Annexe 2: Description des mesures techniques et organisationnelles mises en œuvre aux fins de la protection des Données personnelles

Exhibit 2 – Description of the implemented organizational and technical measures for Personal Data protection	Annexe 2 – Description des mesures techniques et organisationnelles mises en œuvre aux fins de la protection des données personnelles
A. Organizational security measures	A. Mesures de sécurité organisationnelle
I. Information Security Management System	I. Système de gestion de la sécurité de l’information
1. A general security policy has been developed, along with specific security policies regarding organization security, information security, IT system security and security of people and property, all of which define the basic objectives of the actions related to implementation of the policies.	1. Une politique de sécurité générale a été mise au point, et est assortie de politiques de sécurité spécifiques concernant la sécurité de l’organisation, la sécurité de l’information, la sécurité des systèmes informatiques et la sécurité des personnes et des biens ; collectivement, ces politiques définissent les objectifs fondamentaux des mesures liées à la mise en œuvre des politiques.
2. General and specific security standards have been defined that implement the assumptions of the security policies in terms of information security, IT system security, and security of people and property.	2. Des normes de sécurité générales et spécifiques ont été élaborées pour appliquer les postulats des politiques de sécurité en matière de sécurité de l’information, de sécurité des systèmes informatiques et de sécurité des personnes et des biens.
3. Specific procedures and operating instructions have been developed for the implementation of the security standards in terms of information security, IT system security, and security of people and property.	3. Des procédures spécifiques et des instructions de fonctionnement ont été élaborées pour la mise en œuvre des normes de sécurité en matière de sécurité de l’information, de sécurité des systèmes informatiques et de sécurité des personnes et des biens.
4. The policies, standards, procedures, and instructions are subject to periodic reviews and revisions, to be approved by GetResponse’s top management.	4. Les politiques, normes, procédures et instructions font l’objet de réexamens et de révisions périodiques devant être approuvés par la haute direction de GetResponse.
5. A system to monitor changes in Personal Data processing legislation has been developed and put in place, and the continuity of its operations has been ensured.	5. Un système de suivi des changements dans la législation sur le Traitement des Données personnelles a été mis au point et instauré, et la continuité de ses opérations est garantie.
II. Roles and tasks	II. Rôles et responsabilités
1. The roles and tasks in security management processes have been defined. The individuals responsible for compliance with each respective security policy have been appointed.	1. Les rôles et les responsabilités liés aux processus de gestion de la sécurité ont été définis. Les personnes chargées de la conformité à chaque politique de sécurité ont été nommées.
2. For every resource (whether physical or electronic) that is of value for the organization, a responsible person (Resource Owner) has been appointed as being in charge of managing the security of that resource.	2. Pour chaque ressource (physique ou électronique) d’une grande importance pour l’organisation, une personne responsable (Référent de ressource) a été chargée de la gestion de la sécurité de cette ressource.
3. To ensure the proper level of Personal Data protection, an independent Data Protection Officer has been designated and appointed.	3. Afin de garantir un niveau adéquat de protection des Données personnelles, un Responsable de la protection des données indépendant a été désigné et nommé.
4. The Data Protection Officer answers directly to GetResponse’s top management.	4. Le Responsable de la protection des données rend des comptes à la haute direction de GetResponse.
5. The Data Protection Officer has been included in all the processes connected with Personal Data Processing.	5. Le Responsable de la protection des données a été intégré à tous les processus liés au Traitement des Données personnelles.
6. The Data Protection Officer has been granted sufficient access to any and all information and documentation connected with Personal Data Processing.	6. Le Responsable de la protection des données s’est vu accorder un accès suffisant à l’ensemble des informations et documents liés au Traitement des Données personnelles.
7. Those who process Personal Data at the request and on behalf of the GetResponse have been specifically indicated by name and registered (if required by Applicable Law) as authorized to process Personal Data.	7. Les personnes traitant des Données personnelles à la demande et au nom de GetResponse ont été spécifiquement et expressément habilitées et enregistrées (si la loi applicable l’exige) comme étant autorisées à traiter les Données personnelles.
8. All individuals authorized to process Personal Data have been included in the internal Personal Data security and protection training scheme.	8. Toutes les personnes habilitées à traiter des Données personnelles ont été intégrées au programme de formation interne à la protection et à la sécurité des Données personnelles.
