Passer au contenu principal

La base de référence en matière de protection des renseignements personnels de Kyndryl



Notre politique de protection des renseignements personnels décrit les principes et pratiques sur lesquels nous nous appuyons pour protéger les données personnelles de nos employés, clients et autres tiers. Ces lignes directrices sont conçues pour satisfaire ou dépasser les exigences des lois actuelles sur la protection des renseignements personnels dans tous les pays où Kyndryl exerce ses activités et sont mises à jour au besoin afin de tenir compte des nouvelles réglementations en évolution.

« Kyndryl s’engage à respecter les normes les plus élevées en matière de gouvernance des données. » « Notre base de référence en matière de protection des renseignements personnels permet à notre organisation mondiale de fonctionner sans heurts à travers les frontières avec des pratiques uniformes, ce qui vous donne l’assurance que nous traiterons toujours vos données de manière sécurisée, légale et transparente. »

Nuzhat Sayani,
Chef de la protection des renseignements personnels et de la gouvernance des données

Business colleagues drinking coffee during office break

Partie I : Données Kyndryl


Cette section explique comment nous gérons les données que nous contrôlons, y compris les données personnelles de nos employés et les coordonnées professionnelles de nos clients, partenaires et autres tiers qui interagissent avec nous.

Politique de protection des renseignements personnels et principes de traitement de Kyndryl

Nos principes de protection des renseignements personnels régissent la façon dont nous recueillons, utilisons, divulguons, stockons, consultons, transférons ou traitons autrement les données personnelles :

  • Équité : Nous collectons et traitons vos données à caractère personnel d’une manière équitable, légale et transparente.
  • Limitation de la finalité : Nous recueillons vos données personnelles à des fins spécifiques, explicites et légitimes et ne les traitons que d’une manière compatible avec ces fins.
  • La minimisation des données : Nous limitons le traitement des données à caractère personnel à ce qui est adéquat, pertinent et nécessaire aux fins prévues.
  • Exactitude : Nous gardons vos données personnelles aussi exactes, complètes et à jour que nécessaire aux fins prévues.
  • Conservation : Nous partageons vos données personnelles à l’interne ou à l’externe uniquement lorsque cela est approprié et en conformité avec les lois applicables de protection des données.
  • Divulgation : Nous partageons vos données personnelles en interne ou en externe uniquement lorsque cela est approprié et en conformité avec les lois applicables de protection des données.
  • Sécurité : Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé ou illégal et contre la perte, la destruction ou l’endommagement accidentel. Les tiers sont chargés de traiter vos données personnelles d’une manière conforme à la base de référence en matière de protection des renseignements personnels de Kyndryl.
  • Droits individuels : Nous respectons vos droits à la protection des renseignements personnels, notamment les droits d’accès et de rectification, conformément aux lois pertinentes sur la protection des données.
  • Conservation : Nous assurons un traitement sécurisé de vos données personnelles.
  • Responsabilité : Nous démontrons notre conformité aux lois sur la protection des données applicables grâce à une gouvernance, des politiques, une formation et une supervision appropriées.

Déclaration au sujet de la protection des renseignements personnels de Kyndryl

  • Déclaration au sujet de la protection des renseignements personnels externe Lorsque nous recueillons vos données personnelles, nous vous informons de notre politique de protection des renseignements personnels au moyen de notre déclaration au sujet de la protection des renseignements personnels externe qui vous informe de vos droits et décrit la façon dont nous recueillons, utilisons, partageons et protégeons vos données personnelles. Cette déclaration s’applique à Kyndryl et  à ses filiales, à moins qu’une filiale ne présente sa propre déclaration sans référence à celle de Kyndryl.
  • Déclaration au sujet de la protection des renseignements personnels interne
    Notre déclaration au sujet de la protection des renseignements personnels interne informe sur la manière dont nous pouvons utiliser les données personnelles de nos employés. Elle décrit les pratiques générales en matière de protection des renseignements personnels qui s’appliquent lorsque nous recueillons, utilisons et partageons les données personnelles de nos employés, de nos sous-traitants et des autres personnes avec lesquelles nous travaillons.



