Audit. a. Le Client peut vérifier la conformité du Sous-traitant aux termes du présent Contrat de Traitement des Données jusqu'à une fois par an (soit pour son propre compte, soit sur demande d'une autorité de régulation à laquelle il est soumis et uniquement à la suite d'une requête formelle d'information émanant de cette autorité de régulation) (« Audit »). b. Le Client accepte que son droit d'audit tel qu’indiqué ci-dessus lui confère le droit d'exercer la procédure suivante : i. Le Client pourra consulter les résultats de la vérification formalisée des Mesures Techniques et Organisationnelles du Sous-traitant, tel que décrit dans la clause 6 ci-dessus, et effectuée annuellement et de manière indépendante par un tiers qualifié et digne de confiance (« Rapport de Conformité »). ii. Après examen du Rapport de Conformité, si le Client identifie des domaines qui n'ont pas été couverts et qu'il est légalement autorisé à auditer en vertu du présent Contrat de Traitement de Données, le Client soumettra une liste supplémentaire de questions raisonnablement spécifiques et détaillées au Sous-traitant par écrit (« Questions d’Audit »). 1. Dans un délai raisonnable, le Sous-traitant adressera les réponses aux Questions d'Audit (« Réponses ») au Client (ou à l’autorité de contrôle dont il dépend si le Client en fait la demande). 2. Le Client convient qu'à la réception des Réponses aux Questions d'Audit, le Client aura terminé son Audit, à moins que le Client ne puisse démontrer objectivement que les réponses ne démontrent pas de manière adéquate le respect de ses obligations légales et du présent Contrat de Traitement de données. Dans un tel cas, le Client sera alors en droit d'invoquer le processus décrit ci-dessous. iii. Sous réserve du respect des points i. et ii. ci-dessus, le Client a le droit de demander un audit formel de la conformité du Sous-traitant au termes du présent Contrat de Traitement de Données pour ce qui concerne les Questions d'Audit qui ne sont pas déjà couvertes par la documentation fournie par le Sous-traitant ("Gap Audit"). Pour ce faire, le Client doit soumettre un plan d'audit détaillé au Sous-traitant au moins deux semaines avant la date d'audit proposée. Le plan de l’audit devra décrire l'étendue, la durée et la date de début du Gap Audit. Le Sous-traitant examinera le plan d'audit et fournira au Client toute préoccupation ou question (par exemple, toute demande d'information susceptible de compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes du Sous-traitant), et travaillera avec le Client pour convenir d'un plan d'audit final. Le Gap Audit sera en tout état de cause sujet au respect de ce qui suit : 1. Il doit être effectué pendant les heures d'ouverture de l'établissement concerné, sous réserve des politiques du Sous-traitant en ce qui concerne les visiteurs sur site et ne doit pas interférer de manière déraisonnable avec les activités commerciales du Sous-traitant. 2. Les Parties conviennent d’utiliser les moyens les moins intrusifs lors de la vérification du respect des obligations du Sous-traitant au titre du présent Contrat de Traitement de Données. 3. Les Parties conviennent de respecter la nécessité pour le Sous-traitant de maintenir la sécurité de ses installations et le fonctionnement de l’entreprise sans interruption, de se protéger elle-même ainsi que les autres clients contre tous risques et d’empêcher la divulgation d’informations susceptibles de mettre en péril la confidentialité d’autres informations du Sous-traitant ou des clients du Sous-traitant. 4. Si le Client nomme un tiers pour effectuer le Gap Audit, la désignation du tiers doit faire l'objet d'un accord mutuel entre le Client et le Sous-traitant et celui-ci devra signer un accord de confidentialité dont les termes sont acceptables pour le Sous-traitant, avant d'effectuer le Gap Audit. 5. Lorsque le Client effectue un Gap Audit à la suite d'une demande d'une autorité de contrôle, et si le Sous-traitant et/ou le sous-traitant ultérieur du Sous-traitant estiment qu'il n'est pas possible de respecter un délai spécifique fixé par l’autorité de contrôle, le Sous-traitant et/ou son sous-traitant ultérieur assisteront le Client en vue de fournir les explications nécessaires sur ce point à l’autorité de contrôle. Le Client reconnaît que l'accès aux installations du sous-traitant ultérieur est soumis à l'accord du sous-traitant ultérieur concerné et que le Sous-traitant ne peut à aucun moment garantir l'accès aux installations de ce sous-traitant ultérieur. 6. Le Client fournira au Sous-traitant tous les rapports de Gap Audit produits ou rédigés en application de cette section, à moins que la loi ne l'interdise. Le Client ne peut utiliser le rapport de Gap Audit que pour satisfaire à ses obligations réglementaires en matière de vérification de conformité et/ou pour confirmer le respect des obligations prévues au présent Contrat de Traitement de Données 7. Le rapport de Gap Audit constitue une Information Confidentielle des parties soumise aux termes du Contrat de Licence. iv. A l’exception des Rapports de Conformité, tous les audits et tous les coûts et charges connexes supportés ou subis par le Sous-traitant (par exemple, les dommages causés par le client ou ses auditeurs aux installations ou aux données qui s'y trouvent) seront à la charge du Client. c. Si l'autorité de surveillance compétente du Client estime que le processus d'audit convenu et appliqué en vertu de la clause b. ci-dessus est insuffisant, les parties conviendront conjointement d'un processus et d’une portée d’audit permettant de répondre aux préoccupations soulevées par l'autorité de surveillance compétente du Client.
