://www.briskteaching.com/terms ou comme convenu autrement entre les parties.
«Lois applicables en matière de protection des données« désigne toutes les lois, règles, réglementations et exigences gouvernementales applicables relatives à la confidentialité ou à la sécurité des données personnelles, telles qu'elles peuvent être modifiées ou mises à jour de temps à autre, y compris (sans s'y limiter) le RGPD.
«Sous-processeur autorisé« désigne les sous-traitants énumérés dans l'annexe 4 et tout autre sous-traitant désigné conformément au paragraphe 7.4.
«Finalités du contrôleur« signifie : (a) entreprendre des activités de recherche et de développement internes pour développer, tester, améliorer et modifier les fonctionnalités des produits et services de Brisk ; (b) créer des ensembles de données anonymisés pour la formation ou l'évaluation des produits et services de Brisk ; et (c) administrer les comptes clients sur le Service et gérer la relation de Brisk avec le Client dans le cadre du Contrat, dans chaque cas comme décrit plus en détail dans l'Annexe 1.
«Données couvertes« désigne les Données personnelles qui sont : (a) fournies par ou pour le compte du Client à Brisk dans le cadre de la fourniture du Service ; ou (b) obtenues, développées, produites ou autrement traitées par Brisk, ou ses agents ou sous-traitants, dans le but de fournir le Service, dans chaque cas comme décrit plus en détail dans l'Annexe 1.
«Client« désigne l'établissement d'enseignement ou un enseignant qui conclut le contrat avec Brisk en relation avec le Service.
«Sujet des données« a le sens qui lui est donné dans le RGPD.
«Date d'entrée en vigueur« désigne la date à laquelle Brisk et le Client concluent le Contrat.
«GDPR« désigne le Règlement (UE) 2016/679 (le »GDPR DE L'UE«) ou, le cas échéant, le »GDPR (ROYAUME-UNI)«, tel que défini à l'article 3 (10) de la loi de 2018 sur la protection des données.
«Données personnelles« a le sens qui lui est donné dans le RGPD.
«Traitement« a le sens qui lui est donné dans le RGPD, et »Procédé«, »Procédés« et »Transformé« sera interprété en conséquence.
«Incident de sécurité« désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données couvertes (y compris un accès interne non autorisé à).
«Clauses contractuelles types« ou »SCC« désigne les clauses contractuelles types annexées à la décision d'exécution (UE) 2021/914 de la Commission et disponibles à l'adresse https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
«Sous-processeur« désigne un processeur engagé par un autre processeur pour exécuter les instructions du responsable du traitement.
«Lois suisses sur la protection des données« désigne la Loi fédérale suisse sur la protection des données du 25 septembre 2020 (»FADP») et l'ordonnance suisse sur la protection des données du 31 août 2022 (la »Ordonnance«), et toute version nouvelle ou révisée de ces lois qui pourrait entrer en vigueur de temps à autre.

1,2

Les termes »manette« et »processeur« ont la signification qui leur est donnée dans le RGPD.

2. INTERACTION AVEC L'ACCORD
2.1

Le présent DPA est intégré à l'Accord et en fait partie intégrante. Le présent DPA complète et (en cas de contradiction) remplace le Contrat en ce qui concerne tout traitement des données couvertes.

3. RÔLE DES PARTIES
3.1

Les parties reconnaissent et conviennent que :

  1. sauf dans les cas prévus au paragraphe 3.1, Brisk traite les données couvertes en tant que sous-traitant dans le cadre de l'exécution de ses obligations en vertu du Contrat et cette DPA et le Client agissent en tant que responsable du traitement ; et
  2. Brisk agit en tant que responsable du traitement des données couvertes aux fins du responsable du traitement, telles qu'identifiées dans l'annexe 1.
4. DÉTAILS DU TRAITEMENT DES DONNÉES
4.1

Les détails du traitement des données personnelles dans le cadre de l'accord et du présent DPA (y compris l'objet, la nature et la finalité du traitement, les catégories de données personnelles et les personnes concernées) sont décrits dans l'accord et dans l'annexe 1 du présent DPA.