9. All the individuals authorized to process Personal Data have been obliged to comply with data confidentiality throughout the term of their employment and thereafter.	9. Toutes les personnes habilitées à traiter des Données personnelles ont reçu l’obligation de respecter la confidentialité des données tout au long de la durée de leur contrat et par la suite.
III. Access rights management	III. Gestion des droits d’accès
1. Access rights management procedures have been developed for access to data storage devices, rooms, zones, buildings, IT systems and elements of the IT infrastructure and network.	1. Des procédures de gestion des droits d’accès ont été élaborées pour l’accès aux appareils, salles, zones, bâtiments, systèmes informatiques et éléments des infrastructures et réseaux informatiques de stockage des données.
2. It has been assured that the individuals authorized to process Personal Data are assigned with minimum access rights, depending on the performed tasks.	2. Nous avons veillé à ce que les personnes habilitées à traiter des Données personnelles se voient attribuer le strict minimum de droits d’accès, en fonction des tâches à effectuer.
3. A procedure of monitoring and checking the access rights ad hoc and periodically has been provided.	3. Une procédure de suivi et de vérification ponctuel et périodique des droits d’accès a été élaborée.
4. It has been assured that keys, access codes and access rights in the access control system for access to buildings, zones, rooms or part of rooms where Personal Data is processed, are provided to specific individuals authorized to process Personal Data in accordance with the scope of the authorization and the scope of tasks performed within the job position.	4. Nous avons veillé à ce que les clés, les codes d’accès et les droits d’accès au système de contrôle des accès pour l’accès aux bâtiments, zones, salles ou parties des salles où les Données personnelles sont traitées soient fournis à des personnes spécifiques autorisées à traiter des Données personnelles en fonction de la portée de l’habilitation et de la portée des tâches à effectuer pour chaque poste.
5. It has been assured that buildings, zones, rooms or parts of rooms where Personal Data is processed are secured against unauthorized access in the absence of the individuals authorized to be in these rooms. Anyone who is not authorized to be in the rooms used for Personal Data processing may only stay there under the supervision of authorized persons	5. Nous avons veillé à ce que les bâtiments, zones, salles ou parties des salles où les Données personnelles sont traitées soient protégés contre tout accès non autorisé en l’absence des personnes habilitées à se trouver dans ces endroits. Quiconque n’est pas habilité à se trouver dans les salles affectées au Traitement des Données personnelles ne peut y rester que sous la supervision de personnes habilitées.
6. A process of granting and withdrawing access rights to Personal Data, in particular IT systems, has been developed and implemented.	6. Un processus d’octroi et de retrait de droits d’accès aux Données personnelles, notamment aux systèmes informatiques, a été élaboré et instauré.
7. It has been assured that for every person authorized to access the IT system or an element of the IT infrastructure or network, a unique ID is assigned that cannot be assigned to anyone else.	7. Nous avons veillé à ce qu’un identifiant unique soit attribué à chaque personne habilitée à accéder au système informatique ou à un élément des infrastructures ou du réseau informatiques, et à ce qu’il ne puisse être attribué à quelqu’un d’autre.
8. Periodic access reviews and monitoring of all users, access by such users, physical access, system accounts, test accounts and accounts are carried out and fully documented.	8. Des examens périodiques de l’accès et une surveillance de tous les utilisateurs, de l’accès de ces utilisateurs, de l’accès physique, des comptes du système, des comptes de test et des comptes sont effectués et entièrement documentés.
9. It has been assured that for every person authorized to access the IT system or an element of the IT infrastructure or network, authorization which takes place is carried out using secure methods of transmitting the authentication data.	9. Nous avons veillé à ce que, pour chaque personne habilitée à accéder au système informatique ou à un élément des infrastructures ou du réseau informatiques, l’habilitation soit effectuée à l’aide de méthodes sécurisées de transmission des données d’authentification.
10. It has been assured that passwords assigned to anyone authorized to access the IT system, or an element of the IT infrastructure or network, is subject to audit procedures and must be changed at predetermined intervals.	10. Nous avons veillé à ce que les mots de passe attribués à toute personne habilitée à accéder au système informatique, ou à un élément des infrastructures ou du réseau informatiques, fassent l’objet de procédures de vérification et soient modifiés à intervalles prédéterminés.