Appears in 1 contract
Sources: Data Processing Agreement
Audit. a. Le Client peut vérifier la Donneur d’ordre et toute autorité de contrôle pourront auditer et seront autorisés par le Fournisseur à accéder à toute information utile relative aux Biens et/ou Services. Le Fournisseur s’engage à coopérer dans le cadre d’audits ou d’analyses de risques menés par ou pour le compte du Donneur d’ordre. Sans préjudice des dispositions du dernier alinéa du présent article, les frais encourus par le Fournisseur en raison du présent article sont susceptibles d’être facturés au Donneur d’ordre, moyennant son accord écrit et préalable. Le Fournisseur s’engage à donner accès à tout moment, moyennant un préavis écrit raisonnable au Fournisseur (sauf si cela n’est pas possible en raison d’une situation d’urgence ou de crise ou si cela résulterait en une situation où l’audit ne serait plus efficace), aux agents de contrôle de conformité du Sous-traitant Donneur d’ordre, ainsi qu’aux auditeurs internes et externes agissant pour le compte de ce dernier, aux termes du présent Contrat dossiers, archives, informations et documents détenus par le Fournisseur dans le cadre de Traitement la fourniture des Données jusqu'à une fois par an Biens et/ou des Services. Le Donneur d’ordre notifiera au Fournisseur (soit pour son propre comptei) l’identité de l’organisme d’audit désigné lorsque l’organisme d’audit désigné est un tiers ou l’identité des représentants internes ; (ii) le champ d’application de l’audit (objet et contenu/éléments probants attendus), soit sur demande d'une autorité de régulation à laquelle il est soumis et uniquement (iii) des détails relatifs à la suite d'une requête formelle d'information émanant procédure qui sera suivie lors de cette autorité de régulation) (« Audit »).
b. Le Client l’audit. Par ailleurs, le Fournisseur accepte que les autorités de contrôle du Donneur d’ordre aient à tout moment la possibilité d’obtenir des informations de sa part ainsi que de son droit d'audit tel qu’indiqué ci-dessus lui confère le droit d'exercer la procédure suivante :
i. Le Client pourra consulter les résultats de la vérification formalisée des Mesures Techniques et Organisationnelles du Sous-traitant, tel que décrit dans la clause 6 ci-dessuscomptable externe, et effectuée annuellement de pratiquer des audits concernant les Biens et/ou Services. Le Fournisseur s’engage à faire ce qui est raisonnablement nécessaire en vue d’être accessible et de manière indépendante par un tiers qualifié coopérer avec ces autorités, auditeurs et digne de confiance (« Rapport de Conformité »).
iiagents. Après examen du Rapport de ConformitéIl répondra à toute question et donnera accès à tous les locaux relevant. Le Fournisseur autorisera le Donneur d’ordre, si le Client identifie des domaines qui n'ont pas été couverts et qu'il est légalement autorisé à auditer en vertu du présent Contrat de Traitement de Données, le Client soumettra une liste supplémentaire de questions raisonnablement spécifiques et détaillées au Sous-traitant par écrit (« Questions d’Audit »).
1. Dans un délai raisonnable, le Sous-traitant adressera les réponses aux Questions d'Audit (« Réponses ») au Client (ou à l’autorité de contrôle dont il dépend si le Client en fait la demande).