4,2

Hormis en ce qui concerne le traitement des données couvertes aux fins du responsable du traitement :

  1. Brisk ne traitera les données couvertes que conformément aux instructions fournies par le client et conformément aux lois applicables en matière de protection des données ; et
  2. le Contrat et le présent DPA constituent les instructions adressées à Brisk pour le traitement des données couvertes par Brisk, et le Client peut émettre d'autres instructions écrites conformément à ce DPA.
4.3

Brisk va :

  1. fournir au Client des informations lui permettant de réaliser et de documenter toute analyse d'impact sur la protection des données et les consultations préalables avec les autorités de contrôle requises par les Lois applicables en matière de protection des données ; et
  2. informer rapidement le client si, à son avis, une instruction du client enfreint les lois applicables en matière de protection des données.
5. CONFORMITÉ
5,1

Le client doit se conformer à ses obligations en vertu des lois applicables en matière de protection des données et doit s'assurer que :

  1. toutes les instructions adressées à Brisk concernant le traitement des données couvertes sont conformes aux lois applicables en matière de protection des données ;
  2. il fournit ces informations aux personnes concernées concernant le traitement des données couvertes par Brisk, comme l'exigent les lois applicables en matière de protection des données ;
  3. elle informe rapidement Brisk de toute demande reçue d'une personne concernée visant à exercer ses droits en vertu des lois applicables en matière de protection des données.
6. CONFIDENTIALITÉ ET DIVULGATION
6.1

Brisk doit :

  1. limiter l'accès aux données couvertes au personnel qui a besoin d'un accès professionnel à ces données couvertes ; et
  2. veiller à ce que ce personnel soit soumis à des obligations au moins aussi protectrices que celles prévues par le présent DPA et le Contrat, y compris des obligations de confidentialité en ce qui concerne toutes les Données couvertes auxquelles il a accès.
7. DÉFINITIONS
7.1

Brisk peut traiter les données couvertes partout où Brisk ou ses sous-traitants disposent d'installations, sous réserve du reste de ce paragraphe 7 et de toute restriction sur les transferts ultérieurs contenue dans les CCT.

7,2

Le client accorde à Brisk l'autorisation générale d'engager tout sous-traitant autorisé pour traiter les données couvertes.

7.3

Brisk doit :

  1. conclure un accord écrit avec chaque sous-traitant autorisé imposant des obligations de protection des données qui, en substance, ne sont pas moins protectrices des données couvertes que les obligations de Brisk en vertu du présent DPA ; et
  2. restent responsables du respect par chaque sous-traitant autorisé des obligations découlant du présent DPA.
7,4

Brisk fournira au client un préavis d'au moins quatorze (14) jours pour toute modification proposée aux sous-processeurs autorisés. Le client doit informer Brisk s'il s'oppose à la modification proposée aux sous-traitants autorisés (y compris, le cas échéant, lorsqu'il exerce son droit d'opposition en vertu de la clause 9 (a) des CCS) en informant Brisk par écrit de son opposition dans les sept (7) jours suivant la notification par Brisk de la modification proposée au client (un »Objection«).

7,5

Si le client soumet une objection, Brisk et le client travailleront ensemble de bonne foi pour trouver une solution mutuellement acceptable pour répondre à cette objection. Si Brisk et le Client ne parviennent pas à une solution mutuellement acceptable dans un délai raisonnable, qui ne doit pas dépasser trente (30) jours, Brisk peut résilier la partie du Contrat relative aux Services concernés par cette modification en fournissant un avis écrit au Client.

8. DEMANDES RELATIVES AUX DROITS DES PERSONNES CONCERNÉES
8,1

Brisk informera le client dans les meilleurs délais de toute demande reçue par Brisk ou tout sous-traitant autorisé de la part d'une personne concernée pour faire valoir ses droits en vertu des lois applicables en matière de protection des données en relation avec les données couvertes traitées par Brisk en tant que sous-traitant ou sous-traitant (a)Demande de la personne concernée«).

8,2

Hormis en ce qui concerne le traitement des données couvertes par Brisk aux fins du responsable du traitement, entre Brisk et le client, le client aura la seule discrétion de répondre à la demande de la personne concernée. Brisk ne répondra pas à la demande de la personne concernée sans le consentement préalable du client, sauf que Brisk peut informer la personne concernée que sa demande a été transmise au client.

8,3

Brisk fournira au client l'assistance raisonnable nécessaire pour lui permettre de remplir son obligation en vertu des lois applicables en matière de protection des données de répondre aux demandes des personnes concernées concernant les données couvertes.

9. SÉCURITÉ
9.1

Brisk mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées de protection et de sécurité des données conçues pour garantir la sécurité des données couvertes, y compris, mais sans s'y limiter, la protection contre le traitement non autorisé ou illégal et contre la perte accidentelle, la destruction ou l'endommagement des données couvertes.

9,2

Lors de l'évaluation du niveau de sécurité approprié, Brisk tiendra compte de la nature, de la portée, du contexte et de la finalité du Traitement ainsi que des risques présentés par le Traitement, notamment en cas de destruction accidentelle ou illégale, de perte, d'altération, de divulgation non autorisée ou d'accès aux Données couvertes.

