Accord relatif au traitement des données de LinkedIn

12 décembre 2022

Table des matières

  • Accord relatif au traitement des données de LinkedIn (ATD)
  • Annexe A : Description du transfert
  • Annexe B : Addendum CCPA
  • Annexe C : Conditions et modifications spécifiques à Glint
  • Annexe D : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données

Le présent Accord relatif au traitement des données de LinkedIn (l’“ATD”), conclu par le client de LinkedIn identifié dans le document de commande LinkedIn applicable pour les services LinkedIn (le “Client”) et la société LinkedIn identifiée dans le document de commande (et ses sociétés affiliées, “LinkedIn”), régit le traitement des Données à caractère personnel que le Client télécharge ou communique d’une autre manière à LinkedIn en lien avec les services, le traitement des Données à caractère personnel par LinkedIn pour le compte du Client en lien avec les services et le traitement des Données à caractère personnel que LinkedIn télécharge ou communique d’une autre manière au Client en lien avec les services. Les conditions propres aux services Glint de LinkedIn sont indiquées dans l’Annexe C du présent ATD.

Le présent ATD est intégré au contrat de services LinkedIn concerné, annexé au document de commande ou incorporé à celui-ci par renvoi, précédemment signé par le Client, dénommé de façon générique dans le présent ATD “Contrat LinkedIn”. Collectivement, l’ATD (y compris les CCT, telles que définies aux présentes), le Contrat LinkedIn ainsi que les documents de commande applicables sont ici dénommés l’“Accord”. En cas de contradiction ou d’incohérence entre des termes de l’Accord, les dispositions des documents suivants (par ordre de priorité) doivent prévaloir : (a) les CCT ; (b) le document de commande applicable au Contrat LinkedIn ; (c) le présent ATD ; (d) le Contrat LinkedIn. Sauf modification expresse en vertu du présent ATD, le Contrat LinkedIn ainsi que le document de commande applicable demeurent inchangés et restent en vigueur et de plein effet.

1. DÉFINITIONS

“CCPA” signifie California Consumer Privacy Act et désigne la loi californienne de protection des données de 2018, telle que modifiée par la loi californienne sur le droit à la vie privée (California Privacy Rights Act) de 2020, ainsi que toute législation ou réglementation qui en dérive.

“Données à caractère personnel du Client” désigne les données personnelles que le Client télécharge ou communique d’une autre manière à LinkedIn en lien avec l’utilisation des services de LinkedIn.

“Exigences en matière de protection des données” désigne le Règlement général sur la protection des données, et toute loi, réglementation et autres exigences légales applicables relatives à (a) la vie privée, la sécurité des données, la protection des Données à caractère personnel ; et (b) le traitement de toute Donnée à caractère personnel. Les Exigences en matière de protection des données peuvent inclure, sans toutefois s’y limiter, le RGPD du Royaume-Uni, la loi suisse sur la protection des données de 2020, Lei Geral de Proteção de Dados (Loi générale sur la protection des données du Brésil), le CCPA (California Consumer Privacy Act), la loi sur la protection de la vie privée du Colorado, la loi sur la confidentialité des données du Connecticut, la loi sur la protection de la vie privée des consommateurs de l’Utah et la loi sur la protection des données des consommateurs de Virginie.

“Données européennes à caractère personnel” désigne les Données à caractère personnel dont le partage conformément au présent Accord est régi par le Règlement général sur la protection des données.

“Règlement général sur la protection des données” ou “RGPD” désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil et toute législation ou réglementation dérivée de la mise en œuvre du Règlement général sur la protection des données.

“Données à caractère personnel” désigne un renseignement concernant une personne qui (a) peut être utilisé afin d’identifier, de contacter ou de localiser une personne donnée ; (b) peut être combiné avec d’autres informations permettant d’identifier, de contacter ou de localiser une personne donnée ; ou (c) est défini comme “Données à caractère personnel” ou “informations personnelles” par les lois et réglementations applicables relatives à la collecte, à l’utilisation, au stockage ou à la divulgation de données concernant une personne identifiable.

“Violation des données à caractère personnel” désigne toute destruction, perte, altération, divulgation non autorisée, accidentelle ou illicite, de Données à caractère personnel du Client, ou tout accès non autorisé, accidentel ou illicite, à celles-ci.

“Traitement” et les termes apparentés désignent toute opération ou ensemble d’opérations portant sur des Données à caractère personnel ou des ensembles de Données à caractère personnel, faisant appel à des moyens automatisés ou non, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d’une autre manière, l’alignement ou la combinaison, la limitation, l’effacement ou la destruction.   

“CCT” désigne les clauses contractuelles types de la Commission européenne conclues entre les parties en vertu du présent Accord.

“Sous-traitant ultérieur” désigne toute entité qui fournit des services de traitement à LinkedIn en complément au traitement de LinkedIn des Données à caractère personnel du Client.

“Autorité de contrôle” désigne toute autorité publique indépendante (i) créée par un État membre de l’Union européenne conformément à l’article 51 du Règlement général sur la protection des données ; ou (ii) l’autorité publique régissant la protection des données, qui dispose de l’autorité de contrôle et de la compétence sur le Client.

“RGPD du Royaume-Uni” désigne le Règlement général de la protection des données du Royaume-Uni, modifié par la loi relative à la protection des données de 2018.

“Données britanniques à caractère personnel” désigne les Données à caractère personnel dont le partage conformément au présent Accord est régi par le RGPD du Royaume-Uni.

2. NATURE DU TRAITEMENT DES DONNÉES

Chacune des parties accepte de traiter les Données à caractère personnel qu’elle reçoit en vertu du présent Accord uniquement conformément aux finalités énoncées dans le présent Accord. Pour lever toute ambiguïté, les catégories de Données à caractère personnel traitées ainsi que les catégories de personnes concernées par les données et soumises au présent ATD sont décrites dans l’Annexe A aux présentes.

3. RESPECT DES LOIS

Les parties s’engagent à respecter les obligations qui leur incombent en vertu des Exigences en matière de protection des données applicables.

4. OBLIGATIONS DU CLIENT

4.1   Le Client accepte de : (i) déterminer les finalités et les moyens généralement utilisés pour le traitement des Données à caractère personnel du Client par LinkedIn conformément à l’Accord ; et (ii) se conformer aux obligations de protection, de sécurité et autres concernant les Données à caractère personnel du Client prévues par les Exigences en matière de protection des données pour les responsables du traitement.  

4.2   Le Client accepte, à la demande de LinkedIn, de désigner à LinkedIn un seul contact de référence (l’“Administrateur principal”) ayant la responsabilité (i) de recevoir les demandes des personnes concernées par les données reçues par LinkedIn concernant les Données à caractère personnel du Client et d’y répondre ; et (ii) d’informer LinkedIn de la réponse envisagée par le Client à toute demande de la part des personnes concernées liées au Client en ce qui concerne l’accès aux Données à caractère personnel du Client que LinkedIn traite pour le Client, ou leur rectification, effacement, limitation, portabilité, blocage ou suppression, et d’autoriser LinkedIn à répondre auxdites demandes de la part du Client.

