Correspondance DORA
Contexte
Les entités financières de l’Union européenne (UE) et leurs fournisseurs de technologies de l’information et de la communication (TIC) critiques devront se conformer au règlement DORA (Digital Operational Resilience Act) à compter du 17 janvier 2025. GoTo a élaboré ce document pour aider ses clients du secteur des services financiers à respecter leurs obligations en vertu du règlement DORA.
Correspondances avec l’article 30 (Dispositions contractuelles essentielles) :
GoTo a créé ce document pour aider ses clients du secteur des services financiers à évaluer la conformité de ses services avec les exigences de l’article 30 du règlement DORA. Ce document :
- décrit les éléments contractuels obligatoires spécifiés à l’article 30 ;
- démontre comment nos services et notre documentation répondent à chaque exigence ; et
- fournit des commentaires pour vous aider à comprendre comment vous conformer aux exigences en utilisant les services GoTo et/ou les documents GoTo référencés ci-dessous.
Les documents suivants sont référencés ci-dessous :
- Conditions d’utilisation du service de GoTo et Document de commande (constituent l’Accord de services ou le Contrat de servicesGoTo)
- Description des services
- Supplément régional
- Mesures techniques et d’organisation (TOM)
- Déclarations de sous-traitants
- Addendum de Traitement des Données (ATD) de GoTo
- Code de déontologie et de conduite professionnelles
Les ressources GoTo suivantes sont référencées ci-dessous :
- Le Trust & Privacy Center GoTo, qui comprend les éléments suivants : TOM spécifiques aux produits, déclarations des sous-traitants, ATD contraignant
- Assistance VIP* : contactez nos représentants pour plus d’informations https://www.goto.com/company/contact-us
* L’assistance VIP peut ne pas être disponible pour tous les produits et services. - Page d’état : https://www.goto.com/company/trust/status
| N° | Norme | Cadre de référence | Description | Commentaire GoTo | Référence et ressources contractuelles GoTo |
|---|---|---|---|---|---|
| 1 | Contrat de services | Article 30 (1) | Les droits et obligations de l’entité financière et du prestataire de services TIC doivent être clairement répartis et précisés par écrit . Le contrat complet doit inclure les accords de niveau de service et être consigné dans un document écrit qui doit être mis à la disposition des parties sur papier, ou dans un document dans un autre format téléchargeable, durable et accessible. | Les droits et obligations respectifs des parties
sont définis par écrit dans les Conditions d’utilisation GoTo
, y compris la Description des services
qui y sont incorporées et le document de commande
, disponibles pour
le client au moment de l’achat ou
sur demande. Pour gérer les risques liés aux TIC, les entités financières clientes ont la possibilité de souscrire à notre assistance VIP, qui offre des garanties et de la documentation sur le temps de réponse et de résolution, en contactant nos représentants commerciaux pour plus d’informations à l’adresse https://www.goto.com/company/contact-us. Les clients peuvent également suivre la disponibilité du service en visitant le site https://www.goto.com/company/trust/status. |
Conditions d’utilisation du service
Document de commande
Description des services
Assistance VIP* Page d’état |
| 2 | Sous-traitance | Article 30 (2) (a) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure une description claire et complète de toutes les fonctions et services TIC à fournir par le prestataire de services TIC tiers, en indiquant si la sous-traitance d’un service TIC soutenant une fonction critique ou importante , ou des parties importantes de ce service, est autorisée et, le cas échéant, les conditions s’appliquant à une telle sous-traitance. | La Commande définit les services achetés
et incorpore les Conditions d’utilisation du service de GoTo
qui comprennent une référence à notre Description des services,
laquelle décrit chaque produit/service