9,3

Brisk mettra en œuvre et maintiendra comme norme minimale les mesures énoncées dans l'annexe 2.

10. INFORMATIONS ET AUDITS
10.1

Le client peut vérifier la conformité de Brisk à cette DPA en ce qui concerne son traitement des données couvertes. Les parties conviennent que tous ces audits seront effectués :

  1. pas plus d'une fois par an, à moins que des audits plus fréquents ne soient requis par une autorité de surveillance compétente en matière de traitement des données couvertes ou autrement en vertu des lois applicables en matière de protection des données ;
  2. moyennant un préavis écrit raisonnable adressé à Brisk ;
  3. uniquement pendant les heures normales de bureau de Brisk ; et
  4. d'une manière qui ne perturbe pas de manière significative les activités ou les opérations de Brisk.
10,2

En ce qui concerne tout audit effectué conformément au paragraphe 10.3 : un peu de texte

  1. le Client peut engager un auditeur tiers pour effectuer l'audit en son nom, sauf que Brisk peut raisonnablement s'opposer à l'engagement d'un auditeur tiers si cet auditeur tiers est un concurrent de Brisk ; et
  2. Brisk ne sera pas tenue de faciliter un tel audit tant que les parties n'auront pas convenu par écrit de l'étendue et du calendrier de cet audit.
10,3

Le client doit informer rapidement Brisk de toute non-conformité découverte lors d'un audit.

10,4

Les résultats de l'audit constitueront les informations confidentielles de Brisk.

10,5

Brisk fournira au Client sur demande, ou peut fournir au Client en réponse à toute demande d'audit soumise par le Client à Brisk, l'un des éléments suivants :

  1. des certifications de conformité en matière de protection des données délivrées par un émetteur de certification communément accepté qui a été audité par un expert en sécurité des données, ou par une société d'audit agréée publiquement ; ou
  2. toute autre documentation prouvant raisonnablement la mise en œuvre des mesures techniques et organisationnelles de sécurité des données conformément aux normes de l'industrie.
10,6

Si un audit demandé par le Client est abordé dans les documents ou la certification fournis par Brisk conformément au paragraphe 10.7, et que :

  1. la certification ou la documentation est datée dans les douze (12) mois suivant la demande d'audit du Client ; et
  2. Brisk confirme qu'il n'y a aucun changement significatif connu dans les contrôles audités,

Le client accepte d'accepter cette certification ou cette documentation au lieu de procéder à un audit physique des contrôles couverts par la certification ou la documentation pertinente.

11. INCIDENTS DE SÉCURITÉ
11,1

Brisk informera le client par écrit dans les meilleurs délais après avoir pris connaissance de tout incident de sécurité.

11,2

Brisk prendra des mesures raisonnables pour contenir, étudier et atténuer tout Incident de sécurité, et enverra au Client des informations en temps utile sur l'Incident de sécurité, dans la mesure où Brisk en a connaissance ou au fur et à mesure que les informations seront mises à sa disposition, y compris, mais sans s'y limiter, la nature de l'Incident de sécurité, les mesures prises pour atténuer ou contenir l'Incident de sécurité et l'état de l'enquête.

11,3

Brisk fournira une assistance raisonnable dans le cadre de l'enquête menée par le client (ou, le cas échéant, ses clients) sur tout incident de sécurité et toute obligation du client (ou, le cas échéant, de ses clients) en relation avec l'incident de sécurité en vertu des lois applicables en matière de protection des données, y compris toute notification aux personnes concernées ou aux autorités de surveillance.

11,4

La notification ou la réponse de Brisk à un Incident de sécurité en vertu du présent paragraphe 11 ne doit pas être interprétée comme une reconnaissance par Brisk d'une quelconque faute ou responsabilité en ce qui concerne l'Incident de sécurité.

12. DURÉE, SUPPRESSION ET RETOUR
12,1

Le présent DPA entrera en vigueur à la date d'entrée en vigueur et, nonobstant toute résiliation de l'accord, restera en vigueur jusqu'à la suppression par Brisk de toutes les données couvertes, comme décrit dans le présent DPA, et expirera automatiquement à cette date.