5. OBLIGATIONS DE LINKEDIN

5.1 Exigences en matière de traitement. LinkedIn :

a. Traitera les Données à caractère personnel du Client (i) uniquement dans le but de fournir et d’améliorer les services de LinkedIn (y compris pour se procurer des informations à des fins d’analyse et d’autres rapports), en appliquant les mesures de sécurité techniques et organisationnelles appropriées ; et (ii) conformément aux instructions reçues de la part du Client. LinkedIn n’utilisera pas et ne traitera pas les Données à caractère personnel du Client à d’autres finalités, quelles qu’elles soient. LinkedIn informera le Client par écrit dans les meilleurs délais si la société n’est pas en mesure de respecter les exigences énoncées dans les articles 5 à 8 du présent ATD, auquel cas le Client pourra résilier le présent Accord ou prendre toute autre mesure raisonnable, y compris suspendre les opérations de traitement de ses données ;

b. Informera le Client dans les meilleurs délais si, de l’avis de LinkedIn, une instruction émanant du Client viole les Exigences en matière de protection des données applicables ;

c. Si LinkedIn collecte des Données à caractère personnel du Client auprès de personnes physiques pour le compte du Client, la société suivra les instructions du Client concernant ladite collecte des Données à caractère personnel du Client (y compris en ce qui concerne l’envoi d’avis et l’exercice de choix) ;

d. Prendra toutes les mesures pour s’assurer que (i) son personnel et (ii) toute autre personne engagée pour fournir des prestations pour le compte de LinkedIn respectent les termes du présent Accord ;

e. Veillera à ce que ses employés, ses agents agréés et tout Sous-traitant ultérieur reconnaissent et respectent impérativement la confidentialité des Données à caractère personnel du Client, y compris lorsque leur emploi, leur contrat ou leur mission auront pris fin ;

f. Si la société a l’intention d’engager des Sous-traitants ultérieurs pour l’aider à satisfaire à ses obligations conformément au présent ATD ou pour déléguer tout ou partie de ses activités de traitement auxdits Sous-traitants ultérieurs, (i) à l’exclusion de la liste de Sous-traitants ultérieurs et des Sociétés affiliées que LinkedIn tient à jour en ligne (actuellement consultable sur https://legal.linkedin.com/customer-subprocessors [en anglais]), elle obtiendra le consentement préalable du Client concernant ladite sous-traitance ultérieure, lequel consentement ne pourra pas être déraisonnablement refusé ; (ii) elle restera responsable vis-à-vis du Client au titre des actes et omissions de ses Sous-traitants ultérieurs concernant la protection des données lorsque lesdits Sous-traitants ultérieurs agissent sur les instructions de LinkedIn ; et (iii) elle signera, avec lesdits Sous-traitants ultérieurs, des documents contractuels qui les contraignent à offrir le même niveau de protection des données et de sécurité de l’information que celui prévu aux présentes ; et

g. Fournira au Client, sur demande, une cartographie des politiques de sécurité de LinkedIn relatives aux contrôles mentionnés dans la norme ISO/IEC 27001.  

5.2 Avis au Client. LinkedIn informera le Client si elle a connaissance :

a. D’une quelconque violation, par LinkedIn ou ses employés, des articles 5 à 8 du présent ATD ou des Exigences en matière de protection des données relatives à la protection des Données à caractère personnel du Client traitées en vertu du présent ATD ;

b. De toute injonction émanant d’une administration dans laquelle la société est mise en demeure de divulguer les Données à caractère personnel du Client, excepté si la loi interdit à LinkedIn d’en informer le Client, par exemple pour préserver le secret de l’instruction ;

c. De tout courrier, avis ou enquête concernant les Données à caractère personnel du Client émanant d’une Autorité de contrôle ; ou

d. De toute demande ou réclamation (en particulier, les demandes d’accès, de rectification, d’effacement, de limitation, de portabilité, de blocage ou de suppression des Données à caractère personnel du Client) reçue directement de la part des personnes concernées liées au Client. LinkedIn ne répondra pas à ce type de demandes sans l’autorisation préalable écrite du Client.

5.3 Assistance au Client. LinkedIn apportera une assistance raisonnable au Client concernant :

a. Toute demande de la part des personnes concernées liées au Client en ce qui concerne l’accès aux Données à caractère personnel du Client que LinkedIn traite pour le Client, ou leur rectification, effacement, limitation, portabilité, blocage ou suppression. Dans le cas où une personne concernée par les données enverrait une demande directement à LinkedIn, LinkedIn transmettra dans les meilleurs délais la demande au Client.

b. Les enquêtes sur des Violations de Données à caractère personnel et la notification à l’Autorité de contrôle ainsi qu’aux personnes concernées par les données liées au Client concernant lesdites Violations de Données à caractère personnel ; et

c. S’il y a lieu, la mise en œuvre d’évaluations d’impact de la protection des données et, si nécessaire, la conduite de consultations auprès de toute Autorité de contrôle.

5.4 Traitement obligatoire. Si LinkedIn est tenue, au titre des Exigences en matière de protection des données, de traiter des Données à caractère personnel du Client pour un autre motif que la fourniture des services visés dans le présent Accord, LinkedIn avertira le Client de cette exigence en amont de tout traitement, excepté s’il lui est légalement interdit d’informer le Client dudit traitement (par exemple, en vertu de textes garantissant des principes de secret qui peuvent exister selon la législation applicable d’États membres de l’Union européenne).

5.5 Sécurité. LinkedIn :

a. Appliquera en permanence des mesures de sécurité organisationnelles et techniques appropriées (y compris en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, le contrôle des accès, la surveillance et l’enregistrement dans des fichiers journaux, la vulnérabilité et la détection de failles, les réponses aux incidents et le chiffrement des Données à caractère personnel du Client en transit ou au repos) conçues pour protéger les Données à caractère personnel du Client contre toute perte, altération, divulgation ou destruction non autorisées ou accidentelles ou contre tout accès non autorisé ou accidentel à celles-ci, notamment les mesures de sécurité énoncées à l’Annexe D du présent ATD, qui s’applique en tant qu’Annexe II des CCT ;

b. Sera responsable du caractère suffisant des garanties de sécurité, du caractère privé et de confidentialité de tous les personnels travaillant pour LinkedIn en ce qui concerne les Données à caractère personnel du Client, ainsi que de tout manquement imputable auxdits personnels de LinkedIn concernant le respect des termes du présent ATD ;

c. Prendra des mesures raisonnables pour s’assurer que tous les personnels de LinkedIn protègent la sécurité, le caractère privé et la confidentialité des Données à caractère personnel du Client, conformément aux exigences du présent ATD, qui s’applique en tant qu’Annexe II des CCT ; et

d. Notifiera le Client de toute Violation de Données à caractère personnel imputable à LinkedIn, ses sous-traitants ultérieurs ou tout autre tiers agissant pour le compte de LinkedIn, et ce, dans les meilleurs délais et 48 heures au plus tard après avoir pris connaissance d’une telle violation de Données à caractère personnel.