2et le(s) auditeur(s) désigné(s) par eux à prendre copie de tout document pertinent. Le Client convient qu'à Donneur d’ordre fera quant à lui, sauf dans l’hypothèse où ses autorités de contrôle ne lui laissent pas d’autre choix, ce qui est raisonnablement nécessaire en vue de s’assurer que les audits et inspections conduits par ou pour son compte le sont de telle manière qu’il n’en résulte pas d’inconvénients déraisonnables pour le Fournisseur et de perturbation relative à la réception fourniture des Réponses aux Questions d'AuditBiens et/ou Services. Si le Fournisseur peut démontrer que les droits de ses autres clients sont affectés, notamment par les accès, inspections ou audits susmentionnés, le Client aura terminé son Audit, à moins que le Client ne puisse démontrer objectivement que les réponses ne démontrent pas de manière adéquate le respect de ses obligations légales et du présent Contrat de Traitement de données. Dans un tel cas, le Client sera alors en droit d'invoquer le processus décrit ci-dessous.
iii. Sous réserve du respect des points i. et ii. ci-dessus, le Client a le droit de demander un audit formel de la conformité du Sous-traitant au termes du présent Contrat de Traitement de Données Donneur d’ordre peut convenir d’autres mesures alternatives pour ce qui concerne les Questions d'Audit qui ne sont pas déjà couvertes par la documentation fournie par le Sous-traitant ("Gap Audit"). Pour ce faire, le Client doit soumettre un plan d'audit détaillé au Sous-traitant au moins deux semaines avant la date d'audit proposée. Le plan de l’audit devra décrire l'étendue, la durée et la date de début du Gap Audit. Le Sous-traitant examinera le plan d'audit et fournira au Client toute préoccupation ou question (par exemple, toute demande d'information susceptible de compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes du Sous-traitant), et travaillera avec le Client pour convenir d'un plan d'audit final. Le Gap Audit sera en tout état de cause sujet au respect de ce qui suit :
1. Il doit être effectué pendant les heures d'ouverture de l'établissement concerné, sous réserve des politiques du Sous-traitant en ce qui concerne les visiteurs sur site et ne doit pas interférer de manière déraisonnable avec les activités commerciales du Sous-traitant.
2l’accès aux informations. Les Parties conviennent d’utiliser les moyens les moins intrusifs lors de la vérification du respect des obligations du Sous-traitant au titre du présent Contrat de Traitement de Données.
3. Les Parties conviennent de respecter la nécessité pour le Sous-traitant de maintenir la sécurité de ses installations et le fonctionnement de l’entreprise sans interruption, de se protéger elle-même ainsi que les autres clients contre tous risques audits ou inspections seront limitées à un audit ou une inspection par an, sauf si : - le Contrat en dispose autrement ; - un incident majeur se produit ; - un audit est demandé par une autorité de contrôle ou ; - un changement significatif se produit. Dans ces quatre cas, l’audit peut être réalisé sans notification préalable. Dans l’hypothèse où l’inspection conduite conformément au présent article obligerait le Fournisseur à suivre et d’empêcher implémenter des recommandations relatives à la divulgation d’informations susceptibles fourniture des Biens et/ou Services, les coûts y ayant trait seront supportés par le Donneur d’ordre sauf dans la mesure où l’implémentation de mettre en péril la confidentialité d’autres informations du Sous-traitant ou des clients du Sous-traitant.
4. Si le Client nomme un tiers pour effectuer le Gap Audit, la désignation du tiers doit faire l'objet d'un accord mutuel entre le Client et le Sous-traitant et celui-ci devra signer un accord de confidentialité dont les termes sont acceptables pour le Sous-traitant, avant d'effectuer le Gap Audit.
5. Lorsque le Client effectue un Gap Audit ces recommandations serait requise à la suite d'une demande d'une autorité de contrôle, et si la non-exécution par le Sous-traitant et/ou le sous-traitant ultérieur du Sous-traitant estiment qu'il n'est pas possible Fournisseur de respecter un délai spécifique fixé par l’autorité de contrôle, le Sous-traitant et/ou son sous-traitant ultérieur assisteront le Client en vue de fournir les explications nécessaires sur ce point à l’autorité de contrôle. Le Client reconnaît que l'accès aux installations du sous-traitant ultérieur est soumis à l'accord du sous-traitant ultérieur concerné et que le Sous-traitant ne peut à aucun moment garantir l'accès aux installations de ce sous-traitant ultérieur.
