Accord sur le traitement des données à l’attention des clients de UserTesting

 

Le présent accord régit tout traitement par UserTesting des données personnelles des clients pour le compte de nos clients. 

Vous (le « client ») et UserTesting, Inc. et ses sociétés affiliées (« UserTesting ») acceptez les conditions générales énoncées dans le présent accord de traitement des données, y compris les clauses contractuelles standard, et ses annexes (collectivement, « l’accord ») dans le cadre de votre utilisation de la plateforme et des services de UserTesting, tels que définis dans et conformément à notre accord.  

En accédant à la plateforme et en utilisant les services, vous acceptez le présent accord. Cet accord complète et est inclus dans les Conditions Générales de UserTesting (telles qu’elles peuvent être mises à jour à tout moment) (les « conditions ») ou tout autre accord écrit entre nous selon lequel UserTesting accepte de vous fournir l'accès à sa plateforme et à ses services (les conditions générales de UserTesting ou cet autre accord sont désignés ici sous le terme le « contrat »). 

En cas de conflit ou d'incohérence entre le présent accord et notre contrat, les conditions du présent accord prévaudront. Tous les termes utilisés mais non définis dans le présent accord auront la signification qui leur est donnée soit dans l'accord, soit dans les lois applicables, comme décrit plus en détail ci-dessous. 

PRÉAMBULE

ATTENDU QUE UserTesting effectue des transferts transfrontaliers de données vers et depuis les États-Unis et d'autres lieux, et traite ces données dans le but de vous fournir les services, notamment le stockage de vos sessions et enregistrements, le stockage de certaines autres informations, la prise en charge de la sécurité et de l'analyse des menaces, la facturation et la création de comptes.

ATTENDU QUE les tests et les Sessions sont contrôlés par le client et que la transmission à UserTesting des données personnelles des clients pour traitement revient uniquement au client.

ATTENDU QUE le service est hébergé par les partenaires de centres de données de UserTesting, qui exécutent des programmes de sécurité validés par des organismes indépendants, notamment SOC 2 et ISO 27001, et que nos systèmes sont régulièrement testés par des sociétés tierces indépendantes de tests de pénétration afin d'évaluer et d'améliorer continuellement notre sécurité ; et 

ATTENDU QUE UserTesting ne permet pas volontairement aux États-Unis ou à d'autres agences gouvernementales d'accéder à son infrastructure.

PAR CONSÉQUENT, pour toute considération valable, les parties conviennent de l’accord suivant :

ACCORD

1. Définitions. Aux fins du présent accord, les termes « Commission », « Responsable du traitement », « Violation de données personnelles », « État membre », « Sous-traitant », « Données sensibles » et « Autorité de contrôle » ont la signification qui leur est donnée dans le Règlement général sur la protection des données 2016/679 de l'Union européenne (UE) (« RGPD ») ou toute autre loi applicable. Les termes « Entreprise », « Consommateur » et « Prestataire de services », ont la signification qui leur est donnée dans le California Consumer Privacy Act de 2018. Civ. Code § 1798.100, et seq. ("CCPA"). Le terme « traitement » (et ses dérivés) a la signification qui lui est donnée dans le RGPD ou le CCPA, selon le contexte du présent accord.

1.1 Les « sociétés affiliées » désignent toute entité commerciale qui détient plus de cinquante pour cent (50 %) des droits de vote d'une partie, ou qui, d'une autre manière, contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec une partie.

1.2 L’acronyme « BCR » désigne les règles d'entreprise contraignantes approuvées conformément aux articles 47 et 63 du RGPD.

1.3 Les « lois applicables » désignent toute loi sur la protection des données applicable à UserTesting, y compris le RGPD, le RGPD britannique et le CCPA.

1.4 Les « données personnelles des clients » désignent les « données personnelles » ou « informations personnelles » (telles que définies par les lois applicables) que UserTesting obtient et traite pour le compte du client, pour fournir des services au client. Aux fins du présent accord, les données personnelles du client n'incluent pas les données personnelles ou les informations personnelles que UserTesting obtient ou traite (i) auprès de contributeurs en dehors d'un test ou d'une session ou (ii) indépendamment de son accord avec le client. 