e. En cas de Violation de Données à caractère personnel résultant soit (i) de la négligence ou de la faute intentionnelle de LinkedIn (ou de tout Sous-traitant ultérieur de LinkedIn conformément à l’Article 5.1(f)), soit (ii) d’un manquement grave de LinkedIn à l’obligation de se conformer aux conditions du présent ATD, LinkedIn assumera tous les frais associés à l’examen et à la résolution de la Violation de Données à caractère personnel. LinkedIn fournira un remboursement raisonnable au Client pour tous frais associés à la notification des individus affectés conformément à la loi ou à la fourniture aux individus d’un contrôle des crédits ou de tout autre service de résolution approprié, sous réserve que LinkedIn, en tant que responsable du traitement, respecte ses engagements conformément à l’article 5.3(b) du présent ATD.

6. AUDIT, CERTIFICATION

6.1 Audit d’un Client par une Autorité de contrôle Si une Autorité de contrôle exige un audit des installations de traitement des données à partir desquelles LinkedIn traite les Données à caractère personnel du Client afin de vérifier ou de contrôler la conformité du Client avec les Exigences en matière de protection des données, LinkedIn devra apporter son entière coopération. Le Client prendra à sa charge tous les coûts et frais relatifs à l’audit en question, y compris pour tout le temps consacré à l’audit par LinkedIn, en sus des tarifs pratiqués par LinkedIn pour la fourniture des services.

6.2 Audits. Sur demande, LinkedIn fournira chaque année au Client un avis ou un rapport de Contrôle d’organisme de services fourni par un cabinet d’audit tiers accrédité, conformément aux normes d’attestation SSAE (Statement on Standards for Attestation Engagements) No. 18 (“SSAE 18”) (Rapport sur les contrôles au sein d’un organisme de services) ou ISAE (International Standard on Assurance Engagements) 3402 (“ISAE 3402”) (Rapports d’assurance sur les contrôles au sein d’un organisme de services) applicables aux services en vertu de l’Accord (chacun de ces rapports sera ci-après dénommé “Rapport”). Si, de l’avis raisonnable du Client, le Rapport ne contient pas d’informations suffisamment précises permettant de valider le respect par LinkedIn des termes du présent ATD, alors le Client ou une société d’audit indépendante accréditée, désignée d’un commun accord par le Client et LinkedIn, pourra auditer le respect par LinkedIn des termes du présent ATD pendant les heures normales de bureau, moyennant la notification d’un préavis raisonnable à LinkedIn et sous réserve de la mise en place de procédures de confidentialité raisonnables. Le Client prendra à sa charge tous les coûts et frais relatifs à l’audit en question, y compris pour tout le temps consacré à l’audit par LinkedIn, en sus des tarifs pratiqués par LinkedIn pour la fourniture des services. Avant le début d’un tel audit, le Client et LinkedIn devront convenir du périmètre, de la date et de l’heure, ainsi que de la durée de l’audit. Le Client devra transmettre à LinkedIn dans les meilleurs délais toute information concernant tout non-respect constaté dans le cadre d’un audit. Le Client ne pourra pas auditer LinkedIn plus d’une fois par an.

7. TRANSFERTS DE DONNÉES

7.1 Pour les transferts de Données européennes à caractère personnel à LinkedIn à des fins de traitement par LinkedIn dans un pays situé en dehors de l’UE, de l’EEE ou des pays reconnus par la Commission européenne comme offrant une protection des données “adéquate”, chaque partie s’engage à utiliser le Module 2 des CCT pour les transferts de responsable du traitement à sous-traitant, intégré aux présentes par renvoi. Les parties conviennent que les conditions suivantes s’appliquent : (i) la Data Protection Commission d’Irlande est l’Autorité de contrôle compétente en vertu de la clause 13 des CCT ; (ii) les personnes concernées pour lesquelles une entité LinkedIn traite des Données européennes à caractère personnel sont des tiers bénéficiaires en vertu des CCT applicables ; (iii) les CCT sont régies par le droit irlandais, qui autorise les droits des tiers bénéficiaires en vertu de la clause 17 des CCT ; et (iv) tout litige découlant des CCT sera tranché par les tribunaux irlandais en vertu de la clause 18 des CCT. L’Annexe A du présent ATD s’applique en tant qu’Annexe I des CCT et l’Annexe D s’applique en tant qu’Annexe II des CCT.

7.2 Si LinkedIn n’est pas, ou plus, en mesure de respecter ces exigences, les Données européennes à caractère personnel seront traitées et utilisées exclusivement dans le territoire d’un État membre de l’Union européenne, et toute circulation des Données européennes à caractère personnel à destination d’un pays situé en dehors de l’UE nécessitera le consentement écrit préalable du Client. LinkedIn avisera le Client dans les meilleurs délais de toute impossibilité de sa part de respecter les dispositions du présent article 7. Nonobstant ce qui précède, lorsque les transferts prévus au présent article 7 impliquent des transferts de Données britanniques à caractère personnel à LinkedIn à des fins de traitement par LinkedIn dans un autre pays que le Royaume-Uni ou les pays reconnus par le Bureau du Commissaire à l’information du Royaume-Uni comme offrant une protection des données “adéquate”, (1) chaque partie s’engage à utiliser les CCT de responsable de traitement à sous-traitant de 2010 tant que les CCT sont légalement autorisées pour ces transferts de Données britanniques à caractère personnel, et (2) les Annexes A et D s’appliqueront en tant qu’Annexe I et Annexe II, respectivement. Dans le cas où le Bureau du Commissaire à l’information du Royaume-Uni confirme qu’un “Addendum du Royaume-Uni des Clauses contractuelles types de l’UE” (“Addendum du Royaume-Uni”) est requis pour s’appuyer légalement sur les CCT pour les transferts de Données britanniques à caractère personnel, (a) les CCT utilisées pour les Données européennes à caractère personnel devront également s’appliquer aux transferts des Données britanniques à caractère personnel ; (b) l’Addendum du Royaume-Uni sera considéré comme conclu entre le Client et LinkedIn ; et (c) les CCT entre les parties seront modifiées selon les modalités indiquées dans l’Addendum du Royaume-Uni concernant le transfert de ces Données britanniques à caractère personnel. Le Commissaire à l’information du Royaume-Uni est l’Autorité de contrôle exclusive pour les transferts de Données britanniques à caractère personnel en vertu du présent Accord.