11. A standard for secure transmission of passwords has been developed and implemented in case of the need to provide the IT system user with a temporary password.	11. Des normes ont été élaborées et mises en œuvre pour la transmission sécurisée de mots de passe, au cas où il faudrait fournir un mot de passe temporaire à l’utilisateur du système informatique.
12. A standard for creating secure passwords for IT system users has been developed and implemented.	12. Des normes ont été élaborées et mises en œuvre pour la création de mots de passe sécurisés pour les utilisateurs du système informatique.
13. Upon termination of the employment of employees having such access rights, the access rights of such employees will also be terminated.	13. En cas de licenciement des employés disposant de ces droits d’accès, les droits d’accès de ces employés seront également supprimés.
IV. Security of the Service	IV. Sécurité du Service
1. Elements of the network infrastructure used to process Personal Data are secured against the loss of accessibility through application and provision of maintenance services provided by producers and distributors.	1. Les éléments de l’infrastructure réseau utilisés pour traiter les Données personnelles sont protégés contre la perte d’accessibilité grâce à l’utilisation de services de maintenance fournis par des producteurs et des distributeurs.
2. Periodic independent tests of the vulnerability of IT systems that process Personal Data to threats are carried out.	2. La vulnérabilité des systèmes informatiques traitant les Données personnelles face aux menaces fait l’objet de tests indépendants réguliers.
3. Security gaps are periodically scanned on the platforms and in the networks that process Personal Data, so that general security standards connected specifically with system reinforcement are complied with.	3. Des contrôles sont régulièrement effectués pour déceler d’éventuelles brèches de sécurité sur les plateformes et les réseaux qui traitent des Données personnelles, afin de garantir le respect des normes de sécurité générales portant spécifiquement sur le renforcement des systèmes.
4. As a result of penetration tests, vulnerability scanning and compliance assessment, a corrective program is run on a periodic basis, according to a risk-based approach to make effective use of test results.	4. Un programme correctif basé sur des tests d’intrusion, des analyses de vulnérabilité et des évaluations de la conformité est régulièrement exécuté, conformément à une approche basée sur les risques permettant de tirer le maximum des résultats des tests.
5. A training program regarding the rules of secure software has been developed and provided.	5. Un programme de formation qui porte sur les règles garantissant la sécurité des logiciels a été élaboré et mis en place.
6. A software security testing program has been developed and provided.	6. Un programme de test de la sécurité des logiciels a été conçu et mis en place.
7. The sub-processor and other provider selection rules that have been developed guarantee an adequate level of technical and organizational security of the services provided and the tasks performed.	7. Les règles concernant la sélection des sous-traitants ultérieurs et autres fournisseurs qui ont été élaborées garantissent un niveau adéquat de sécurité technique et organisationnelle des services fournis et des tâches accomplies.
8. The sub-processor and other service provider auditing standards and mechanisms have been developed, and their implementation has been guaranteed.	8. Les normes et mécanismes de vérification des sous-traitants ultérieurs et autres fournisseurs ont été élaborés, et leur mise en œuvre est garantie.
V. Change and incident management	V. Gestion des changements et des incidents
1. A documented change control policy has been put in place which includes requirements for approving, classifying and testing the back-out plan and the division of responsibilities between request, approval and implementation.	1. Une politique documentée de contrôle des changements a été instaurée et prévoit des critères d’approbation, de classification et de test du plan de renonciation et de la séparation des responsabilités entre demande, approbation et mise en œuvre.
2. A software production security standard has been developed and put in place.	2. Des normes de sécurité pour les logiciels de production ont été élaborées et instaurées.
3. Procedures for managing and responding to security breach incidents have been put in place to allow reasonable detection, testing, response, mitigation of consequences, and notification of any events that involve a threat to the confidentiality, integrity, and availability of Personal Data. The response and management procedures are documented, checked and reviewed at least annually.	3. Des procédures de gestion et de réponse aux incidents de brèche de sécurité ont été instaurées afin de pouvoir détecter, tester, répondre à, atténuer les conséquences de, et signaler, dans la mesure du raisonnable, tout événement constituant une menace pour la confidentialité, l’intégrité et la disponibilité de Données personnelles. Les procédures de réponse et de gestion sont documentées, vérifiées et passées en revue au moins une fois par an.