La base de référence pour la protection des renseignements personnels de Kyndryl fournit des directives opérationnelles aux Kyndryls qui sont responsables de la conformité à notre politique de protection des renseignements personnels et aux principes de traitement et aux lois sur la protection des renseignements personnels applicables pendant le traitement des données personnelles de Kyndryl.  

Protection des renseignements personnels dès la conception et par défaut 
Nous intégrons les principes de protection des renseignements personnels à chaque étape du cycle de vie du traitement des données. Cette approche s’applique à toutes les activités impliquant le traitement de données personnelles, qu’elles soient automatisées ou manuelles.

Gestion des droits des personnes concernées 
Nous avons mis en place des mécanismes et des procédures afin de donner l’assurance que les individus peuvent exercer leurs droits conformément aux lois applicables en matière de protection des renseignements personnels. Cela inclut la fourniture de canaux clairs et accessibles pour la soumission des demandes d’accès, la rectification, l’effacement, la restriction ou l’objection au traitement des données personnelles et exige de s’assurer que ces demandes sont traitées rapidement et efficacement.

Partage, transferts et divulgation de données
Nous contrôlons strictement le partage, les transferts et la divulgation des données au sein de Kyndryl à travers des politiques conçues pour garantir la confidentialité, l’intégrité et la disponibilité des informations. Nous utilisons des outils approuvés pour la communication et le transfert des données et des politiques et garanties spécifiques régissent les transferts des données en dehors de Kyndryl. Pour les transferts transfrontaliers, nous utilisons des mécanismes tels que les clauses contractuelles types de l’UE et le système des règles de protection de la vie privée transfrontalières de l’APEC (CBPR).

De plus, Kyndryl est certifiée dans le cadre du EU-U.S. Data Privacy Framework, de l’extension du Royaume-Uni au EU-U.S. DPF et du Swiss-U.S. Data Privacy Framework.

Conservation et élimination des données
Notre approche de la conservation et de l’élimination des données précise pendant combien de temps les différentes catégories de données personnelles seront conservées et décrit les procédures utilisées pour éliminer en toute sécurité les données qui ne sont plus nécessaires. Cela réduit au minimum les risques associés aux données obsolètes ou redondantes, en garantissant que les données personnelles ne sont conservées que pendant le temps nécessaire pour atteindre les objectifs pour lesquels elles ont été recueillies et qu’elles sont éliminées en toute sécurité afin d’empêcher tout accès non autorisé et toute mauvaise utilisation.

Notre cadre de protection des renseignements personnels exige que les propriétaires de toutes les applications internes, de tous les processus et de tous les outils qui traitent des données personnelles effectuent une évaluation globale de la protection des renseignements personnels et tiennent des dossiers précis des activités de traitement des données. Ces évaluations offrent une transparence au sujet de la manière dont les données personnelles sont traitées et aident à identifier et à atténuer les risques éventuels pour la protection des renseignements personnels et les vulnérabilités liés à l’activité de traitement.

Nous examinons plus attentivement les applications et les processus identifiés comme présentant un risque moyen ou élevé grâce à notre équipe dédiée aux évaluations de la gouvernance des données. Ces applications et processus font l’objet de vérifications continues, y compris, le cas échéant, d’une évaluation approfondie de l’impact sur la protection des renseignements personnels.

Cybersécurité
La politique de cybersécurité de Kyndryl garantit une approche normalisée pour la mise en œuvre des politiques et contrôles de sécurité dans l’ensemble de l’entreprise.

Alignée sur la norme ISO/IEC 27002:2022, reconnue internationalement et intégrant de nombreuses dispositions de la directive européenne NIS2, cette politique détaille les contrôles organisationnels, humains, physiques et technologiques qui doivent être mis en œuvre dans tous les systèmes et environnements informatiques de Kyndryl, sans exception.

Chiffrement
Le chiffrement est la pierre angulaire de notre stratégie de protection des données. Nous avons mis en place des politiques et des contrôles permettant de chiffrer les données personnelles en fonction de leur sensibilité et des risques associés, y compris les préoccupations en matière de protection des renseignements personnels liées aux transferts transfrontaliers. Nous exigeons le chiffrement lors du transfert de données personnelles sensibles. Lorsqu’un chiffrement efficace de bout en bout est nécessaire pour protéger les données personnelles stockées ou accessibles depuis un emplacement jugé inadéquat pour ces données, celles-ci restent fortement chiffrées en tout temps, tant en transit qu’au repos. Nous stockons de manière sécurisée les clés de chiffrement dans un emplacement approprié afin d’empêcher tout accès non autorisé.