12,2

Brisk doit :

  1. si le Client le demande (au nom de ses Clients, le cas échéant) dans les trente (30) jours suivant l'expiration du Contrat (le »Période de conservation«), fournir une copie de toutes les Données couvertes dans le format couramment utilisé demandé par le Client, ou fournir une fonctionnalité en libre-service permettant au Client de télécharger ces Données couvertes ; et
  2. à l'expiration de la période de conservation, supprimez toutes les copies des données couvertes traitées par Brisk ou par tout sous-traitant autorisé, à l'exception des données couvertes que Brisk est tenu de conserver pour se conformer à la loi applicable, pour poursuivre ou défendre des actions en justice ou aux fins du responsable du traitement.
13. TRANSFERTS INTERNATIONAUX
13,1

Les clauses contractuelles types, comme indiqué plus en détail dans l'annexe 3, s'appliquent aux transferts de données couvertes du client à Brisk et font partie du présent DPA.

13,2

Les parties conviennent que l'exécution du Contrat aura le même effet que la signature des CCT.

ANNEXE 1 : Détails du traitement
A. Liste des Parties
Client
Client
Rôle
Exportateur de données (contrôleur)
Importateur de données (contrôleur/processeur)
l'administrateur du compte du client tel qu'il a été notifié à Brisk.
Activités liées au transfert
B. Description du traitement
Sujets des données
Nature et finalité du traitement
Période de conservation
informations de contact, tels que le nom, l'adresse e-mail, le nom de l'établissement d'enseignement.
Aucune
Collecté directement auprès de la personne concernée.
Communiquer avec les administrateurs de compte en ce qui concerne l'administration de l'accord et les relations entre les parties.

Envoyez des e-mails promotionnels conformément aux préférences de l'administrateur du compte.

Identifier les moyens par lesquels Brisk peut améliorer le Service et corriger les erreurs dans le Service.
Préférences de compte en ce qui concerne les messages promotionnels.
Collecté directement auprès de la personne concernée ou fourni par l'établissement d'enseignement
Sous-traitant pour le compte de l'établissement d'enseignement concerné.

Jusqu'à la première des dates suivantes :

  • résiliation du Contrat ; et
  • fermeture du compte correspondant sur le Service détenu par la personne concernée, soit à la demande du responsable du traitement, soit après 18 mois d'inactivité.
Préférences de compte en ce qui concerne les messages relatifs au service.

Niveau du compte, à savoir si l'enseignant indépendant utilise un compte premium ou gratuit sur le Service.

Questions, commentaires et autres correspondances soumis en relation avec le Service.

Sujets enseignés et classes ou classes d'étudiants.

Contenu et matériaux créés par le biais du Service, y compris les modifications apportées au contenu généré automatiquement par le biais du Service.

Sites Web visité pour lequel le Service est activé.

Feedback en relation avec le contenu généré par le Service.

Le caractéristiques et fonctionnalités utilisé sur le Service.
Aucune, à moins que cela ne soit contenu dans le contenu et les matériaux générés par le biais du Service, ou dans les invites ou les commentaires soumis à celui-ci.
Les comptes des enseignants sur les comptes scolaires
informations de contact, tels que le nom, l'adresse e-mail, le nom de l'établissement d'enseignement.
Aucune
Pendant la durée de l'accord et pendant 6 ans par la suite.
Jusqu'à 2 ans après la fermeture du compte de la personne concernée sur le Service, soit à la demande de la personne concernée, soit après 18 mois d'inactivité.
Questions, commentaires et autres correspondances soumis en relation avec le Service.
Le caractéristiques et fonctionnalités utilisé sur le Service.
Fourniture d'un accès aux caractéristiques et fonctionnalités du Service, y compris la facilitation de la connexion et la résolution des problèmes de connexion.
Jusqu'à 90 jours.
Références, à savoir le nombre d'autres enseignants orientés par l'enseignant indépendant vers le Service.
Collecté directement auprès de la personne concernée.
Gérez le programme de parrainage de Brisk, y compris la gestion des récompenses ou de l'accès promotionnel aux fonctionnalités premium.
Contrôleur
Pendant la durée de l'accord.
Cours de développement professionnel entrepris et réalisé par l'intermédiaire du Service.
Accorder l'accès à des fonctionnalités premium liées à l'achèvement de cours de développement professionnel.
Professeurs indépendants
informations de contact, tels que le nom, l'adresse e-mail, le nom de l'établissement d'enseignement.
Collecté directement auprès de la personne concernée.
Niveau du compte, à savoir si l'enseignant indépendant utilise un compte premium ou gratuit sur le Service.
Pendant la durée de l'accord et pendant 6 ans par la suite.
Informations de paiement, comme la carte de crédit ou de débit et l'adresse de facturation.
Préférences de compte en ce qui concerne les messages promotionnels et liés au service.
Questions, commentaires et autres correspondances soumis en relation avec le Service.
Sujets enseignés et classes ou classes d'étudiants.
Pendant la durée de l'accord.
Contenu et matériaux créés par le biais du Service, y compris les modifications apportées au contenu généré automatiquement par le biais du Service.
Pendant la durée de l'accord.
Ces informations sont stockées sous forme agrégée et anonymisée.
Appareil utilisé pour accéder au Service, telle que l'adresse IP.
Fourniture d'un accès aux caractéristiques et fonctionnalités du Service, y compris la facilitation de la connexion, la résolution des problèmes de connexion et l'équilibrage de charge.
Jusqu'à 90 jours.
Étudiants
Informations de contact, tels que le nom, l'adresse e-mail et le nom de l'établissement d'enseignement ou de l'enseignant qui accorde l'accès.
Aucune
Fourni par le client.
Fourniture d'un accès aux caractéristiques et fonctionnalités du Service, y compris la personnalisation du Service.
Sous-traitant pour le compte de l'établissement d'enseignement concerné ou de l'enseignant indépendant.
Toutes les données personnelles sensibles contenues dans le produit professionnel ou les interactions téléchargées sur le Service par l'Étudiant.
l'administrateur du compte du client tel qu'il a été notifié à Brisk.
l'administrateur du compte du client tel qu'il a été notifié à Brisk.
Collecté directement auprès de la personne concernée.
Contrôleur
Jusqu'à 90 jours.
C. Autorité de surveillance compétente