que nous offrons. La section 4.2 des Conditions d’utilisation du service de GoTo prévoit que les informations relatives au traitement des données soient détaillées sur notre centre Trust & Privacy Center(https://www.goto.com/company/trust) où vous pouvez consulter les lieux de traitement des données applicables et les Déclarations de sous-traitants de traitement, ainsi que des informations spécifiques de chaque Service sur nos mesures de sécurité techniques et organisationnelles (dans la documentation « TOMs » pour Technical and Organizational Measures). |
Document de commande Conditions d’utilisation du service Description des services Déclarations de sous-traitants TOMs |
| 3 | Emplacement | Article 30 (2) (b) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure les emplacements, à savoir les régions ou pays, où les fonctions contractées ou sous-traitées et les services TIC doivent être fournis et où les données doivent être traitées, y compris le lieu de stockage, ainsi que l’obligation pour le prestataire de services TIC tiers d’informer l’entité financière à l’avance de tout changement d’emplacement envisagé. | Les emplacements des sous-processeurs de GoTo sont disponibles sur notre centre Trust & Privacy Center (https://www.goto.com/company/trust). L’ATD de GoTo décrit les engagements et obligations de GoTo à l’égard de ses sous-traitants , y compris la procédure de nomination, la notification des changements et les droits d’objection. L’infrastructure GoTo est conçue pour accroître la fiabilité du service et réduire le risque d’indisponibilité. Comme décrit dans l’ATD de GoTo, le client peut s’abonner aux notifications des modifications concernant les Déclarations de sous-traitants ou les TOM sur le centre Trust & Privacy Center de GoTo à l’adresse https://www.goto.com/company/trust. |
Déclarations de sous-traitants ATD |
| 4 | Données et sécurité | Article 30 (2) (c) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne la protection des données, y compris les données personnelles. | Les TOM de GoTo prévoient le maintien
de programmes mondiaux de confidentialité et de sécurité
robustes et de mesures de protection organisationnelles, administratives et techniques
conçues pour : (i) assurer
la confidentialité, l’intégrité et la disponibilité du
Contenu du client ; (ii) protéger
contre les menaces et risques pour la sécurité du
Contenu du client ; (iii) prévenir toute
perte, utilisation abusive, accès non autorisé, divulgation,
altération et destruction du
Contenu du client ; et (iv) assurer la conformité avec
les lois et règlements applicables, y compris les lois sur la protection des données
et la confidentialité. |
TOMs |
| 5 | Données et sécurité | Article 30 (2) (d) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure des dispositions garantissant l’accès, la récupération et la remise des données personnelles et non personnelles traitées par l’entité financière dans un format facilement accessible, en cas d’insolvabilité, de résolution ou de cessation des activités du prestataire de services TIC tiers , ou en cas de résiliation des dispositions contractuelles. | L’ATD de GoTo prévoit que, sur demande écrite du client et dans la mesure permise par la loi, GoTo remettra au client tout Contenu du client ou indiquera au client comment procéder à une exportation des données en libre-service. Les TOM applicables de GoTo fournissent également ces informations (Suppression et Remise du contenu). La section 3.3 des Conditions d’utilisation du service de GoTo prévoit également une période pendant laquelle le client peut récupérer son Contenu en cas de résiliation du contrat. | ATD TOMs Conditions d’utilisation du service |
| 6 | Services et niveau de service | Article 30 (2) (e) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure des descriptions des niveaux de service , y compris les mises à jour et révisions de celles-ci. | Pour gérer les risques liés aux TIC, les entités financières clientes
ont la possibilité de souscrire à notre assistance VIP, qui offre des garanties et de la documentation en ce qui concerne les temps de réponse et de résolution. Contactez nos représentants pour plus d’informations https://www.goto.com/company/contact-us. Les clients peuvent également suivre la disponibilité du service en visitant le site https://www.goto.com/company/trust/status. |
Assistance VIP* Page d’état |