VI. Privacy security	VI. Sécurité de la vie privée
1. A standard regarding the analysis of the risk of violating the basic rights and freedoms of Data Subjects, and the risk of loss of Personal Data confidentiality, availability and integrity at every product life cycle stage, has been developed and put in place.	1. Des normes relatives à l’analyse du risque de violation des droits et libertés fondamentaux des Sujets de données, et du risque de perte de la confidentialité, de la disponibilité et de l’intégrité des Données personnelles à chaque étape du cycle de vie du produit, ont été élaborées et instaurées.
2. A standard regarding compliance with the privacy protection principle at the software design stage has been developed and put in place (privacy by design).	2. Des normes relatives à la conformité avec le principe de protection de la vie privée à l’étape de conception du logiciel ont été élaborées et instaurées (respect de la vie privée dès la conception).
3. A standard regarding compliance with the privacy protection principle in default settings at the software design stage, has been developed and put in place (privacy be default).	3. Des normes relatives à la conformité avec le principe de protection de la vie privée dans les paramètres par défaut à l’étape de conception du logiciel ont été élaborées et instaurées (paramétrage par défaut favorable au respect de la vie privée).
B. Technical security measures	B. Mesures de sécurité technique
I. Security of Personal Data Processing operations	I. Sécurité des opérations de Traitement des Données personnelles
1. A minimum scope of technical security measures, which needs to be implemented to ensure protection of Personal Data, has been established. The type and scope of the applied additional technical measures for the protection of Personal Data is established on a case-by-case basis, depending on the identified threats, the required degree of protection, and the technical possibilities.	1. Un champ d’application minimum des mesures de sécurité technique à mettre en œuvre pour garantir la protection des Données personnelles a été instauré. Le type et le champ d’application des mesures techniques supplémentaires de protection des Données personnelles qui sont appliquées sont définis au cas par cas, en fonction des menaces identifiées, du degré de protection nécessaire et des possibilités techniques.
2. The buildings and areas with rooms used for Personal Data processing are secured against unauthorized access through application of access control systems, a burglar and attack alarm system, and surveillance by physical security guards, mechanical or code locks.	2. Les bâtiments et les zones comportant des salles affectées au Traitement des Données personnelles sont protégés contre tout accès non autorisé grâce à l’utilisation de systèmes de contrôle de l’accès, à un système d’alarme anti-effraction et anti-agression, à la surveillance exercée par des agents de sécurité et à des serrures mécaniques ou à code.
3. The buildings and areas with rooms used for Personal Data Processing are secured against fire, through application of doors of an increased fire resistance class.	3. Les bâtiments et les zones comportant des salles affectées au Traitement des Données personnelles sont protégés contre les incendies grâce à l’utilisation de portes coupe-feu renforcées.
4. The buildings and areas with rooms used for Personal Data Processing are secured against destruction as a result of fire or flooding, through application of a fire alarm and a burglar or attack alarm system.	4. Les bâtiments et les zones comportant des salles affectées au Traitement des Données personnelles sont protégés contre les dégâts causés par les incendies ou les inondations, grâce à une alarme anti-incendie et à un système d’alarme anti-effraction ou anti-agression.
5. The buildings and areas with the rooms used for Personal Data Processing are secured to monitor and identify any threats or undesired events through the application of CCTV.	5. Les bâtiments et les zones comportant des salles affectées au Traitement des Données personnelles sont sécurisés par des caméras de surveillance permettant de surveiller et d’identifier toute menace ou tout événement inopportun.
II. Data transmission security	II. Sécurité de la transmission des données
1. Personal Data transferred through teletransmission is secured against loss of confidentiality and integrity using cryptographic data protection measures (data encryption in transit).	1. Les Données personnelles transférées par télétransmission sont protégées contre la perte de confidentialité et d’intégrité grâce à des mesures de protection des données cryptographiques (chiffrement des données en transit).
2. Personal Data transferred through teletransmission is secured against loss of confidentiality through segmentation of ICT networks (network segmentation).	2. Les Données personnelles transférées par télétransmission sont protégées contre la perte de confidentialité grâce à la segmentation des réseaux de TIC (segmentation réseau).