L'autorité de contrôle compétente est le commissaire irlandais à la protection des données.

ANNEXE 2 : Mesures techniques et organisationnelles

Présentation

Brisk utilise une combinaison de politiques, de procédures, de directives et de contrôles techniques et physiques pour protéger les données personnelles qu'elle traite contre la perte accidentelle et l'accès, la divulgation ou la destruction non autorisés.

Gouvernance et politiques

Brisk affecte au personnel la responsabilité de la détermination, de l'examen et de la mise en œuvre des politiques et mesures de sécurité.

Vif :

  • a documenté les mesures de sécurité qu'il a mises en œuvre dans une politique de sécurité et/ou dans d'autres directives et documents pertinents ;
  • revoit régulièrement ses mesures et politiques de sécurité pour s'assurer qu'elles restent adaptées aux données à protéger.

Brisk établit et suit des configurations sécurisées pour les systèmes et les logiciels et veille à ce que les mesures de sécurité soient prises en compte lors du lancement du projet et du développement de nouveaux systèmes informatiques.

Réponse aux violations

Brisk dispose d'un plan de réponse aux violations qui a été développé pour faire face aux violations de données. Le plan est régulièrement testé et mis à jour.

Défenses contre les intrusions, les antivirus et les programmes malveillants

Les systèmes informatiques de Brisk utilisés pour traiter les données personnelles sont équipés de logiciels de sécurité des données appropriés, notamment des systèmes de pare-feu, d'antivirus, de protection contre les programmes malveillants et de détection d'intrusion conformes aux normes du secteur.

Brisk collecte, gère et examine les journaux d'événements pour identifier les activités suspectes.

Contrôles d'accès

Brisk limite l'accès aux données personnelles en mettant en place des contrôles d'accès appropriés, notamment :

  • limiter les privilèges d'accès administratifs et l'utilisation des comptes administratifs ;
  • modifier tous les mots de passe par défaut avant de déployer des systèmes d'exploitation, des actifs ou des applications ;
  • exiger une authentification et une autorisation pour accéder aux systèmes informatiques (c'est-à-dire exiger des utilisateurs qu'ils saisissent un identifiant et un mot de passe avant d'être autorisés à accéder aux systèmes informatiques) ;
  • des mesures visant à garantir l'accès au moindre privilège aux systèmes informatiques ;
  • des procédures appropriées pour contrôler l'attribution et la révocation des droits d'accès aux données personnelles. Par exemple, la mise en place de procédures appropriées pour révoquer l'accès des employés aux systèmes informatiques lorsqu'ils quittent leur emploi ou changent de poste ;
  • utilisation de l'authentification multifactorielle pour accéder aux données des systèmes de Brisk ;
  • temporisation automatique et verrouillage des terminaux utilisateurs s'ils sont laissés inactifs ;
  • l'accès au système informatique est bloqué après plusieurs tentatives infructueuses de saisie des informations d'authentification et/ou d'autorisation correctes ;
  • surveillance et enregistrement de l'accès aux systèmes informatiques ;
  • surveillance et enregistrement des modifications apportées aux données ou aux fichiers sur les systèmes informatiques.

Disponibilité et sauvegarde des données personnelles

Brisk dispose d'un plan de reprise après sinistre documenté qui garantit que les systèmes et les données clés peuvent être restaurés en temps opportun en cas d'incident physique ou technique. Le plan est régulièrement testé et mis à jour.