8. RESTITUTION ET SUPPRESSION DES DONNÉES

Les parties conviennent qu’au terme de la prestation de services de traitement des données ou qu’à la demande raisonnable du Client, LinkedIn devra, directement ou en demandant à ses Sous-traitants ultérieurs de le faire, au choix du Client, soit restituer toutes les Données à caractère personnel du Client et les copies desdites données au Client, soit les détruire en toute sécurité et prouver, à la satisfaction du Client, que de telles mesures ont bien été prises, excepté si les Exigences en matière de protection des données empêchent LinkedIn de restituer ou de détruire tout ou partie des Données à caractère personnel du Client divulguées. Dans ce cas, LinkedIn accepte de préserver la confidentialité des Données à caractère personnel du Client que la société conserve et de ne traiter activement lesdites Données à caractère personnel du Client après la date concernée que dans le but de se conformer aux lois applicables. À des fins de clarté, LinkedIn peut continuer à traiter des Données à caractère personnel du Client qui ont été agrégées d’une manière ne permettant pas d’identifier les individus ou clients afin d’améliorer les systèmes et services de LinkedIn.  

9. CAS DE TRANSFERTS DE RESPONSABLE DU TRAITEMENT À RESPONSABLE DU TRAITEMENT

Certains Services peuvent offrir la visualisation et l’exportation de Données à caractère personnel de membres de LinkedIn auxquelles le Client peut déjà avoir accès sur le site web de LinkedIn, LinkedIn.com, selon les préférences de confidentialité du membre. Aux fins du RGPD, en cas d’exportation de Données à caractère personnel d’un membre ou lorsque le Client peut déjà accéder auxdites Données à caractère personnel, le Client et LinkedIn seront tous deux des responsables indépendants du traitement des Données à caractère personnel concernées dans les Services de LinkedIn. Les parties conviennent que, dans de tels cas, LinkedIn et le Client font office de responsables du traitement des données pour leur propre exemplaire des Données à caractère personnel. Chacune des parties, dans la mesure où elle fait office de responsable du traitement des données, avec l’autre partie, conformément aux dispositions des Exigences en matière de protection des données, en ce qui concerne les Données à caractère personnel, coopère avec l’autre partie pour permettre l’exercice des droits de protection des données indiqués dans les Exigences en matière de protection des données. Lorsque les deux parties font office de responsable du traitement en ce qui concerne les Données à caractère personnel et lorsque le transfert de données entre les parties implique un transfert de Données européennes à caractère personnel vers un pays situé en dehors de l’UE, de l’EEE ou des pays reconnus par la Commission européenne comme offrant une protection des données “adéquate”, chaque partie s’engage à utiliser le Module 1 des CCT intégré aux présentes par renvoi. Les parties conviennent que les conditions suivantes s’appliquent : (i) la Data Protection Commission d’Irlande est l’Autorité de contrôle compétente en vertu de la clause 13 des CCT ; (ii) les personnes concernées pour lesquelles une entité LinkedIn traite des Données européennes à caractère personnel sont des tiers bénéficiaires en vertu des CCT applicables ; (iii) les CCT sont régies par le droit irlandais, qui autorise les droits des tiers bénéficiaires en vertu de la clause 17 des CCT ; et (iv) tout litige découlant des CCT sera tranché par les tribunaux irlandais en vertu de la clause 18 des CCT. Nonobstant ce qui précède, lorsque les transferts prévus par le présent article 9 impliquent un transfert de Données britanniques à caractère personnel vers un autre pays que le Royaume-Uni ou les pays reconnus par le Bureau du Commissaire à l’information du Royaume-Uni comme offrant une protection des données “adéquate”, (1) les CCT de responsable du traitement à responsable du traitement de 2004 intégrées aux présentes par renvoi, s’appliqueront tant que ces CCT sont légalement autorisées pour ces transferts de Données britanniques à caractère personnel, (2) les Annexes A et D s’appliqueront en tant qu’Annexe B et Annexe II, respectivement, et (3) aux fins de la section II(h), l’importateur de données traitera les Données britanniques à caractère personnel, à sa discrétion, conformément aux principes de traitement des données indiqués à l’Annexe A des CCT de responsable du traitement à responsable du traitement. Dans le cas où le Bureau du Commissaire à l’information du Royaume-Uni confirme qu’un Addendum du Royaume-Uni est requis pour s’appuyer légalement sur les CCT prévues dans le présent article 9 pour les transferts de Données britanniques à caractère personnel, (a) les CCT utilisées pour les Données européennes à caractère personnel en vertu du présent article 9 devront également s’appliquer aux transferts de Données britanniques à caractère personnel ; (b) l’Addendum du Royaume-Uni sera considéré comme conclu entre le Client et LinkedIn ; et (c) les CCT entre les parties seront modifiées selon les modalités indiquées dans l’Addendum du Royaume-Uni concernant le transfert de ces Données britanniques à caractère personnel..

Sauf accord contraire écrit, les parties reconnaissent et acceptent qu’elles agissent toutes deux indépendamment en tant que Responsable du traitement des données en ce qui concerne les Données à caractère personnel et que les parties ne sont pas des co-responsables du traitement, tels que définis dans le Règlement général sur la protection des données et le RGPD du Royaume-Uni.

10. SOUS-TRAITANTS DE DONNÉES TIERS

Le Client reconnaît que, dans le cadre de la fourniture de certains services (par exemple le système de suivi des candidats, les systèmes de gestion de l’apprentissage et les systèmes de gestion client), LinkedIn pourra, sur instructions du Client, transférer des Données à caractère personnel du Client à des sous-traitants de données tiers et interagir autrement avec eux. Le Client accepte que si, et dans la mesure où, de tels transferts ont lieu, il est responsable de la conclusion de contrats distincts avec lesdits sous-traitants de données tiers qui les contraignent à respecter leurs obligations conformément aux Exigences en matière de protection des données. Pour lever toute ambiguïté, lesdits sous-traitants de données tiers ne sont pas des Sous-traitants ultérieurs.

11. DURÉE

Le présent ATD restera en vigueur aussi longtemps que LinkedIn réalisera des opérations de traitement de Données à caractère personnel pour le compte du Client ou jusqu’à ce que le Contrat signé avec LinkedIn ait pris fin (et jusqu’à ce que l’ensemble des Données à caractère personnel ait été restitué ou supprimé conformément à l’article 8 ci-dessus).