3. Encryption keys used to secure the teletransmission of data are stored in a secure place, with management of access to them and with the possibility of key recovery.	3. Les clés de chiffrement utilisées pour sécuriser la télétransmission des données sont stockées dans un lieu sécurisé ; une procédure est instaurée pour gérer l’accès à ces clés et la possibilité de les récupérer.
III. Security of storage devices	III. Sécurité des appareils de stockage
1. Personal Data stored in data storage devices at rest is secured against loss of confidentiality and integrity, using cryptographic data protection measures (data encryption at rest).	1. Les Données personnelles stockées sur des appareils de stockage de données sont protégées contre la perte de confidentialité et d’intégrité grâce à des mesures de protection des données cryptographiques (chiffrement des données au repos).
2. Personal Data stored in data storage devices is secured against loss of confidentiality through physical or logical data separation (data separation).	2. Les Données personnelles stockées sur des appareils de stockage de données sont protégées contre la perte de confidentialité grâce à une séparation des données physiques et logiques (séparation des données).
3. Personal Data stored in data storage devices is secured against loss of availability and integrity through real-time data copying mechanisms (data replication).	3. Les Données personnelles stockées sur des appareils de stockage de données sont protégées contre la perte de disponibilité et d’intégrité grâce à des mécanismes de copie des données en temps réel (réplication des données).
4. Personal Data stored in data storage devices is secured against loss of availability and integrity through mechanisms of creating incremental or full data backups at predetermined time intervals (data backup).	4. Les Données personnelles stockées sur des appareils de stockage de données sont protégées contre la perte de disponibilité et d’intégrité grâce à des mécanismes de création de sauvegardes incrémentielles ou complètes des données à intervalles prédéterminés (sauvegarde des données).
5. Personal Data stored in data storage devices is secured against loss of availability through mechanisms and procedures for data recovery, data source switching, and backup restoration.	5. Les Données personnelles stockées sur des appareils de stockage de données sont protégées contre la perte de disponibilité grâce à des mécanismes et des procédures de récupération des données, de commutation des sources de données et de restauration de sauvegarde.
6. The data storage devices used for Personal Data Processing are secured against unauthorized access before they are installed in the hardware, through access restriction and control using safes.	6. Les appareils de stockage des données utilisés pour le Traitement de Données personnelles sont protégés contre tout accès non autorisé avant d’être installés sur le matériel informatique, grâce à des coffres-forts numériques permettant de contrôler et de restreindre l’accès.
7. The data storage devices used for Personal Data Processing are secured against loss of data confidentiality through the application of embedded procedures of cryptographic data protection (cryptographic protection of data storage devices).	7. Les appareils de stockage des données utilisés pour le Traitement des Données personnelles sont protégés contre la perte de confidentialité grâce à l’utilisation de procédures intégrées de protection des données cryptographiques (protection cryptographique des appareils de stockage des données).
8. The data storage devices used for Personal Data Processing are secured against loss of availability through the application of systems for automated monitoring of performance, capacity utilization, and availability time.	8. Les appareils de stockage des données utilisés pour le Traitement des Données personnelles sont protégés contre la perte de disponibilité grâce à l’utilisation de systèmes de suivi automatisé des performances, de l’utilisation des capacités et de la disponibilité.
9. The data storage devices used for Personal Data Processing are secured against unauthorized use, with the procedures for use and configuration of IT infrastructure elements (configuration management).	9. Les appareils de stockage des données utilisés pour le Traitement des Données personnelles sont protégés contre toute utilisation non autorisée, grâce à des procédures d’utilisation et de configuration des éléments des infrastructures informatiques (gestion de la configuration).
10. The data storage devices intended for reuse are secured against data disclosure to any unauthorized person or IT system, through the application of secure data deletion methods.	10. Les appareils de stockage des données devant être réutilisés sont protégés contre la divulgation de données à toute personne ou tout système informatique non autorisé(e), grâce à l’utilisation de méthodes sécurisées de suppression des données.
11. The data storage devices used for Personal Data Processing intended for elimination are secured against reuse through permanent and deliberate mechanical destruction.	11. Les appareils de stockage des données utilisés pour le Traitement des Données personnelles devant être éliminés sont protégés contre toute réutilisation grâce à leur destruction mécanique permanente et délibérée.