Brisk sauvegarde régulièrement les informations sur les systèmes informatiques et conserve les sauvegardes dans des emplacements distincts. Les sauvegardes d'informations sont testées régulièrement.

Segmentation des données personnelles

Vif :

  • sépare et limite l'accès entre les composants du réseau et, le cas échéant, met en œuvre des mesures visant à prévoir un traitement séparé (stockage, modification, suppression, transmission) des données personnelles collectées et utilisées à différentes fins ;
  • n'utilise pas de données en temps réel pour tester ses systèmes.

Élimination du matériel informatique

Vif :

  • a mis en place des processus pour supprimer en toute sécurité toutes les données personnelles avant de se débarrasser des systèmes informatiques ;
  • utilise la technologie appropriée pour purger les données de l'équipement.

Chiffrement

Brisk chiffre les données au repos à l'aide de l'AES-256 et en transit à l'aide du protocole TLS 1.2 ou supérieur.

Les clés de chiffrement sont stockées séparément des informations cryptées.

Transmission ou transport de données personnelles

Des contrôles appropriés sont mis en œuvre par Brisk pour sécuriser les données personnelles pendant la transmission ou le transit, notamment :

  • chiffrement en transit ;
  • enregistrement des données personnelles lorsqu'elles sont transmises par voie électronique.

Durcissement de l'appareil

Brisk veille à ce que toutes les machines virtuelles soient renforcées conformément aux critères de référence du Center for Internet Security (CIS).

Gestion des actifs et des logiciels

Brisk tient à jour un inventaire des actifs informatiques et des données qui y sont stockées, ainsi qu'une liste des propriétaires des actifs informatiques concernés.

Vif :

  • documente et met en œuvre des règles pour une utilisation acceptable des actifs informatiques.
  • nécessite une authentification au niveau du réseau et utilise des certificats clients pour valider et authentifier les systèmes ;
  • déploie des outils automatisés de gestion des correctifs et des outils de mise à jour logicielle pour les systèmes d'exploitation et les logiciels ;
  • surveille de manière proactive les vulnérabilités logicielles et implémente rapidement tous les correctifs hors cycle ;
  • permet d'utiliser uniquement les dernières versions des navigateurs Web et des clients de messagerie entièrement pris en charge.

Brisk stocke toutes les clés d'API en toute sécurité, notamment comme suit :

  • Brisk stocke les clés d'API directement dans ses variables d'environnement ;
  • Brisk ne stocke pas les clés d'API côté client ;
  • Brisk ne publie pas les informations d'identification des clés d'API dans les référentiels de code en ligne (qu'ils soient privés ou non) ; et
  • Brisk utilise des outils de gestion des clés d'API pour récupérer et gérer les informations d'identification pour les grands projets de développement.

Formation et sensibilisation du personnel

Les accords de Brisk avec le personnel et les sous-traitants ainsi que les manuels des employés définissent les responsabilités de son personnel en matière de sécurité de l'information.

Brisk réalise :

  • une formation régulière du personnel sur les questions de sécurité et de confidentialité des données liées à leur rôle professionnel et garantit que les nouveaux arrivants reçoivent une formation appropriée avant de prendre leurs fonctions (dans le cadre des procédures d'intégration) ;
  • filtrage et vérification des antécédents appropriés des personnes ayant accès à des données personnelles sensibles.

Brisk veille à ce que les responsabilités en matière de sécurité de l'information applicables immédiatement avant le licenciement ou le changement d'emploi et celles qui s'appliquent après le licenciement ou le changement d'emploi soient communiquées et mises en œuvre.

Le personnel fait l'objet de mesures disciplinaires en cas de violation des politiques et procédures de Brisk relatives à la confidentialité et à la sécurité des données.

Sélection des prestataires de services et commission des services

Brisk évalue la capacité des fournisseurs de services à répondre à leurs exigences de sécurité avant de les engager.

Brisk a conclu des contrats avec des prestataires de services qui les obligent à mettre en œuvre des mesures de sécurité appropriées pour protéger les données personnelles auxquelles ils ont accès et limiter l'utilisation des données personnelles conformément aux instructions de Brisk.