6. Le Client fournira au Sous-traitant tous les rapports de Gap Audit produits ou rédigés en application de cette section, à moins que la loi ne l'interdise. Le Client ne peut utiliser le rapport de Gap Audit que pour satisfaire à ses obligations réglementaires en matière de vérification de conformité et/ou pour confirmer le respect des obligations prévues au présent Contrat de Traitement de Données
7. Le rapport de Gap Audit constitue une Information Confidentielle des parties soumise aux termes du Contrat de Licencecontractuelles.
iv. A l’exception des Rapports de Conformité, tous les audits et tous les coûts et charges connexes supportés ou subis par le Sous-traitant (par exemple, les dommages causés par le client ou ses auditeurs aux installations ou aux données qui s'y trouvent) seront à la charge du Client.
c. Si l'autorité de surveillance compétente du Client estime que le processus d'audit convenu et appliqué en vertu de la clause b. ci-dessus est insuffisant, les parties conviendront conjointement d'un processus et d’une portée d’audit permettant de répondre aux préoccupations soulevées par l'autorité de surveillance compétente du Client.
Appears in 1 contract
Sources: Conditions Générales D’achat
Audit. a. Le Client s’engage à maintenir à jour un registre comprenant avec précision, les indications suivantes, selon le cas : • lieu où se situe chacune des copies du Logiciel ; • références et localisation de tout poste de travail sur lequel le Logiciel est installé ; • références et localisation du(des) serveur(s) et sur le(s)quel(s) le Logiciel est installé. L’Éditeur peut réaliser un audit afin de vérifier le respect par le Client des stipulations du présent Contrat, dans les conditions ci-après définies. L’audit est réalisé moyennant un préavis de notifié au Client par l’Éditeur, ou par tout tiers auditeur mandaté par l’Éditeur. Il est convenu entre les Parties que la conformité fréquence de la procédure d’audit est limitée à un audit par . L’audit est réalisé au moyen des outils suivants: . Dans le cadre de la réalisation de l’audit, le Client s’engage : • à coopérer pleinement avec l’Éditeur ou l’auditeur tiers, durant les opérations d’audit ; • à permettre à l’Éditeur ou à l’auditeur autorisé d'accéder à ses bureaux, postes de travail et serveurs ; L’Éditeur ou l’auditeur autorisé s’engagent chacun à respecter les règles de sécurité du Sous-traitant aux Client lors des opérations d’audit sous réserve qu’elles aient été communiquées au préalable à l’Éditeur. Les Informations Confidentielles auxquelles l’Éditeur ou l’auditeur tiers accède dans le cadre de l’exécution de l’audit sont régies par l’Article « Confidentialité » du présent Contrat. Dans le cas où l’audit ferait ressortir une violation des termes du présent Contrat par le Client, les Parties conviennent de Traitement des Données jusqu'à une fois par an (soit pour son propre compte, soit sur demande d'une autorité de régulation à laquelle il est soumis et uniquement à la suite d'une requête formelle d'information émanant de cette autorité de régulation) (« Audit »).
b. Le Client accepte que son droit d'audit tel qu’indiqué ci-dessus lui confère le droit d'exercer la procédure suivante :
i. Le Client pourra consulter les résultats de la vérification formalisée des Mesures Techniques et Organisationnelles du Sous-traitant, tel que décrit dans la clause 6 ci-dessus, et effectuée annuellement et de manière indépendante par un tiers qualifié et digne de confiance (« Rapport de Conformité »): .
ii. Après examen du Rapport de Conformité, si le Client identifie des domaines qui n'ont pas été couverts et qu'il est légalement autorisé à auditer en vertu du présent Contrat de Traitement de Données, le Client soumettra une liste supplémentaire de questions raisonnablement spécifiques et détaillées au Sous-traitant par écrit (« Questions d’Audit »).
1. Dans un délai raisonnable, le Sous-traitant adressera les réponses aux Questions d'Audit (« Réponses ») au Client (ou à l’autorité de contrôle dont il dépend si le Client en fait la demande).