| 7 | Continuité des activités et résilience opérationnelle | Article 30 (2) (f) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure l’obligation pour le prestataire de services TIC tiers de fournir une assistance à l’entité financière sans frais supplémentaires , ou à un coût déterminé à l’avance , lorsqu’un incident TIC lié au service TIC fourni à l’entité financière se produit. | L’ADT de GoTo décrit l’assistance que GoTo
fournira au client en cas d’incident TIC,
sans frais supplémentaires. Il précise également
l’obligation de GoTo d’informer le client si
un tel incident se produit. Les clients peuvent également suivre la disponibilité du service en visitant le site https://www.goto.com/company/trust/status. |
Page d’état ATD |
| 8 | Autorités de contrôle | Article 30 (2) (g) | Les dispositions contractuelles relatives à l’utilisation des services TIC doivent inclure l’obligation pour le prestataire de services TIC de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière , y compris leurs mandataires. | La section 5 des Conditions d’utilisation du service de GoTo prévoit
qu’en fonction des besoins et conformément à la
législation applicable, GoTo coopérera avec les autorités locales,
étatiques, fédérales et internationales
en ce qui concerne les Services. En outre, l’ATD de GoTo prévoit également que GoTo coopérera pleinement avec les autorités de contrôle , les autorités de résolution et lurs mandataires , lorsqu’ils exerceront leurs droits d’information et d’audit en lien avec les Services fournis. |
Conditions d’utilisation du service ATD |
| 9 | Résiliation | Article 30 (2) (h) | Les dispositions contractuelles relatives à l’utilisation des services TIC incluront des droits de résiliation et des délais de préavis minimums pour la résiliation des dispositions contractuelles, conformément aux attentes des autorités compétentes et des autorités de résolution . | Les délais de préavis applicables à la résiliation des Services
sont définis à la section 3.1 de nos Conditions d’utilisation du service de GoTo (
) et dans le Supplément régional
qui inclut les exigences spécifiques à chaque pays. |
Conditions d’utilisation du service Supplément régional |
| 10 | Continuité des activités et résilience opérationnelle | Article 30 (2) (i) | Les dispositions contractuelles relatives à l’utilisation des services TIC incluront les conditions de participation des prestataires de services TIC tiers aux programmes de sensibilisation à la sécurité des TIC et aux formations à la résilience opérationnelle numérique des entités financières , conformément à l’article 13, paragraphe 6. | L’ATD de GoTo précise nos obligations, responsabilités et devoirs en matière de formation interne en ce qui concerne la sécurité et la confidentialité. Les TOM de GoTo fournissent des informations sur les programmes de sensibilisation à la sécurité et à la confidentialité de GoTo et précisent que les nouveaux employés, les sous-traitants et les stagiaires doivent être informés des politiques de sécurité et du Code de déontologie et de conduite professionnelles de GoTo lors de leur intégration. En outre, tous les employés, sous-traitants et filiales de GoTo doivent lire et adhérer au Code de de déontologie et de conduite professionnelles de GoTo. | ATD TOMs Code de déontologie et de conduite professionnelles |
| 11 | Services et niveau de service | Article 30 (3) (a) | Les dispositions contractuelles relatives à l’utilisation des services TIC soutenant des fonctions critiques ou importantes incluront des descriptions complètes des niveaux de service, y compris les mises à jour et révisions de celles-ci, avec des objectifs de performance précis, tant quantitatifs que qualitatifs , au sein des niveaux de service convenus , afin de permettre à l’entité financière de contrôler efficacement les services TIC et de prendre les mesures correctives appropriées , sans retard injustifié, lorsque les niveaux de service convenus ne sont pas respectés. | Pour gérer les risques liés aux TIC, les entités financières clientes
ont la possibilité de souscrire à notre assistance VIP,
qui offre des garanties et de la documentation
sur le temps de réponse et de résolution.