Deuxième partie

Assistance concernant les demandes relatives aux droits des personnes concernées

Brisk a mis en place des politiques et des mesures appropriées pour identifier et traiter les demandes relatives aux droits des personnes concernées, notamment :

  • Brisk tient des registres précis pour lui permettre d'identifier rapidement toutes les données personnelles traitées pour le compte du Client ; et
  • les sauvegardes des données personnelles traitées par Brisk pour le compte du client sont remplacées régulièrement et, en tout état de cause, tous les trente (30) jours afin de garantir que les demandes de suppression et de rectification soient pleinement traitées.
ANNEXE 3 : CLAUSES CONTRACTUELLES TYPES
1. CSCS DE L'UE

En ce qui concerne les transferts visés à la clause 13, les clauses contractuelles types doivent être complétées comme suit :

1,1

Module 2 (contrôleur à processeur), ou le cas échéant, le module 3 (processeur à processeur) des CCT s'appliqueront au traitement des données couvertes par Brisk.

1,2

La clause 7 des clauses contractuelles types (clause d'amarrage) ne s'applique pas.

1,3

Option 2 de la clause 9 (a)Autorisation écrite générale) s'appliquera, et la période à spécifier est déterminée dans la clause 7.4 du DPA.

1,4

L'option prévue à la clause 11 (a) des clauses contractuelles types (Organisme indépendant de règlement des litiges)) ne s'applique pas.

1,5

En ce qui concerne la clause 17 des clauses contractuelles types (Loi applicable), les parties conviennent que l'option 1 s'appliquera et que la loi applicable sera la loi irlandaise.

1,6

Dans la clause 18 des Clauses contractuelles types (Choix du forum et de la juridiction), les Parties se soumettent à la juridiction des tribunaux irlandais.

1,7

Aux fins de l'annexe I des clauses contractuelles types, l'annexe 1 du DPA contient les spécifications concernant les parties, la description du transfert et l'autorité de surveillance compétente.

1,8

Aux fins de l'annexe II des clauses contractuelles types, l'annexe 2 du DPA contient les mesures techniques et organisationnelles.

2. Addendum britannique
2.1

Ce paragraphe 2 (Addendum britannique) s'applique à tout transfert de données couvertes du client (en tant qu'exportateur de données) à Brisk (en tant qu'importateur de données), dans la mesure où :

  1. les lois britanniques sur la protection des données s'appliquent au client lors de ce transfert ; ou
  2. le transfert est un « transfert ultérieur » tel que défini dans l'addendum approuvé.
2,2

Tel qu'utilisé dans ce paragraphe 2 :

«Addendum approuvé« désigne le modèle d'addendum, version B.1.0, publié par le commissaire à l'information du Royaume-Uni en vertu de la Loi de 2018 sur la protection des données S119A (1) et déposé devant le Parlement britannique le 2 février 2022, tel qu'il peut être révisé conformément à la section 18 de l'addendum approuvé.

«Lois britanniques sur la protection des données« désigne toutes les lois relatives à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la loi de 2018 sur la protection des données.

2,3

L'addendum approuvé fera partie du présent DPA en ce qui concerne tous les transferts mentionnés au paragraphe 2.1, et l'exécution de ce DPA aura le même effet que la signature de l'addendum approuvé.

2,4

L'addendum approuvé sera considéré comme terminé comme suit : un peu de texte

  1. l' « Addendum EU SCC » désigne les CCT telles qu'elles sont intégrées au présent Accord conformément à la clause 13 et à la présente Annexe 3 ;
  2. Le tableau 1 de l'addendum approuvé doit être complété avec les détails du paragraphe A de l'annexe 1 ;
  3. les « informations relatives à l'appendice » doivent faire référence aux informations énoncées dans les annexes 1 et 2
  4. aux fins du tableau 4 de l'addendum approuvé, Brisk (en tant qu'importateur de données) peut mettre fin à cette DPA, dans la mesure où l'addendum approuvé s'applique, conformément à la section‎19 de l'addendum approuvé ; et
  5. La section 16 de l'addendum approuvé ne s'applique pas.
3. Addendum suisse
3.1

Cet addendum suisse s'appliquera à tout traitement des données couvertes soumis aux lois suisses sur la protection des données.

3.2

Interprétation de cet addendum

  1. Lorsque cet addendum utilise des termes définis dans les clauses contractuelles types, ces termes auront la même signification que dans les clauses contractuelles types. En outre, les termes suivants ont les significations suivantes :