Gestion des atteintes à la sécurité des données
Nous avons mis en place des procédures qui définissent les mesures et les contrôles nécessaires pour protéger les données personnelles contre tout accès, divulgation, modification ou destruction non autorisée. Celles-ci incluent les mesures spécifiques nécessaires pour détecter et signaler les atteintes à la sécurité des données et y répondre. En cas d’atteinte à la sécurité des données, nous nous engageons à prendre des mesures immédiates et efficaces afin d’atténuer les dommages et à remplir toutes les obligations de notification auprès des autorités compétentes et des personnes concernées.

Les employés de Kyndryl qui accèdent à des données personnelles adhèrent aux principes énoncés dans le Code de conduite de Kyndryl et à la référence de base de Kyndryl en matière de protection des renseignements personnels.

Nous offrons une formation portant sur les meilleures pratiques en matière de protection des données et les risques liés à un mauvais traitement des données. La formation annuelle sur la cybersécurité, la protection des données et l’éthique de l’IA est obligatoire pour tous les employés, avec des documents de formation disponibles à des fins de référence continue.

Les directeurs de Kyndryl s’assurent que leurs subordonnés directs et leurs sous-traitants suivent en temps opportun la formation obligatoire de l’entreprise sur la conformité en matière de protection des renseignements personnels et la sécurité des informations. Les directeurs s’assurent également que les employés qui accèdent à des données personnelles ou en traitent suivent une formation axée sur leur rôle qui est adaptée à leurs responsabilités.

Les employés de Kyndryl sont informés que la non-conformité de la part des employés de Kyndryl et de notre personnel élargi peut entraîner des mesures disciplinaires.

 

La surveillance et la vérification sont essentielles pour assurer le respect continu des réglementations, identifier et atténuer les risques liés à la protection des renseignements personnels et préserver l’intégrité des données personnelles. Nous réalisons des audits périodiques de la protection des renseignements personnels afin d’assurer le respect de la politique et des directives de Kyndryl relatives à la protection des renseignements personnels.

Nous tenons également des journaux des accès aux données et des modifications afin de détecter toute activité non autorisée. Des contrôles d’accès stricts sont en place afin de savoir qui peut accéder aux données sensibles et des alertes automatisées sont mises en œuvre afin de signaler les activités inhabituelles ou suspectes.

 

High rise building, skyscraper with sky and green, copy space Tokyo, Japan, at day time.

Partie II :

Données sur les clients :



Cette section décrit la façon dont nous gérons et traitons les données personnelles que nos clients et d’autres tiers nous confient afin que nous les traitions en leur nom.

La base de référence en matière de protection des renseignements personnels de Kyndryl fournit des directives opérationnelles aux Kyndryls responsables de la conformité à nos politiques internes et aux lois applicables en matière de protection des renseignements personnels lors du traitement des données personnelles des clients.

Peu importe les obligations des clients dans nos contrats, ces lignes directrices servent de base pour tous nos services à la clientèle, offrant à tous nos clients un meilleur contrôle de la façon dont Kyndryl gère et protège leurs données.

Accord avec le client
Lorsque nous traitons les données personnelles des clients, nous signons un Addenda relatif au traitement des données de Kyndryl Toute modification ou exception à l’Addenda relatif au traitement des données de Kyndryl doit être approuvée par le service juridique de Kyndryl.

Description du traitement
Nous préparons une ou plusieurs annexes de l’Addenda relatif au traitement des données (DPA) qui détaillent le traitement des données personnelles des clients pour chaque transaction client ou groupe de transactions clients.

Utilisation et réutilisation des données personnelles des clients
Nous ne traitons les données personnelles des clients qu’aux fins explicitement spécifiées dans le contrat signé entre nous et le client, et selon les instructions de ce dernier. Nous n’utilisons pas et ne réutilisons pas les données personnelles des clients à d’autres fins de Kyndryl sans l’accord du client.

Notification des instructions enfreignant les lois
Nous examinons chaque nouvelle instruction de nos clients pour le traitement et informons les clients si nous pensons que les instructions de traitement enfreignent les lois applicables en matière de protection des renseignements personnels.