2. Le Client convient qu'à la réception des Réponses aux Questions d'Audit, le Client aura terminé son Audit, à moins que le Client ne puisse démontrer objectivement que les réponses ne démontrent pas de manière adéquate le respect de ses obligations légales et du présent Contrat de Traitement de données. Dans un tel cas, le Client sera alors en droit d'invoquer le processus décrit ci-dessous.
iii. Sous réserve du respect des points i. et ii. ci-dessus, le Client a le droit de demander un audit formel de la conformité du Sous-traitant au termes du présent Contrat de Traitement de Données pour ce qui concerne les Questions d'Audit qui ne sont pas déjà couvertes par la documentation fournie par le Sous-traitant ("Gap Audit"). Pour ce faire, le Client doit soumettre un plan d'audit détaillé au Sous-traitant au moins deux semaines avant la date d'audit proposée. Le plan de l’audit devra décrire l'étendue, la durée et la date de début du Gap Audit. Le Sous-traitant examinera le plan d'audit et fournira au Client toute préoccupation ou question (par exemple, toute demande d'information susceptible de compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes du Sous-traitant), et travaillera avec le Client pour convenir d'un plan d'audit final. Le Gap Audit sera en tout état de cause sujet au respect de ce qui suit :
1. Il doit être effectué pendant les heures d'ouverture de l'établissement concerné, sous réserve des politiques du Sous-traitant en ce qui concerne les visiteurs sur site et ne doit pas interférer de manière déraisonnable avec les activités commerciales du Sous-traitant.
2. Les Parties conviennent d’utiliser les moyens les moins intrusifs lors de la vérification du respect des obligations du Sous-traitant au titre du présent Contrat de Traitement de Données.
3. Les Parties conviennent de respecter la nécessité pour le Sous-traitant de maintenir la sécurité de ses installations et le fonctionnement de l’entreprise sans interruption, de se protéger elle-même ainsi que les autres clients contre tous risques et d’empêcher la divulgation d’informations susceptibles de mettre en péril la confidentialité d’autres informations du Sous-traitant ou des clients du Sous-traitant.
4. Si le Client nomme un tiers pour effectuer le Gap Audit, la désignation du tiers doit faire l'objet d'un accord mutuel entre le Client et le Sous-traitant et celui-ci devra signer un accord de confidentialité dont les termes sont acceptables pour le Sous-traitant, avant d'effectuer le Gap Audit.
5. Lorsque le Client effectue un Gap Audit à la suite d'une demande d'une autorité de contrôle, et si le Sous-traitant et/ou le sous-traitant ultérieur du Sous-traitant estiment qu'il n'est pas possible de respecter un délai spécifique fixé par l’autorité de contrôle, le Sous-traitant et/ou son sous-traitant ultérieur assisteront le Client en vue de fournir les explications nécessaires sur ce point à l’autorité de contrôle. Le Client reconnaît que l'accès aux installations du sous-traitant ultérieur est soumis à l'accord du sous-traitant ultérieur concerné et que le Sous-traitant ne peut à aucun moment garantir l'accès aux installations de ce sous-traitant ultérieur.
6. Le Client fournira au Sous-traitant tous les rapports de Gap Audit produits ou rédigés en application de cette section, à moins que la loi ne l'interdise. Le Client ne peut utiliser le rapport de Gap Audit que pour satisfaire à ses obligations réglementaires en matière de vérification de conformité et/ou pour confirmer le respect des obligations prévues au présent Contrat de Traitement de Données
7. Le rapport de Gap Audit constitue une Information Confidentielle des parties soumise aux termes du Contrat de Licence.
iv. A l’exception des Rapports de Conformité, tous les audits et tous les coûts et charges connexes supportés ou subis par le Sous-traitant (par exemple, les dommages causés par le client ou ses auditeurs aux installations ou aux données qui s'y trouvent) seront à la charge du Client.
c. Si l'autorité de surveillance compétente du Client estime que le processus d'audit convenu et appliqué en vertu de la clause b. ci-dessus est insuffisant, les parties conviendront conjointement d'un processus et d’une portée d’audit permettant de répondre aux préoccupations soulevées par l'autorité de surveillance compétente du Client.