    «Addenda« désigne le présent addendum aux Clauses ;
    «Clauses« désigne les clauses contractuelles types telles qu'incorporées dans le présent DPA conformément au paragraphe 13 et telles que spécifiées plus en détail dans la présente annexe 3 ; et
    «FDPIC« désigne le Préposé fédéral à la protection des données et à la transparence.
  1. Le présent addendum doit être lu et interprété d'une manière conforme aux lois suisses sur la protection des données, et de manière à remplir les obligations des parties en vertu de l'article 16 (2) (d) du FADP.
  2. Cet addendum ne sera pas interprété d'une manière contraire aux droits et obligations prévus par les lois suisses sur la protection des données.
  3. Toute référence à la législation (ou à des dispositions spécifiques de la législation) signifie que cette législation (ou disposition spécifique) peut évoluer au fil du temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réadoptée et/ou remplacée après la signature de cet addendum suisse.
  4. En ce qui concerne tout traitement de données personnelles soumis aux lois suisses sur la protection des données, cet addendum modifie et complète les clauses dans la mesure nécessaire à leur fonctionnement : un peu de texte
    1. pour les transferts effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois suisses sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et
    2. en tant que clauses standard de protection des données approuvées, émises ou reconnues par le PFDPIC aux fins de l'article 16, paragraphe 2, point d), du FADP.

3.3

Hiérarchie

En cas de conflit ou d'incohérence entre le présent Addendum et les dispositions des Clauses ou d'autres accords connexes entre les Parties, existant au moment où le présent Addendum est approuvé ou conclu par la suite, les dispositions qui offrent le plus de protection aux Personnes concernées prévaudront.

3,4

Modifications apportées aux clauses

  1. Dans la mesure où le traitement des données personnelles par l'exportateur de données est exclusivement soumis aux lois suisses sur la protection des données, ou si le transfert de données personnelles d'un exportateur de données à un importateur de données en vertu des Clauses est un « transfert ultérieur » (tel que défini dans les Clauses, tel que modifié par le reste de ce paragraphe 3.3 (a)), les modifications suivantes sont apportées aux Clauses :
    1. Les références aux « Clauses » ou aux « CCS » désignent cet addendum suisse tel qu'il modifie les CCS.
    2. Clause 6 La description du ou des transferts est remplacée par :
    3. « Les détails du ou des transferts, et en particulier les catégories de données personnelles transférées et la ou les finalités pour lesquelles elles sont transférées, sont ceux spécifiés dans l'annexe 1 du présent DPA, où les lois suisses sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert. »
    4. Les références au « Règlement (UE) 2016/679 » ou à « ce règlement » ou au « RGPD » sont remplacées par les « Lois suisses sur la protection des données » et les références à un ou plusieurs articles spécifiques du « Règlement (UE) 2016/679 » ou du « RGPD » sont remplacées par l'article ou la section équivalent des lois suisses sur la protection des données, dans la mesure applicable.
    5. Les références au règlement (UE) 2018/1725 sont supprimées.
    6. Les références à « l'Union européenne », à « l'Union », à « l'UE » et à « l'État membre de l'UE » sont toutes remplacées par « la Suisse ».
    7. La clause 13 (a) et la partie C de l'annexe I ne sont pas utilisées ; l' « autorité de surveillance compétente » est le PFDPIC ;
    8. La clause 17 est remplacée comme suit : « Les présentes clauses sont régies par le droit suisse ».
    9. La clause 18 est remplacée comme suit : « Tout litige découlant des présentes clauses relatives aux lois suisses sur la protection des données sera résolu par les tribunaux suisses. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux suisses dans lesquels elle a sa résidence habituelle. Les parties conviennent de se soumettre à la juridiction de ces tribunaux. »
ANNEXE 4 : Sous-processeurs autorisés
Sous-processeur
Descriptif
Datadog Inc.
Outil de surveillance et de fiabilité du site qui permet de suivre les performances, de détecter les problèmes et d'améliorer l'expérience utilisateur grâce à des informations et des visualisations de données en temps réel
Héberge des bases de données et des serveurs qui alimentent et sauvegardent Brisk
Snowflake Inc.
Exécute divers rapports de données sur les données précédemment capturées dans Snowflake afin que nous puissions améliorer l'outil.
Google LLC (Alphabet Inc.)
Fournit une authentification unique (SSO) aux utilisateurs de Brisk, héberge les cours des étudiants et le contenu généré par les enseignants.
Segment (Twilio Inc.)
Outil de journalisation et d'analyse qui aide les développeurs à comprendre comment les utilisateurs interagissent avec Brisk
OpenAI, Inc.
Fonctionnement anthropique sur AWS Bedrock
Services d'intelligence artificielle
Sentry (Functional Software, Inc.)
GPTZero Inc.
Outil d'analyse de texte qui permet de détecter le texte généré par l'IA
Jeune arbre
Outil d'analyse de texte qui aide à améliorer l'écriture en fournissant des suggestions de grammaire et de style
Salesforce
Héberge et suit les accords de partenariat, les points de contact et d'autres informations de coordination.