Retour ou élimination des données personnelles des clients
Nous conservons les données personnelles des clients uniquement aussi longtemps que nécessaire pour remplir les obligations contractuelles conformément aux instructions du client. En cas de résiliation ou d’expiration du contrat, nous retournons ou supprimons les données personnelles du client, tel que convenu avec le client. Toute exception doit être approuvée par le service juridique de Kyndryl.

Assistance à la clientèle
En tenant compte du secteur d’activité, de l’environnement réglementaire du client et de la portée convenue des services, nous documentons et mettons en œuvre des processus afin de nous conformer aux obligations d’assistance de Kyndryl, telles que définies dans le contrat conclu avec le client et l’Addenda relatif au traitement des données de Kyndryl. 

La protection des renseignements personnels dès la conception et par défaut exige que les exigences relatives à la confidentialité soient identifiées avant le traitement et que des contrôles soient mis en œuvre à toutes les étapes du cycle de vie du traitement, afin de s’assurer que le traitement des données à caractère personnel respecte les exigences juridiques et réglementaires. Ces contrôles se répartissent en deux catégories :

  • Contrôles universels : Contrôles mis en œuvre pour tout le traitement des données personnelles des clients.
  • Contrôles dépendants du traitement: Les contrôles pour lesquels la responsabilité de la conformité incombe au responsable du traitement des données qui est généralement le client. Cependant, selon la nature des services, le client peut être partiellement ou totalement dépendant de nous pour la satisfaction aux exigences.

 

Nous appliquons des contrôles universels de la protection des renseignements personnels dès la conception et par défaut à toutes les activités de Kyndryl impliquant le traitement (y compris l’utilisation, la divulgation, la conservation, la transmission et l’élimination) des données personnelles des clients, que ce soit par des moyens automatisés ou manuels, y compris les services opérationnels tels que le soutien et la maintenance.

Rôles et responsabilités : Nous définissons (et documentons) les rôles et responsabilités afin de nous assurer que nous respectons nos obligations pour les services contractuels que nous fournissons.

Minimisation des données : Nous ne traitons que la quantité minimale de données personnelles des clients nécessaire pour fournir les services définis par contrat tout au long du cycle de vie du traitement.

Limitation de l’accès aux données : Nous concevons et mettons en œuvre des contrôles d’accès afin que seules les personnes ayant besoin d’accéder aux données personnelles pour fournir les services définis par contrat soient autorisées à les consulter.

Évaluation et examen des risques : L’Addenda relatif au traitement des données de Kyndryl renvoie à l’annexe de cet Addenda en ce qui concerne les détails des mesures techniques et organisationnelles. Bien que les mesures techniques et organisationnelles doivent être convenues avec le client, nos de sécurité des données et de protection des renseignements personnels servent de base de référence.

Les rôles et responsabilités concernant les mesures techniques et organisationnelles sont définis dans le contrat client.

Suppression sécurisée : Nous exécutons les instructions des clients pour effacer leurs données personnelles se trouvant dans des ressources informatiques ou des supports qui sont mis hors service ou éliminés conformément aux directives du National Institute of Standards and Technology (NIST) pour la désinfection des supports (rév. SP 800-88). 1), tel que convenu.

Transferts de données sécurisés : Nous mettons en œuvre les mesures techniques et organisationnelles spécifiques convenues avec le client pour transférer les données personnelles du client à l’interne ou à l’externe, de manière qu’elles atteignent leur destination prévue d’une façon sécurisée.

Procédures de traitement des données personnelles : Nous documentons les procédures pour le traitement sécurisé et conforme des données personnelles des clients et rendons cette documentation accessible à notre personnel traitant des données personnelles. Ces procédures seront adaptées au rôle, aux responsabilités et aux tâches de l’individu et conformes aux exigences de la politique de cybersécurité de Kyndryl, aux contrôles de ce document et à toute obligation contractuelle concernant le traitement des données personnelles des clients.

Guide de la configuration de la protection des renseignements personnels : Nous fournissons une documentation permettant aux personnes autorisées de connaître les paramètres techniques, la configuration, l’administration et les options des utilisateurs qui permettent de configurer, d’administrer et d’utiliser les outils nécessaires pour la fourniture des services définis par contrat d’une manière sécurisée et optimisée pour la protection des renseignements personnels.