Appears in 1 contract
Sources: License Agreement
Audit. a. Le Client peut vérifier la conformité du Sous-traitant aux termes du présent Contrat de Traitement des Données jusqu'à une fois par an (soit L’Acheteur pourra à tout moment faire procéder pour son propre comptecompte à ses frais ou pour le compte de son Client le cas échéant à des conditions particulières convenues, à un ou plusieurs audit (s) notamment des moyens et des outils affectés par le Fournisseur à l’exécution de la Commande. Cet (ces) audit(s) pourra (ont) porter notamment sur le respect des obligations contractuelles du Fournisseur. Cet (ces) audit(s) pourra (ont), au choix de l’Acheteur, être effectué(s) soit par les soins d’une structure d’audit interne de l’Acheteur, soit par un cabinet extérieur à celui-ci, soumis au secret professionnel. L’Acheteur devra aviser le Fournisseur par écrit de son intention de faire procéder à l’audit, moyennant le respect d’un préavis minimum de sept (7) jours. En tout état de cause, l’Acheteur devra informer le Fournisseur de l’identité de la structure d’audit retenue lorsqu’il s’agit d’un cabinet extérieur. Le Fournisseur pourra opposer un refus d’audit, en le notifiant à l’Acheteur dans les sept (7) jours suivant la réception de l’information préalable fournie par ce dernier lorsque l’audit sera effectué par un cabinet extérieur exerçant une activité concurrente de celle du Fournisseur. Dans ce cas, après concertation avec le Fournisseur, l’Acheteur notifiera à ce dernier le nom d’un nouveau cabinet d’audit. A défaut d’accord sur demande d'une autorité le nouveau cabinet d’audit proposé, l’Acheteur peut résilier la Commande aux torts du Fournisseur sans préjudice de régulation tous dommages et intérêts éventuels dans les conditions de l’article 25.2 «RESILIATION POUR MANQUEMENT». Dans le cadre de cet audit, le Fournisseur s’engage à laquelle il est soumis favoriser l’accès des auditeurs sur son site, à coopérer pleinement avec eux et uniquement à leur fournir toutes les informations nécessaires. Le Fournisseur devra permettre aux auditeurs désignés d’accéder à toutes les installations, à toutes les informations et documents qui seraient nécessaires au bon déroulement de l’audit. Un exemplaire ou un extrait du rapport d’audit sera gratuitement remis par l’Acheteur au Fournisseur à sa demande. Il fera l’objet d’un examen dans le cadre de la suite d'une requête formelle d'information émanant réunion des interlocuteurs principaux des Parties. Au cas où l’audit ferait apparaitre un non-respect des obligations du Fournisseur, ce dernier s’engage à mettre en œuvre à ses frais les mesures correctives nécessaires dans un délai de cette autorité dix (10) jours à compter de régulation) (« Audit »).
b. Le Client accepte que son droit d'audit tel qu’indiqué ci-dessus lui confère le droit d'exercer la notification de l’Acheteur. La mise en œuvre ou non de la procédure suivante :
i. Le Client pourra consulter les résultats de la vérification formalisée des Mesures Techniques et Organisationnelles d’audit n’exonère d’aucune manière le Fournisseur du Sous-traitant, tel que décrit dans la clause 6 ci-dessus, et effectuée annuellement et de manière indépendante par un tiers qualifié et digne de confiance (« Rapport de Conformité »).
ii. Après examen du Rapport de Conformité, si le Client identifie des domaines qui n'ont pas été couverts et qu'il est légalement autorisé à auditer en vertu du présent Contrat de Traitement de Données, le Client soumettra une liste supplémentaire de questions raisonnablement spécifiques et détaillées au Sous-traitant par écrit (« Questions d’Audit »).
1. Dans un délai raisonnable, le Sous-traitant adressera les réponses aux Questions d'Audit (« Réponses ») au Client (ou à l’autorité de contrôle dont il dépend si le Client en fait la demande).
2. Le Client convient qu'à la réception des Réponses aux Questions d'Audit, le Client aura terminé son Audit, à moins que le Client ne puisse démontrer objectivement que les réponses ne démontrent pas de manière adéquate le respect de ses obligations légales et du présent Contrat de Traitement de données. Dans un tel cas, le Client sera alors en droit d'invoquer le processus décrit ci-dessouscontractuelles.
iii. Sous réserve du respect des points i. et ii. ci-dessus, le Client a le droit de demander un audit formel de la conformité du Sous-traitant au termes du présent Contrat de Traitement de Données pour ce qui concerne les Questions d'Audit qui ne sont pas déjà couvertes par la documentation fournie par le Sous-traitant ("Gap Audit"). Pour ce faire, le Client doit soumettre un plan d'audit détaillé au Sous-traitant au moins deux semaines avant la date d'audit proposée. Le plan de l’audit devra décrire l'étendue, la durée et la date de début du Gap Audit. Le Sous-traitant examinera le plan d'audit et fournira au Client toute préoccupation ou question (par exemple, toute demande d'information susceptible de compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes du Sous-traitant), et travaillera avec le Client pour convenir d'un plan d'audit final. Le Gap Audit sera en tout état de cause sujet au respect de ce qui suit :
1. Il doit être effectué pendant les heures d'ouverture de l'établissement concerné, sous réserve des politiques du Sous-traitant en ce qui concerne les visiteurs sur site et ne doit pas interférer de manière déraisonnable avec les activités commerciales du Sous-traitant.
