L'avenant DORA complète l’entente principale conclue avec DeepL en y intégrant les dispositions nécessaires pour se conformer au règlement (UE) 2022/2554 relatif à la résilience opérationnelle numérique dans le secteur financier (loi sur la résilience opérationnelle numérique, « DORA »).
Il ne s’agit pas d’un document contractuel autonome. Au contraire, conjointement avec l’entente principale et les autres modifications contractuelles, il constitue un cadre contractuel unique et homogène qui doit être considéré et interprété comme une seule et même entente.
Ensemble, ils satisfont aux exigences de l'article 30 du règlement (UE) 2022/2554 (DORA) :
Description du service
Les services convenus et les éventuels accords de niveau de service (lorsqu’ils sont prévus par contrat) sont exclusivement définis dans l’entente principale et dans l’accord de traitement des données. L'avenant fait référence à ces dispositions en conséquence.
Sites de traitement
Les sites de traitement concernés sont définis dans l’accord de traitement des données et y sont régis de manière exhaustive.
Mesures de sécurité informatique
DeepL met en œuvre et assure le maintien de mesures de sécurité appropriées. Les détails sont décrits dans l’entente principale et/ou dans l’accord de traitement des données.
Obligations d’assistance
En cas d’incidents informatiques relevant de la directive DORA, DeepL vous apportera son assistance dans la mesure du raisonnable, notamment en vous fournissant les informations pertinentes en temps utile et en vous aidant à analyser et à enquêter sur l’incident.
Sous-traitants
DeepL est en droit de faire appel à des sous-traitants. La liste des sous-traitants engagés figure à l'annexe 1 de l’accord de traitement des données. Les modifications vous seront communiquées à l’avance, avec un préavis raisonnable (deux semaines), ce qui vous permettra de vous y opposer.
Résiliation et sortie
Ce terme se réfère à l’entente principale. Les droits de résiliation conformes à la directive DORA sont entièrement réglementés.
Q) L’avenant couvre-t-il également les fonctions essentielles ou importantes ?
R) DeepL part généralement du principe que ses services prennent en charge des fonctions qui ne sont ni critiques ni importantes au sens de la directive DORA. Notre addendum porte donc sur les dispositions contractuelles relatives aux services TIC qui soutiennent des fonctions non critiques et non essentielles. Les établissements financiers doivent déterminer si un service informatique soutient une fonction critique ou importante au sein de leur organisation (c'est-à-dire s’ils ne pourraient pas fonctionner ou seraient gravement affectés sans ce service).
Q)Pouvons-nous contrôler directement les sous-traitants de DeepL ou leur demander de participer à nos programmes de formation en TIC ?
R) DeepL n’est pas en mesure de vous accorder des droits d’audit directs sur ses sous-traitants ni de les obliger à participer aux programmes de sensibilisation à la sécurité informatique ou aux formations sur la résilience opérationnelle numérique que vous avez mis en place. Étant donné que les sous-traitants ne sont pas parties à votre entente avec DeepL, ces obligations ne relèvent pas du champ d’application des engagements contractuels que DeepL peut prendre. DeepL veille à ce que chaque sous-traitant soit lié par une entente écrite imposant des obligations en matière de protection et de sécurité des données qui sont, pour l’essentiel, équivalentes à celles définies dans l'accord de traitement des données. Nous sélectionnons rigoureusement nos sous-traitants et procédons à des audits de tous les sous-traitants clés conformément à la norme ISO 27001.
Q) De quels droits en matière d’audit disposons-nous ?
R) Vos droits en matière d’audit sont entièrement régis par l’accord de traitement des données, auquel l’avenant fait référence. Vous avez le droit de réaliser un audit par année civile. Des visites sur place sont possibles. D’autres audits pourront être effectués après entente préalable avec DeepL et remboursement des frais. Tout audit doit faire l’objet d'un préavis raisonnable et est soumis à des obligations de confidentialité.
Q) Dans quelles circonstances l’avenant peut-il être résilié ?
R) L’avenant fait partie intégrante de l’entente principale. Une résiliation unilatérale de l’avenant est exclue, sauf si : vous ne relevez pas du champ d’application de la directive DORA ; dans ce cas, l’avenant peut être résilié par l’une ou l’autre des parties moyennant un préavis de quatre semaines. En outre, une résiliation extraordinaire pour motif valable est possible, par exemple en cas de manquement grave, de lacunes avérées en matière de sécurité informatique ou d’obstacles liés à la surveillance réglementaire.
Q) Est-ce que DeepL nous apporte son assistance en cas d’incidents ou dans le cadre de la coopération réglementaire ?
R) Oui. DeepL s’engage à coopérer avec les autorités de contrôle compétentes et à vous apporter son soutien en cas d’incidents relevant de la directive DORA. Cette assistance est fournie dans la mesure où cela est raisonnable compte tenu des risques liés aux services.
Pour plus d’informations sur les mesures techniques et organisationnelles mises en place par DeepL Pro ainsi que sur la protection des données, veuillez consulter le DeepL Trust Center. Vous trouverez ici des informations sur nos certifications ISO 27001 et SOC 2 Type II, sur les tests d’intrusion, sur nos centres de données, ainsi que sur les flux de données, etc.
Le présent document ne remplace pas l’avenant. Le texte du contrat signé prévaut toujours.