12. DROIT APPLICABLE ET JURIDICTION

Nonobstant toute disposition contraire dans l’Accord, le présent ATD sera régi par les lois de la République d’Irlande, et toute action ou procédure en lien avec l’ATD (y compris celles découlant de litiges ou de réclamations non contractuelles) devra être engagée à Dublin, en Irlande. Toutefois, lorsqu’un litige survient concernant le traitement de Données britanniques à caractère personnel en vertu du présent ATD, un tel litige sera régi par les lois d’Angleterre et du Pays de Galles.

SCHEDULE A
ANNEX 1 - DESCRIPTION OF THE TRANSFER

Catégories de personnes concernées dont les Données à caractère personnel sont transférées :

Module 1 (Responsable de traitement à responsable de traitement) : utilisateurs enregistrés de LinkedIn.com (“Utilisateurs de LinkedIn”) 

Module 2 (Responsable de traitement à sous-traitant) :

Services

(Le cas échéant)

Catégories de personnes concernées dont les Données à caractère personnel sont transférées :

Talent/Hire

- Employés, prestataires, sous-traitants, partenaires ou clients de l’exportateur de données

 

- Candidats potentiels et réels de l’exportateur de données

 

- Tiers dans le système de suivi des candidats de l’exportateur de données (il s’agit généralement de tiers ayant ou susceptibles d’avoir une relation avec l’exportateur de données, tels que des candidats ou des employés potentiels ou réels)

Learning

- Employés, prestataires, sous-traitants, étudiants, utilisateurs atypiques (approuvés individuellement par LinkedIn) ou usagers des bibliothèques de l’exportateur de données

 

Glint/Engage

- Employés de l’exportateur de données

 

Tiers ayant ou susceptibles d’avoir une relation commerciale avec l’exportateur de données (par exemple, prestataires ou sous-traitants)

Sales Solutions

- Employés, prestataires, sous-traitants, partenaires ou clients de l’exportateur de données

 

- Tiers dans l’outil de gestion des relations client de l’exportateur de données (il s’agit généralement de tiers ayant ou susceptibles d’avoir une relation commerciale avec l’exportateur de données, tels que des clients ou des clients potentiels)

Marketing Solutions

- Employés, prestataires, sous-traitants, partenaires ou clients de l’exportateur de données

 

- Utilisateurs de LinkedIn ayant interagi avec les propriétés de l’exportateur de données ou faisant partie de l’audience publicitaire de l’exportateur


Catégories de Données à caractère personnel transférées :

Module 1 (Responsable de traitement à responsable de traitement)

Les données transférées sont des Données à caractère personnel des Utilisateurs de LinkedIn auxquelles le Client peut déjà accéder sur le site web de LinkedIn, LinkedIn.com, conformément aux préférences de confidentialité de l’utilisateur, fournies par l’exportateur de données (LinkedIn) à l’importateur de données (le Client) dans le cadre de l’utilisation par le Client des services de recrutement, de vente ou d’apprentissage en ligne de LinkedIn et traitées ultérieurement par le Client à ses propres fins. De telles Données à caractère personnel peuvent inclure le prénom, le nom, l’adresse e-mail, les coordonnées, la formation et les antécédents professionnels.

Module 2 (Responsable de traitement à sous-traitant)

Les données transférées sont les Données à caractère personnel fournies par l’exportateur de données (le Client) à l’importateur de données (LinkedIn) en lien avec son utilisation des services de recrutement, de vente, de marketing, d’engagement des employés ou de formation en ligne de LinkedIn, dénommées Données à caractère personnel du Client dans l’Accord relatif au traitement des données.

De telles Données à caractère personnel du Client peuvent inclure, en fonction de la contribution du Client ou du titulaire d’accès du Client, ou de l’interaction avec celui-ci

Services

(Le cas échéant)

Catégories de Données à caractère personnel du Client
Talent/Hire

- Informations sur les utilisateurs de Talent/Hire (pouvant inclure le nom, l’adresse e-mail et le poste)

 

- Offres d’emploi (données d’utilisation du créateur de l’offre, données sur les candidats, et questions et réponses de sélection)

 

- Données d’utilisation du produit (y compris les projets de recrutement, le contenu de la messagerie Recruiter, les CV téléchargés dans le cadre d’une candidature et les notes sur le profil d’un candidat)

 

- Données sur les candidats (informations du CV, coordonnées et autres informations de profil communiquées dans le cadre d’une candidature) 

 

- Statistiques d’utilisation pour les utilisateurs de Talent Solutions

 

- (Le cas échéant) Recruiter Systems Connect (statut du candidat, avis de candidature, mesures prises, profils Stub et réponses InMail)

 

- Adresse IP, caractéristiques de l’appareil/du navigateur

Learning

- Informations sur les utilisateurs de Learning (pouvant inclure l’identifiant utilisateur, l’identifiant unique, le nom ou l’adresse e-mail)

 

- (Le cas échéant) Numéro de carte de bibliothèque + mot de passe

 

- Données d’utilisation du produit (y compris l’activité d’apprentissage, les signets, les “J’aime”, les notes et les résultats aux quiz)

 

- Adresse IP, caractéristiques de l’appareil/du navigateur

Glint/Engage

- Informations personnelles sur son personnel (pouvant inclure le nom, l’adresse e-mail fournie par l’entreprise, le numéro d’identification fourni par l’employeur, le lieu de travail, la fonction, le code de service, le grade de l’employé, l’année de naissance, le sexe, les données de service continu, d’autres informations personnelles dans le système d’information sur les ressources humaines (HRIS) de l’exportateur de données, l’adresse IP et les caractéristiques de l’appareil ou du navigateur)

 

- Informations d’identification d’entreprise (si vous utilisez l’authentification unique)

 

- Données d’utilisation du produit (y compris les opinions fournies en réponse aux questions de l’enquête et les commentaires des employés fournis en réponse aux demandes de feedback sur le rendement)

Sales Solutions

- Informations sur les utilisateurs de Sales Navigator

 

- Données d’utilisation du produit (y compris InMail/Messages, notes, tags, présentations SmartLinks et coordonnées créées par l’utilisateur)

 

- Statistiques d’utilisation pour l’utilisateur de Sales Navigator et

 

- (Le cas échéant) toutes les données CRM synchronisées avec Sales Navigator

 

- Adresse IP, caractéristiques de l’appareil/du navigateur

Solutions Marketing

- Données d’identification d’entreprise et d’utilisation des produits du titulaire d’accès

 

- (Le cas échéant) Les données CRM

 

- (Le cas échéant) Les prospects de vente et de marketing

 

- (Le cas échéant) Informations de ciblage de contacts matched audience, y compris l’adresse e-mail hachée, le nom et le prénom, l’employeur, l’intitulé de poste, le pays et les identifiants des appareils mobiles

 

- (Le cas échéant) Données Insight tag, y compris le pseudo, l’adresse IP, les caractéristiques de l’appareil et du navigateur, l’horodatage et l’URL.