2. Les Parties conviennent d’utiliser les moyens les moins intrusifs lors de la vérification du respect des obligations du Sous-traitant au titre du présent Contrat de Traitement de Données.
3. Les Parties conviennent de respecter la nécessité pour le Sous-traitant de maintenir la sécurité de ses installations et le fonctionnement de l’entreprise sans interruption, de se protéger elle-même ainsi que les autres clients contre tous risques et d’empêcher la divulgation d’informations susceptibles de mettre en péril la confidentialité d’autres informations du Sous-traitant ou des clients du Sous-traitant.
4. Si le Client nomme un tiers pour effectuer le Gap Audit, la désignation du tiers doit faire l'objet d'un accord mutuel entre le Client et le Sous-traitant et celui-ci devra signer un accord de confidentialité dont les termes sont acceptables pour le Sous-traitant, avant d'effectuer le Gap Audit.
5. Lorsque le Client effectue un Gap Audit à la suite d'une demande d'une autorité de contrôle, et si le Sous-traitant et/ou le sous-traitant ultérieur du Sous-traitant estiment qu'il n'est pas possible de respecter un délai spécifique fixé par l’autorité de contrôle, le Sous-traitant et/ou son sous-traitant ultérieur assisteront le Client en vue de fournir les explications nécessaires sur ce point à l’autorité de contrôle. Le Client reconnaît que l'accès aux installations du sous-traitant ultérieur est soumis à l'accord du sous-traitant ultérieur concerné et que le Sous-traitant ne peut à aucun moment garantir l'accès aux installations de ce sous-traitant ultérieur.
6. Le Client fournira au Sous-traitant tous les rapports de Gap Audit produits ou rédigés en application de cette section, à moins que la loi ne l'interdise. Le Client ne peut utiliser le rapport de Gap Audit que pour satisfaire à ses obligations réglementaires en matière de vérification de conformité et/ou pour confirmer le respect des obligations prévues au présent Contrat de Traitement de Données
7. Le rapport de Gap Audit constitue une Information Confidentielle des parties soumise aux termes du Contrat de Licence.
iv. A l’exception des Rapports de Conformité, tous les audits et tous les coûts et charges connexes supportés ou subis par le Sous-traitant (par exemple, les dommages causés par le client ou ses auditeurs aux installations ou aux données qui s'y trouvent) seront à la charge du Client.
c. Si l'autorité de surveillance compétente du Client estime que le processus d'audit convenu et appliqué en vertu de la clause b. ci-dessus est insuffisant, les parties conviendront conjointement d'un processus et d’une portée d’audit permettant de répondre aux préoccupations soulevées par l'autorité de surveillance compétente du Client.
Appears in 1 contract
Sources: Conditions Générales d'Achat
Audit. a. Le Client peut vérifier la conformité du Sous-traitant aux termes du présent Contrat de Traitement des Données jusqu'à une fois par an (soit pour son propre compte, soit sur demande d'une autorité de régulation à laquelle il est soumis et uniquement à la suite d'une requête formelle d'information émanant de cette autorité de régulation) (« Audit »).
b. Le Client accepte que son droit d'audit tel qu’indiqué ci-dessus lui confère le droit d'exercer la procédure suivante :
i. Le Client pourra consulter les résultats de la vérification formalisée des Mesures Techniques et Organisationnelles du Sous-traitant, tel que décrit dans la clause 6 ci-dessus, et effectuée annuellement et de manière indépendante par un tiers qualifié et digne de confiance (« Rapport de Conformité »).
ii. Après examen du Rapport de Conformité, si le Client identifie des domaines qui n'ont pas été couverts et qu'il est légalement autorisé à auditer en vertu du présent Contrat de Traitement de Données, le Client soumettra une liste supplémentaire de questions raisonnablement spécifiques et détaillées au Sous-traitant par écrit (« Questions d’Audit »).