Contactez nos représentants pour plus
d’informations
https://www.goto.com/company/contact-us. Les clients peuvent également vérifier la disponibilité des services GoTo en visitant le site https://www.goto.com/company/trust/status. |
Assistance VIP* Page d’état |
| 12 | Surveillance et notification | Article 30 (3) (b) | Les dispositions contractuelles relatives à l’utilisation des services TIC soutenant des fonctions critiques ou importantes incluront des périodes de préavis et des obligations de rapport du prestataire de services TIC tiers à l’entité financière, y compris la notification de tout développement susceptible d’avoir un impact matériel sur la capacité du prestataire de services TIC tiers à fournir efficacement les services TIC soutenant des fonctions critiques ou importantes, conformément aux niveaux de service convenus. | Les notifications et alertes relatives aux Services sont publiées sur le site
https://www.goto.com/company/trust/status D’autres obligations de notification sont définies dans l’ADT de GoTo (notifications concernant les sous-traitants et notifications d’incidents de sécurité liés au Contenu du client). |
Page d’état ATD |
| 13 | Continuité des activités et résilience opérationnelle | Article 30 (3) (c) | Les dispositions contractuelles relatives à
l’utilisation des services TIC
soutenant des fonctions critiques ou importantes
incluront l’obligation pour le prestataire de services TIC tiers de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures de sécurité TIC, des outils et des politiques qui fournissent un niveau de sécurité approprié pour la fourniture de services par l’entité financière conformément au cadre réglementaire applicable. |
L’ADT de GoTo prévoit que GoTo mettra en œuvre
et maintiendra des mesures techniques et
organisationnelles appropriées pour protéger
la sécurité (y compris la protection contre un
incident de sécurité), la confidentialité et l’intégrité
du Contenu du client, comme indiqué dans les
mesures techniques et organisationnelles
applicables (Annexe 4). Les TOM de GoTo prévoient que la mise en œuvre par GoTo ( ) de mesures de protection, de fonctionnalités et de pratiques implique ce qui suit : I. La création de produits prenant en compte la sécurité et la confidentialité dès leur conception et par défaut, en intégrant des couches de sécurité supplémentaires afin de protéger le Contenu du client ; II. Le maintien de contrôles organisationnels qui mettent en œuvre des politiques et procédures internes relatives au respect des normes, à la gestion des incidents, à la sécurité des applications, à la sécurité du personnel ainsi qu’aux programmes de formation réguliers ; et III. La mise en place de pratiques de confidentialité pour encadrer la gestion et le traitement des données conformément à la législation applicable, y compris le RGPD, le CCPA, la LGPD, ainsi que notre propre Annexe de traitement des données (ATD) et les politiques et engagements applicables de GoTo. En intégrant des protections de sécurité dans nos produits , nous mettons tout en œuvre pour protéger le Contenu du client GoTo contre les menaces et de veiller à ce que les contrôles de sécurité soient adaptés à la nature et à la portée des Services. |
ATD TOMs |
| 14 | Données et sécurité | Article 30 (3) (d) | Les dispositions contractuelles relatives à l’utilisation des services TIC soutenant des fonctions critiques ou importantes incluront l’obligation pour le prestataire de services TIC tiers de participer et de coopérer pleinement au test de résilience opérationnelle (TLPT) de l’entité financière , tel que visé aux articles 26 et 27. | Les TOM de GoTo précisent qu’en plus des tests internes, GoTo fait appel à des entreprises externes pour réaliser des évaluations régulières de la sécurité et/ou des tests d’intrusion. | TOMs |
| 15 | Audit, accès, et information | Article 30 (3) (e) | Les dispositions contractuelles relatives à
l’utilisation de services TIC
soutenant des fonctions critiques ou importantes
incluront le droit
de surveiller, de manière continue,
les performances du prestataire de services TIC tiers
, ce qui
implique ce qui suit : •
des droits d’accès,
d’inspection et d’audit sans restriction de la part de l’entité financière, ou de l’auditeur tiers qu’elle a désigné, et de l’autorité compétente, ces droits n’étant pas limités par
d’autres dispositions contractuelles
ou