 

- (Le cas échéant) Critères publicitaires reçus par LinkedIn Audience Networks via le processus Real Time Bidding  


Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme une stricte limitation de la finalité, des restrictions d’accès (y compris l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires :

Non

Si oui, veuillez ajouter ici une description des restrictions appliquées ou des mesures de sécurité mises en place :

N/A

La fréquence des transferts (par exemple, si les données sont transférées sur une base ponctuelle ou continue) :

Continue

Nature du traitement

Collecte, organisation, structuration, utilisation, conservation, combinaison et mise à disposition sur les propriétés de LinkedIn conformément aux services correspondants. 

Finalité(s) du transfert des données et du traitement ultérieur :

  • Fournir, maintenir et améliorer les services (conformément au RGPD) à l’exportateur de données ;
  • Fournir une assistance clientèle à l’exportateur de données ;
  • Remplir de toute autre manière les obligations de LinkedIn (et, le cas échéant, de sa société affiliée) en vertu de son contrat de services respectif avec l’exportateur de données ; et
  • Se conformer aux lois en vigueur.

La durée de conservation des Données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée :

LinkedIn conservera les données pendant la durée des services spécifiés sur le document de commande et conformément à l’article 8 de l’ATD.

Pour les transferts à des sous-traitants (secondaires), préciser également l’objet, la nature et la durée du traitement :

LinkedIn fait appel à des sous-traitants secondaires pour prendre en charge son environnement d’infrastructure, des fournisseurs locaux et internationaux de services de télécommunications et de mise en réseau, et des entités juridiques actives dans la conservation de données et le matériel de diffusion de contenu. Les Données à caractère personnel traitées par les sous-traitants secondaires sont traitées aux fins et pour la durée du contrat de services ou document de commande LinkedIn correspondant. Pour de plus amples informations, voir la liste des sous-traitants secondaires de LinkedIn à l’adresse Internet https://legal.linkedin.com/customer-subprocessors, qui s’applique également en tant qu’Annexe III des CCT, le cas échéant.

Généralités

Pour Hire, Learning et Sales, les Données à caractère personnel des Utilisateurs de LinkedIn qui sont des utilisateurs du Client et qui choisissent de connecter leur profil personnel d’Utilisateur LinkedIn.com à l’accès d’entreprise fourni par le Client ne sont pas visées par les présentes et sont régies à la place par les Clauses contractuelles types distinctes entre LinkedIn Ireland Unlimited Company en tant qu’exportateur de données et LinkedIn Corporation en tant qu’importateur de données. 

SCHEDULE B
ADDENDUM TO LINKEDIN DATA PROCESSING AGREEMENT
California Consumer Privacy Act

Le présent Addendum est conclu par le client de LinkedIn identifié dans le document de commande LinkedIn applicable pour les services LinkedIn (le “Client”) et la société LinkedIn identifiée dans le document de commande (“LinkedIn”), et modifie l’Accord relatif au traitement des données de LinkedIn entre le Client et LinkedIn (“ATD”) concernant le traitement par LinkedIn des Données à caractère personnel du Client des consommateurs californiens en vertu de la CCPA. La signification des termes en majuscules utilisés mais qui ne sont pas définis dans cet Addendum est celle donnée dans l’ATD. La signification des termes en majuscules qui ne sont pas définis dans l’ATD est celle donnée dans la CCPA.

Aucune vente dans le cadre de la CCPA. Les parties conviennent que, conformément aux finalités énoncées dans la CCPA, LinkedIn fait office de fournisseur de service de la CCPA pour les Données à caractère personnel du Client. Lorsqu’il signe le document de commande,

  • le Client ne vend pas les Données à caractère personnel du Client à LinkedIn. LinkedIn s’engage à utiliser les Données à caractère personnel du Client uniquement aux finalités énoncées dans la CCPA et tel qu’indiqué dans l’Accord. LinkedIn s’engage à ne pas vendre ou partager (conformément à la CCPA) les Données à caractère personnel du Client.
  • LinkedIn s’engage à ne pas regrouper les Données à caractère personnel du Client avec d’autres informations personnelles, sauf si cela est autorisé par la CCPA.
  • Dans la mesure où LinkedIn reçoit des données anonymisées du Client, conformément aux Exigences relatives à la protection des données, LinkedIn s’engage à ne pas tenter de retrouver les individus auxquels elles se rapportent, à prendre des mesures raisonnables pour maintenir et utiliser les données de façon anonyme, sauf si cela est autorisé par la loi et à obliger par contrat tout destinataire autorisé à se conformer aux Exigences en matière de protection des données applicables concernant les données anonymisées.
  • LinkedIn s’engage à informer le Client dans les délais requis en vertu de la CCPA si LinkedIn estime ne plus être en mesure de respecter ses obligations en vertu de la CCPA.
  • LinkedIn certifie avoir lu et compris le présent Addendum et s’engage à le respecter, y compris en évitant toute action qui entraînerait que l’autre Partie serait considérée comme ayant vendu des Données à caractère personnel ou des Informations personnelles dans le cadre de la CCPA.

SCHEDULE C
GLINT-SPECIFIC TERMS AND AMENDMENTS

Les conditions générales suivantes modifient l’ATD uniquement en ce qui concerne les produits et services LinkedIn proposés sous la marque Glint (y compris Glint Engage et Glint Perform). Pour lever toute ambiguïté, si le Client achète des services Glint tels que fournis dans le cadre de l’Accord (“Services Glint”) en plus des services de la marque LinkedIn, les modifications suivantes s’appliquent uniquement auxdits produits ou services Glint et l’ATD s’appliquera sans modifications aux services de la marque LinkedIn.

Les clauses suivantes sont ajoutées à l’ATD dans un nouvel article 4.3 :

   4.3 Avis et choix. 

   a. Le Client accepte de fournir les avis d’information appropriés aux Utilisateurs du Client des Services Glint et, si les Exigences en matière de protection des données l’exigent, d’obtenir le consentement nécessaire ou toute autre base légale appropriée desdits Utilisateurs du Client pour : (i) la collecte, le transfert et le traitement des Données à caractère personnel via les services de LinkedIn et (ii) le recours du Client à tout fournisseur de services ou tout autre tiers vers lequel le Client demande à LinkedIn d’envoyer des Données à caractère personnel du Client ou depuis lequel le Client fournit des Données à caractère personnel du Client à LinkedIn. Sans limiter le caractère général de ce qui précède, le Client peut fournir à LinkedIn des Données à caractère personnel si cela est nécessaire pour LinkedIn à la prestation des Services LinkedIn. Le Client déclare et garantit qu’il a le droit nécessaire et toute la capacité et le pouvoir de communiquer les Données à caractère personnel à LinkedIn. 