1. Dans un délai raisonnable, le Sous-traitant adressera les réponses aux Questions d'Audit (« Réponses ») au Client (ou à l’autorité de contrôle dont il dépend si le Client en fait la demande).
2. Le Client convient qu'à la réception des Réponses aux Questions d'Audit, le Client aura terminé son Audit, à moins que le Client ne puisse démontrer objectivement que les réponses ne démontrent pas de manière adéquate le respect de ses obligations légales et du présent Contrat de Traitement de données. Dans un tel cas, le Client sera alors en droit d'invoquer le processus décrit ci-dessous.
iii. Sous réserve du respect des points i. et ii. ci-dessus, le Client a le droit de demander un audit formel de la conformité du Sous-traitant au termes du présent Contrat de Traitement de Données pour ce qui concerne les Questions d'Audit qui ne sont pas déjà couvertes par la documentation fournie par le Sous-traitant ("Gap Audit"). Pour ce faire, le Client doit soumettre un plan d'audit détaillé au Sous-traitant au moins deux semaines avant la date d'audit proposée. Le plan de l’audit devra décrire l'étendue, la durée et la date de début du Gap Audit. Le Sous-traitant examinera le plan d'audit et fournira au Client toute préoccupation ou question (par exemple, toute demande d'information susceptible de compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes du Sous-traitant), et travaillera avec le Client pour convenir d'un plan d'audit final. Le Gap Audit sera en tout état de cause sujet au respect de ce qui suit :
1. Il doit être effectué pendant les heures d'ouverture de l'établissement concerné, sous réserve des politiques du Sous-traitant en ce qui concerne les visiteurs sur site et ne doit pas interférer de manière déraisonnable avec les activités commerciales du Sous-Sous- traitant.
2. Les Parties conviennent d’utiliser les moyens les moins intrusifs lors de la vérification du respect des obligations du Sous-traitant au titre du présent Contrat de Traitement de Données.
3. Les Parties conviennent de respecter la nécessité pour le Sous-traitant de maintenir la sécurité de ses installations et le fonctionnement de l’entreprise sans interruption, de se protéger elle-même ainsi que les autres clients contre tous risques et d’empêcher la divulgation d’informations susceptibles de mettre en péril la confidentialité d’autres informations du Sous-traitant ou des clients du Sous-traitant.
4. Si le Client nomme un tiers pour effectuer le Gap Audit, la désignation du tiers doit faire l'objet d'un accord mutuel entre le Client et le Sous-traitant et celui-ci devra signer un accord de confidentialité dont les termes sont acceptables pour le Sous-Sous- traitant, avant d'effectuer le Gap Audit.
5. Lorsque le Client effectue un Gap Audit à la suite d'une demande d'une autorité de contrôle, et si le Sous-traitant et/ou le sous-traitant ultérieur du Sous-traitant estiment qu'il n'est pas possible de respecter un délai spécifique fixé par l’autorité de contrôle, le Sous-traitant et/ou son sous-traitant ultérieur assisteront le Client en vue de fournir les explications nécessaires sur ce point à l’autorité de contrôle. Le Client reconnaît que l'accès aux installations du sous-traitant ultérieur est soumis à l'accord du sous-traitant ultérieur concerné et que le Sous-traitant ne peut à aucun moment garantir l'accès aux installations de ce sous-traitant ultérieur.
6. Le Client fournira au Sous-traitant tous les rapports de Gap Audit produits ou rédigés en application de cette section, à moins que la loi ne l'interdise. Le Client ne peut utiliser le rapport de Gap Audit que pour satisfaire à ses obligations réglementaires en matière de vérification de conformité et/ou pour confirmer le respect des obligations prévues au présent Contrat de Traitement de Données
7. Le rapport de Gap Audit constitue une Information Confidentielle des parties soumise aux termes du Contrat de Licence.
iv. A l’exception des Rapports de Conformité, tous les audits et tous les Chaque partie supporte ses propres coûts et charges connexes supportés ou subis par le Sous-traitant (par exemple, les dommages causés par le client ou ses auditeurs aux installations ou aux données qui s'y trouvent) seront liés à la charge du Clientun audit.
c. Si l'autorité de surveillance compétente du Client estime que le processus d'audit convenu et appliqué en vertu de la clause b. ci-dessus est insuffisant, les parties conviendront conjointement d'un processus et d’une portée d’audit permettant de répondre aux préoccupations soulevées par l'autorité de surveillance compétente du Client.
Appears in 1 contract
Sources: Data Processing Agreement