Journalisation et surveillance : Nous mettons en œuvre la journalisation et la surveillance afin de faciliter la détection des menaces et les enquêtes et journalisons l’accès aux données personnelles des clients (telles qu’elles sont recueillies par nous dans le cadre des services définis par contrat fournis au client), y compris par qui, quand et les changements (le cas échéant) apportés (ajouts, modifications ou suppressions).

Chiffrement : Lorsque l’infrastructure que nous prenons en charge dans le cadre des services définis par contrat est destinée à stocker les données personnelles des clients, nous chiffrons par défaut les données en transit et au repos lorsque cela fait partie des services définis par contrat, offrons au client la possibilité de chiffrer ou lui recommandons d’activer le chiffrement des données au repos, le cas échéant

Aucune donnée personnelle dans les données de test : Nous n’utilisons pas de données contenant des renseignements personnels de clients à des fins de tests. Les données synthétiques sont utilisées, sauf si tous les critères suivants sont remplis :

  • L’autorisation du client est obtenue par écrit.
  • Les mesures techniques et organisationnelles dans l’environnement de test sont équivalentes à celles dans l’environnement de production (y compris la suppression dans le système de test une fois les tests terminés).

Formation et éducation basées sur les rôles : Nos employés et sous-traitants qui ont accès aux données personnelles des clients ou qui les traitent suivent une formation axée sur les rôles adaptée à leurs rôles, responsabilités et tâches (portant notamment sur la cybersécurité, la protection des renseignements personnels et l’IA). Des formations distinctes sont généralement données afin d’accompagner l’introduction de modification des processus ou de nouveaux processus en raison des évolutions technologiques, des modifications des lois, des réglementations et des meilleures pratiques du marché.

Gestion des changements : Nous gérons et contrôlons les modifications apportées aux services définis par contrat qui ont un impact important sur le traitement des données personnelles des clients, en nous assurant que les annexes de l’Addenda relatif au traitement des données sont mises à jour chaque fois qu’une modification des activités de traitement a lieu et avant le commencement des nouvelles activités de traitement.

Sauvegarde et récupération des données : Nous mettons en œuvre les contrôles de sauvegarde et de restauration définis par contrat, sauf lorsque la responsabilité est contractuellement assumée par le client.

En général, la responsabilité du contrôle des données personnelles du client incombe au client.

Limitation de la collecte et de la génération de données personnelles
Nous suivons les instructions du client convenues dans le contrat afin de nous assurer que seule la quantité de données personnelles minimale du client nécessaire est recueillie ou générée pendant la durée des services définis par contrat.

Exactitude et qualité des données personnelles
Nous aidons le client à maintenir l’exactitude et à garder ses données personnelles à jour lorsque cette assistance fait partie des services définis par contrat.

Retour ou destruction de données
Nous documentons dans le cadre du contrat conclu avec le client la façon dont les données sont retournées au client ou détruites à la fin des services définis par contrat. Le cas échéant, nous permettons au client de contrôler et de gérer la rétention et l’élimination de ses données personnelles traitées pendant la prestation des services définis par contrat.

Capacité à localiser les données
Nous documentons nos emplacements d’hébergement, y compris les emplacements de sauvegarde, afin de permettre à nos clients de localiser facilement leurs données personnelles.

L’Addenda relatif au traitement des données de Kyndryl définit notre engagement à aider nos clients à satisfaire les demandes de droits des personnes concernées et, le cas échéant, la façon dont nous serons rémunérés pour cette assistance. Les modifications ou exceptions aux dispositions relatives à l’assistance de l’Addenda relatif au traitement des données doivent être approuvées par le service juridique de Kyndryl.

Dossiers des lieux de traitement, des entités et des transferts
Nous préparons les annexes de l’Addenda relatif au traitement des données pour chaque transaction avec un client ou groupe de transactions avec un client contenant une liste précise et complète de tous les sous-traitants (Kyndryl et un tiers) et de leurs lieux de traitement.

Nous vérifions que les lieux de traitement énumérés dans une annexe de l’Addenda relatif au traitement des données pour les sous-traitants sont des pays que Kyndryl considère comme ayant des protections des données adéquates pour la nature du traitement proposé. En outre, nous mettons en œuvre des mesures supplémentaires pour les secteurs d’activités dans certains pays où cela est nécessaire.