   b. Le Client décidera du contenu des “Avis de confidentialité de l’Utilisateur” qui seront fournis aux Utilisateurs du Client (par exemple, pour Glint Engage, l’avis de confidentialité d’une enquête) concernant le niveau de confidentialité et le seuil agrégé dont disposera un Utilisateur du Client et, le cas échéant, les informations requises par toute Exigence en matière de protection des données (par exemple, l’article 13 du Règlement général sur la protection des données). Le Client peut choisir d’utiliser un Avis de confidentialité de l’Utilisateur par défaut. L’Administrateur principal du Client fournira à LinkedIn l’Avis de confidentialité de l’Utilisateur dans un délai de trois (3) jours ouvrés avant son utilisation. Le Client accepte de s’abstenir de modifier ou supprimer une partie de l’Avis de confidentialité de l’Utilisateur ou d’ajouter une déclaration dans les communications avec un Utilisateur du Client qui impose des obligations à LinkedIn ou qui modifie, contredit ou complète, de quelque façon que ce soit, l’Avis de confidentialité de l’Utilisateur fourni à LinkedIn. Le Client a la seule et unique responsabilité de s’assurer de son utilisation des Données à caractère personnel du Client et de la conformité de l’Avis de confidentialité de l’Utilisateur avec toutes les Exigences en matière de protection des données applicables. 

Les clauses suivantes sont ajoutées à l’ATD dans un nouvel article 4.4 :

   4.4 Agrégation et non-identification. Dans la mesure où un Avis de confidentialité de l’Utilisateur informe les Utilisateurs d’un Client que le Client recevra uniquement des données de LinkedIn sous forme agrégée, le Client accepte qu’il ne recevra pas, et ne tentera pas de discerner, lesdites Données à caractère personnel du Client sous une forme permettant d’identifier les Utilisateurs du Client avec les Données à caractère personnel du Client.

La première phrase de l’article 5.1.a de l’ATD est remplacée par la phrase suivante :

   Traitera les Données à caractère personnel du Client (i) uniquement dans le but de fournir et d’améliorer les services de LinkedIn (y compris en fournissant des renseignements agrégés et non identifiables afin d’améliorer les services Glint et LinkedIn, et en fournissant un ensemble de données d’enquête aux clients LinkedIn, lorsque la personne concernée par les données et le Client ont été désidentifiés), en appliquant les mesures de sécurité techniques et organisationnelles appropriées et (ii) conformément aux instructions reçues de la part du Client. 

L’article 5.1.g de l’ATD est remplacé dans son intégralité par la clause suivante :

   Fournira au Client, sur demande, un résumé des politiques de sécurité de LinkedIn applicables aux services de la marque Glint.

L’article 8 de l’ATD est remplacé dans son intégralité par les clauses suivantes :

   Les parties conviennent qu’au terme des services de traitement des données, LinkedIn devra, directement ou en demandant à tout Sous-traitant ultérieur de le faire, au choix du Client, excepté si les Exigences en matière de protection des données empêchent LinkedIn de restituer ou détruire tout ou partie des Données à caractère personnel du Client divulguées : (i) restituer au Client toutes les Données à caractère personnel du Client, notamment les réponses aux enquêtes si l’Avis de confidentialité de l’utilisateur du Client stipulait que le Client recevrait les réponses de personnes identifiées, ou (ii) les détruire en toute sécurité et démontrer, à la satisfaction du client, que de telles mesures ont bien été prises ou (iii) exporter les Données à caractère personnel du Client sous une forme non agrégée vers le nouveau fournisseur de services du Client, selon un accord écrit distinct raisonnablement satisfaisant pour LinkedIn et en vertu duquel le Client et le destinataire des données acceptent la responsabilité des Données à caractère personnel du Client à la suite d’un transfert ou d’une exportation. LinkedIn accepte de préserver la confidentialité des Données à caractère personnel du Client que la société conserve et de ne traiter activement lesdites Données à caractère personnel du Client après la date concernée que dans le but de se conformer aux Exigences en matière de protection des données applicables. À des fins de clarté, au terme du Contrat LinkedIn, LinkedIn peut continuer à traiter des Données à caractère personnel du Client qui ont été agrégées d’une manière ne permettant pas d’identifier les individus ou clients afin d’améliorer les systèmes et services de LinkedIn.

Les articles 9 et 10 de l’ATD ne s’appliquent pas dans le cadre des produits ou services Glint.

SCHEDULE D
Annex II to the SCCs
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

1. Mesures de sécurité générales

L’Importateur de données se conformera aux mesures de sécurité standard du secteur (y compris en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, le contrôle des accès, la surveillance et l’enregistrement dans des fichiers journaux, la vulnérabilité et la détection de failles, et les mesures de réponses aux incidents nécessaires à la protection contre toute perte, altération, divulgation ou destruction non autorisées ou accidentelles des Données à caractère personnel de l’Exportateur de données fournies par l’Exportateur de données à l’Importateur de données, ou contre tout accès non autorisé ou accidentel à celles-ci), ainsi qu’à toutes les lois, réglementations et normes de sécurité et confidentialité des données applicables.  

2. Coordonnées

L’équipe de sécurité de l’Importateur de données peut être contactée à l’adresse security@linkedin.com pour tout problème de sécurité ou toute question relative au produit.

3Conformité

L’Importateur de données se conforme aux normes et pratiques énoncées à l’adresse web suivante : https://security.linkedin.com/trust-and-compliance. L’Exportateur de données doit contacter son chargé de compte LinkedIn pour toute autre demande de renseignement sur les certifications de sécurité énumérées à cette adresse web.

 4. Programme de sécurité de l’information

L’objectif du Programme de sécurité de l’information de LinkedIn est de maintenir la confidentialité, l’intégrité et la disponibilité de ses ordinateurs et systèmes de communication des données, tout en répondant aux exigences législatives, sectorielles et contractuelles nécessaires. L’Importateur de données établira, appliquera et maintiendra un programme de sécurité de l’information qui comprend des mesures de sécurité technique, organisationnelle et physique, ainsi que des politiques et procédures afin de protéger les données de l’Exportateur de données traitées par l’Importateur de données de toute perte accidentelle, destruction ou altération, divulgation ou accès non autorisé(e), ou destruction illicite.

4.1 Développement de logiciels sécurisés

L’Importateur de données appliquera en permanence des politiques et procédures destinées à s’assurer que le développement des systèmes, appareils, applications et infrastructures s’effectue de manière sécurisée. Ceci comprend l’examen et le test de l’ensemble des produits, applications et services de l’Importateur de données pour détecter les vulnérabilités et défaillances de sécurité communes, en utilisant une stratégie de protection avancée qui repose sur l’utilisation de plusieurs niveaux de périmètres et technologies de sécurité, ainsi que sur des tests d’intrusion périodiques et l’évaluation de la sécurité de ces services, et en définissant les configurations et exigences de base pour la correction de systèmes tiers.