politiques de mise en œuvre ; • le droit de convenir de niveaux d’assurance alternatifs si les droits d’autres clients sont affectés ; • l’obligation pour le prestataire de services TIC tiers de coopérer pleinement lors des inspections sur site réalisées par les autorités compétentes , le superviseur principal , l’entité financière ou un tiers désigné ; • l’obligation de fournir des détails sur la portée, les procédures à suivre et la fréquence de ces inspections et audits. |
L’ADT de GoTo concernant les certifications et audits tiers prévoit que GoTo mettra à la disposition du client ses certifications tierces et/ou que le client, ou son tiers désigné, pourra raisonnablement demander un audit. GoTo s’engage à effectuer une évaluation par un tiers compétent et indépendant (tel qu’un auditeur accrédité par l’AICPA ou l’ISO) de ses contrôles de sécurité pertinents au moins une fois par an, comme spécifié plus en détail dans la disposition relative à la conformité aux normes des TOM applicable, et fournira une copie des résultats de cette évaluation (ou une preuve de celle-ci) une fois par année civile au Client (à condition que le Client ne soit pas un concurrent direct de GoTo et sous réserve des obligations de confidentialité appropriées), sur demande écrite du Client. | ATD TOMs |
| 16 | Résiliation | Article 30 (3) (f) | Les dispositions contractuelles relatives à l’utilisation de services TIC soutenant des fonctions critiques ou importantes incluront des stratégies de sortie , en particulier la mise en place d’une période de transition adéquate obligatoire, durant laquelle le prestataire de services TIC tiers continuera à fournir les fonctions ou services TIC respectifs en vue de réduire le risque de perturbation pour l’entité financière ou d’assurer sa résolution et sa restructuration effective ; • tout en permettant à l’entité financière de migrer vers un autre prestataire de services TIC tiers ou d’opter pour des solutions internes, en fonction de la complexité du service fourni. | La section 3.3. des Conditions d’utilisation du service prévoit
que, sur demande, GoTo fournira un accès limité
aux Services pour une période ne dépassant pas
30 jours, afin de permettre au Client de récupérer son
Contenu depuis les Services.
L’ADT de GoTo prévoit également que, sur demande écrite du client et dans la mesure permise par la loi, GoTo remettra au Client tout le Contenu du client ou indiquera au Client comment procéder à une exportation de ses données en libre-service . En outre, les TOM applicables décrivent la manière dont un Client peut demander de l’aide pour la remise et/ou la suppression de son Contenu. Toutefois, si une entité réglementée souhaite obtenir une assistance , GoTo fournira, sur demande, des services de conseil et de mise en œuvre afin d’aider à la migration des charges de travail ou, plus généralement, à la transition de l’utilisation des Services. |
Conditions d’utilisation du service
ADT TOMs Aide à la transition |
| 17 | Audits | Article 30 (3) | Par dérogation au point (e), le prestataire de services TIC tiers et l’entité financière qui est une microentreprise peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à un tiers indépendant, désigné par le prestataire de services TIC tiers , et que l’entité financière peut demander à tout moment des informations et des garanties concernant la performance du prestataire de services TIC tiers au tiers en question. | L’ADT de GoTo concernant les certifications et audits tiers prévoit que GoTo mettra à la disposition du client ses certifications tierces et/ou que le client, ou son tiers désigné, pourra raisonnablement demander un audit. GoTo s’engage à effectuer une évaluation par un tiers compétent et indépendant (tel qu’un auditeur accrédité par l’AICPA ou l’ISO) de ses contrôles de sécurité pertinents au moins une fois par an, comme spécifié plus en détail dans la disposition relative à la conformité aux normes des TOM applicable, et fournira une copie des résultats de cette évaluation (ou une preuve de celle-ci) une fois par année civile au Client (à condition que le Client ne soit pas un concurrent direct de GoTo et sous réserve des obligations de confidentialité appropriées), sur demande écrite du Client. | ATD TOMs |
Aide complémentaire
Ce document a été créé pour illustrer la manière dont nos services répondent à vos obligations de conformité au règlement DORA. Si vous avez besoin d’une aide complémentaire concernant vos obligations de conformité au règlement DORA, y compris pour demander un addendum DORA signé à votre Contrat de services, contactez votre agent d’assistance GoTo pour plus d’informations https://www.goto.com/company/contact-us.