Fondement du transfert entre juridictions
En tant qu’entreprise mondiale, nous avons mis en place des mesures pour régir le transfert international des données personnelles et garantir un niveau de protection des données adéquat.

Les transferts interentreprises sont régis par l’accord interne interentreprises de Kyndryl, y compris les clauses contractuelles types et l’évaluation de l’impact du transfert lorsque la législation applicable en matière de protection des données l’exige et que cela est souligné dans l’Addenda relatif au traitement des données de Kyndryl. Les deux font également partie du processus d’engagement des sous-traitants tiers de Kyndryl. De plus, Kyndryl est certifié est certifiée en vertu du EU-U.S. Data Protection Framework.

Divulgation de l’utilisation de sous-traitants
Nous mettrons à jour l’annexe de l’Addenda relatif au traitement des données ou le document contractuel équivalent convenu avec le client afin de dresser la liste des sous-traitants utilisés pour le traitement des données personnelles du client avant leur engagement.

Nous informerons les clients avant d’engager de nouveaux sous-traitants ou de remplacer ceux existant conformément au processus convenu dans l’annexe de l’Addenda relatif au traitement des données.

Engagement et contrats avec des sous-traitants
Tous nos fournisseurs et sous-traitants font l’objet d’une évaluation de la protection des renseignements personnels et de la sécurité dans le cadre du processus d’engagement et nous leur demandons de traiter les données personnelles conformément à la base de référence de Kyndryl en matière de protection des renseignements personnels.

Lorsque les conditions des clients ou des sous-traitants s’écartent des normes de Kyndryl, nous veillons à ce que toutes les obligations divergentes entre les parties respectives soient, dans la mesure du possible, convenues de manière réciproque en répercutant les exigences divergentes du client sur le sous-traitant ou, dans des cas exceptionnels, en répercutant les conditions divergentes du sous-traitant vers le client.

Supervision des sous-traitants
Nous et nos sous-traitants tiers sommes soumis à des vérifications réalisées par nos équipes d'approvisionnement et de vérification interne qui travaillent en étroite collaboration avec notre chef de la protection des renseignements personnels et de la gouvernance des données, en particulier lors de la définition des objectifs des contrôles.

Nous effectuons une surveillance et un examen périodiques des capacités des sous-traitants tiers en matière de protection des renseignements personnels et de sécurité et procédons à une surveillance et à des vérifications supplémentaires, s’il y a lieu.

Gestion des demandes de divulgation
Notre équipe juridique traitera rapidement toutes les demandes émanant d’autorités réglementaires (par exemple les autorités chargées de la protection des données, les organismes de réglementation et les organismes chargés de l’application de la loi) pour la divulgation des données personnelles des clients ou des informations relatives au traitement des données personnelles des clients, conformément à notre politique relative aux demandes de données des clients émanant des pouvoirs publics

Gestion des incidents
Nous avons établi des procédures pour l’identification et le signalement des incidents liés à la sécurité et à la protection des renseignements personnels impliquant les données personnelles des clients.

Les incidents sont signalés de manière centralisée à l’équipe d’intervention en cas d’incident de cybersécurité de Kyndryl, une équipe d’experts internationale qui mène des enquêtes et aide nos équipes internes à prendre des mesures d’atténuation immédiates et à renforcer les stratégies de prévention. L’équipe d’intervention en cas d’incident de cybersécurité de Kyndryl travaille en étroite collaboration avec notre chef de la protection des renseignements personnels et de la gouvernance des données qui agit à titre consultatif et comme point de contact pour la coopération avec l’autorité compétente en matière de protection des données.

Lorsque des incidents concernent les données personnelles des clients, nous informons ces derniers conformément aux modalités du contrat convenues. Veuillez consulter l’Addenda relatif au traitement des données de Kyndryl pour obtenir des détails sur nos conditions générales. Le processus de notification des incidents fait partie de notre formation obligatoire en cybersécurité, protection des renseignements personnels et intelligence artificielle.

Si vous avez des questions concernant la protection des renseignements personnels de Kyndryl, veuillez communiquer avec nous en utilisant ce formulaire.