IV. Data storage security	IV. Sécurité du stockage des données
1. Personal Data stored in databases is secured against loss of integrity, through the application of consistency rules in terms of semantics (definition of data type), entities (definition of basic keys) and reference (definition of foreign keys).	1. Les Données personnelles stockées dans des bases de données sont protégées contre toute perte d’intégrité, grâce à l’application de règles de cohérence en termes de sémantique (définition des types de données), d’entités (définition des clés primaires) et de référence (définition des clés étrangères).
2. Personal Data is secured against loss of accountability, through the application of solutions that tie specific actions to a specific person or IT system.	2. Les Données personnelles sont protégées contre toute dilution des responsabilités, grâce à des solutions reliant des actions spécifiques à une personne ou un système informatique spécifique.
V. Security of network infrastructure	V. Sécurité de l’infrastructure réseau
1. Personal Data is secured against loss of confidentiality, through the application of secure access authentication methods for people and IT systems.	1. Les Données personnelles sont protégées contre la perte de confidentialité grâce à l’utilisation de méthodes sécurisées d’authentification de l’accès pour les personnes et les systèmes informatiques.
2. Personal Data is secured against loss of confidentiality and availability through monitoring of correct functioning, and use of secure access authentication methods for people and IT systems.	2. Les Données personnelles sont protégées contre la perte de confidentialité et de disponibilité grâce au suivi du bon fonctionnement, et à l’utilisation de méthodes sécurisées d’authentification de l’accès pour les personnes et les systèmes informatiques.
3. Personal Data is secured against loss of availability, through the application of additional backup and emergency sources of power for the IT infrastructure used to process Personal Data.	3. Les Données personnelles sont protégées contre la perte de disponibilité grâce à l’utilisation de sources d’alimentation de secours et d’urgence pour les infrastructures informatiques utilisées pour traiter les Données personnelles.
4. Elements of the network infrastructure used for Personal Data Processing (computers, servers, network equipment) are secured against access by unauthorized persons and IT systems, through secure access authentication methods.	4. Les éléments de l’infrastructure réseau utilisés pour le Traitement des Données personnelles (ordinateurs, serveurs, équipements du réseau) sont protégés contre tout accès par des personnes et des systèmes informatiques non autorisés, grâce à des méthodes sécurisées d’authentification de l’accès.
5. Elements of the network infrastructure used for Personal Data Processing are secured against access by unauthorized persons and IT systems, and against loss of availability through monitoring of the validity of the operating system and the installed software.	5. Les éléments de l’infrastructure réseau utilisés pour le Traitement des Données personnelles sont protégés contre tout accès par des personnes et des systèmes informatiques non autorisés, et contre toute perte de disponibilité grâce au suivi de la validité du système d’exploitation et du logiciel installé.
6. Elements of the network infrastructure used for Personal Data Processing are secured against access by unauthorized persons and IT systems, and against loss of availability with use of such software as Firewall, Intrusion Detection Systems, Intrusion Prevention Systems, and Anti DDOS.	6. Les éléments de l’infrastructure réseau utilisés pour le Traitement des Données personnelles sont protégés contre tout accès par des personnes et des systèmes informatiques non autorisés et contre toute perte de disponibilité, grâce à l’utilisation de logiciels tels que pare-feu, système de détection d’intrusion, système de prévention d’intrusion et anti-DDoS.
7. Elements of the network infrastructure used for Personal Data Processing are secured against loss of availability, through the application of replication, virtualization, and automated scaling procedures.	7. Les éléments de l’infrastructure réseau utilisés pour le Traitement des Données personnelles sont protégés contre toute perte de disponibilité grâce à l’application de procédures de réplication, de virtualisation et de mise à l’échelle automatique.
8. Elements of the network infrastructure used for Personal Data Processing are secured against loss of availability through the application of automatic availability, load, and performance monitoring processes.	8. Les éléments de l’infrastructure réseau utilisés pour le Traitement des Données personnelles sont protégés contre toute perte de disponibilité grâce à l’application de processus de suivi automatique de la disponibilité, de la charge et des performances.
9. Elements of the network infrastructure used for Personal Data Processing are secured against loss of availability, through the application of backup power sources and automatic power source switching procedures.	9. Les éléments de l’infrastructure réseau utilisés pour le Traitement des Données personnelles sont protégés contre toute perte de disponibilité grâce à l’utilisation de sources d’alimentation de secours et à l’application de procédures de commutation automatique des sources d’alimentation.