4.2 Sécurité des ressources humaines

L’Importateur de données appliquera en permanence une politique qui définit les exigences en matière d’application de mesures de sécurité en lien avec les modifications de statut d’emploi. Ceci comprend des vérifications des antécédents, la reconnaissance des politiques de sécurité de l’Importateur de données et l’adhésion auxdites politiques, l’intégration et la résiliation pour les employés et les tiers.

4.3 Classification et protection des données

L’Importateur de données appliquera en permanence des politiques et procédures de classification et protection des données, ainsi que des exigences en matière de classification des données contenant des Données à caractère personnel, en tenant compte des lois et réglementations applicables et des obligations contractuelles. L’Importateur de données appliquera également en permanence des exigences en matière de chiffrement des données, des règles pour la transmission des données et des exigences pour les médias amovibles, ainsi que des exigences sur l’accès à ces données.

4.4 Sécurité du réseau

L’Importateur de données appliquera en permanence des politiques et procédures relatives aux infrastructures de réseau utilisées pour traiter les données de l’Exportateur de données, établira et appliquera des pratiques sûres en matière de réseau, et définira des accords de niveau de service avec les services de réseau internes et externes. 

4.5 Sécurité physique et environnementale

L’Importateur de données appliquera en permanence des politiques et procédures pour la sécurité physique et environnementale, définira des exigences afin de protéger les zones qui contiennent des informations sensibles et veillera à la protection des services d’information critiques contre toute intrusion, toute interférence et tout dommage.

4.6 Continuité de l’activité et reprise après sinistre

L’Importateur de données appliquera en permanence des politiques et procédures permettant à l’Importateur de données de continuer d’exercer ses fonctions principales en cas d’événement extraordinaire. Ceci comprend la résilience des centres de données et les procédures de reprise après sinistre pour les données essentielles à l’activité et les fonctions de traitement.

5. Contrôle d’accès

L’Importateur de données appliquera en permanence des mesures de contrôle des accès conçues pour limiter l’accès aux infrastructures, applications, systèmes, dispositifs réseau et systèmes d’exploitation de l’Importateur de données à un nombre limité de membres du personnel ayant besoin d’un tel accès pour des motifs professionnels. L’Importateur de données veillera à ce que ledit accès soit retiré dès lors qu’il n’est plus nécessaire et effectuera des examens périodiques des accès.

6. Évaluations des risques

L’Importateur de données dispose d’une procédure de gestion des risques documentée et d’un processus de cycle de vie de développement de logiciels sécurisé (Secure Software Development LifeCycle ou SSDLC). L’Importateur de données effectue régulièrement des évaluations des risques de ses produits et infrastructures, y compris l’examen des politiques de classification des données et des analyses ciblées de flux de données extrêmement sensibles.

L’Importateur de données effectue des tests au niveau des applications et infrastructures pour chaque nouveau produit lancé, ainsi que des réévaluations périodiques de son réseau et des modifications de caractéristiques. L’Importateur de données exploite le contrôle des accès et une revue de code, ce qui permet d’éviter l’introduction de virus dans le code et de détecter toute infraction de ce type. L’Importateur de données utilise une combinaison de tests d’intrusion manuels et d’outils automatisés.

7. Évaluations des risques de tiers

L’Importateur de données effectue un audit préalable de sécurité de ses prestataires de services tiers afin d’évaluer et de surveiller les risques. Cette évaluation comprend l’examen d’un périmètre d’informations confidentielles et de données à caractère personnel transférées vers ou traitées par le prestataire de services, ainsi que la finalité de la tâche. L’Importateur de données effectue également une évaluation des risques qui peut comprendre les mesures de sécurité techniques et organisationnelles du fournisseur de services, le caractère sensible de toute information traitée par le prestataire de services, les limites de stockage, et les procédures de suppression des données ainsi que leur déroulement chronologique.

8. Mesures supplémentaires

En plus des mesures de sécurité générales énoncées ci-dessus, l’Importateur de données a mis en œuvre les mesures techniques et organisationnelles supplémentaires suivantes :

  • Les Données à caractère personnel du Client, telles que définies dans l’Accord relatif au traitement des données, sont transférées par le biais de réseaux publics vers les centres de données de l’Importateur de données aux États-Unis et sont conservées sur des serveurs sécurisés protégés par un pare-feu.
  • Les nouveaux Clients de Glint peuvent choisir entre les emplacements de conservation de données de Glint aux États-Unis ou au sein de l’Union européenne pour l’hébergement de leurs Données à caractère personnel du Client spécifiques à Glint.
  • L’Importateur de données chiffre toutes les Données à caractère personnel du Client en transit sur les réseaux publics selon la capacité de l’Exportateur de données à prendre en charge le chiffrage. Certaines données extrêmement confidentielles (y compris, sans toutefois s’y limiter, les mots de passe, les jetons d’authentification et les informations sur les salaires et les paiements) sont également chiffrées même au repos. LinkedIn n’utilisera que des normes du secteur testées et reconnues pour ses algorithmes cryptographiques.
  • Les données de l’Importateur de données sont reproduites dans tous ses centres de données dans un environnement sécurisé.
  • L’Importateur de données utilise une logique d’application avec une autorisation appropriée pour protéger les données de l’entité. Les demandes d’accès sont examinées pour s’assurer que seul l’accès approprié est accordé. Les journaux d’accès aux serveurs et aux bases de données sont conservés à des fins d’audit.
  • L’Importateur de données met en œuvre les mesures de sécurité standard du secteur pour toutes ses gammes de produits, comme expliqué plus en détail à l’adresse https://security.linkedin.com/trust-and-compliance, y compris les normes ISO/CEI 27001, ISO 27018 et PCI DSS pour Talent Solutions, Learning Solutions, Marketing Solutions et Sales Solutions de l’Importateur de données. Les employés, les prestataires et les sous-traitants de l’Importateur de données sont formés aux mesures de sécurité techniques et organisationnelles spécifiques.
  • Les serveurs sont surveillés par des outils de surveillance réseau exclusifs et des outils de surveillance réseau standard du secteur afin de prévenir toute violation potentielle de la sécurité.
  • Les systèmes et bases de données d’entreprise sont protégés par des mots de passe.
  • L’accès direct et l’accès par VPN au réseau LinkedIn sont limités aux appareils fournis ou approuvés par l’entreprise.
  • L’authentification à deux facteurs est appliquée pour l’accès par VPN.
  • Les mots de passe des Clients et des membres font l’objet d’un hachage et d’un salage, et sont stockés dans une base de données distincte et sécurisée.
  • Les clés de la base de données des cartes de crédit font l’objet d’une rotation régulière.
  • Surveillance active et automatisée des journaux d’accès critiques et détection des anomalies.