1.5 Les « clauses contractuelles types » ou « CCT » désignent, selon le contexte :  (i) les clauses Contractuelles Types de l'UE destinées aux sous-traitants conformément à la Décision de la Commission européenne du 4 juin 2021 pour les données personnelles des clients exportées depuis l'EEE ou la Suisse (les « CCT de l'UE ») ; ou (ii) les CCT de l'UE telles que modifiées par l'Addenda international sur le transfert de données du Royaume-Uni, joint en annexe 2, pour les données personnelles des clients exportées depuis le Royaume-Uni (les « CCT du Royaume-Uni »).

1.6 Les « IPI sensibles » comprennent les « données sensibles » telles que l'origine ou l'appartenance ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance syndicale, les données génétiques ou biométriques visant à identifier de manière unique une personne physique, les données sur la santé ou la vie sexuelle d'une personne ou son orientation sexuelle, ou les données relatives aux condamnations pénales et aux infractions. 

1.7 Le terme « sous-traitant » a la signification qui lui est donnée dans les CCT. 

1.8 Le terme « transfert » ou « transféré » désigne  le transfert, la divulgation ou toute autre forme d'accès aux données personnelles des clients à une personne, une organisation ou un système situé dans un pays ou une juridiction autre que le pays ou la juridiction d'où proviennent les données personnelles des clients.

1.9 Le « RPGD du Royaume-Uni » désigne le RPGD de l'UE tel que modifié et transposé dans le droit britannique.

 

2. Rôles, objectifs et instructions du client. 

2.1. Rôles. En ce qui concerne toute donnée personnelle des clients, le client est le responsable du traitement ou l'exportateur de données selon le RPGD et l'entreprise selon le CCPA, UserTesting est le sous-traitant ou l'importateur de données selon le RPGD et le fournisseur de services selon le CCPA, et les prestataires de UserTesting sont des sous-traitants ultérieurs selon le RPGD et des fournisseurs de services selon le CCPA. Le traitement des données personnelles des clients par UserTesting sera conforme aux CCT.  Pour éviter toute ambiguïté, UserTesting est le responsable du traitement et l'Entreprise en ce qui concerne (i) les données personnelles et les informations personnelles qu'il collecte directement auprès des contributeurs en dehors d'un Test ou d'une Session, qui sont soumises aux Conditions générales d’utilisation des contributeurs de UserTesting et à sa Politique de confidentialité ou (ii) les coordonnées professionnelles des employés, agents et autres membres du personnel du client dont les données sont collectées ou reçues pour assurer un accès aux services, qui sont soumises à sa Politique de confidentialité.

2.2. Objectifs. UserTesting s'engage à ne collecter et traiter les données personnelles des clients au nom du client que dans le but de (i) fournir et améliorer la plateforme et les services, et (ii) détecter les incidents de sécurité des données et se protéger contre les activités frauduleuses ou illégales. UserTesting ne traitera pas les données personnelles des clients à d'autres fins sans le consentement du client, y compris dans le but de fournir des services à une autre personne ou entité.  UserTesting ne commercialisera pas les données personnelles des clients. 

2.3 Instructions au client. UserTesting effectuera tous les traitements des données personnelles des clients conformément aux instructions écrites du client, qui sont réputées pleinement incorporées dans le présent accord, sauf si le client et UserTesting conviennent spécifiquement d'instructions écrites supplémentaires (qui compléteront, mais ne remplaceront pas, les instructions du présent accord). Si le client choisit d'effectuer des tests qui impliquent des mineurs, des informations médicales protégées ou des tests de produits physiques, le client se conformera à toutes les exigences supplémentaires énoncées dans les Conditions ou comme expressément autorisé par UserTesting. Le client n'effectuera pas de tests qui impliquent la collecte d’IPI sensibles auprès d'un contributeur, sauf si le client a obtenu le consentement écrit préalable du contributeur et que le client se conforme à toutes les exigences supplémentaires requises par UserTesting. Le client peut obtenir le consentement du contributeur en ajoutant une demande de consentement dans la toute première question de présélection d’un Test. Si UserTesting prend connaissance d'une instruction émise par le client qui, à son avis, enfreint les lois applicables, UserTesting en informera rapidement le client. Les données personnelles des clients seront traitées comme raisonnablement nécessaire pour la relation commerciale entre les parties. Les données personnelles des clients seront traitées comme raisonnablement nécessaire pour la relation commerciale entre les parties. Le client dégagera UserTesting de toute responsabilité et l'indemnisera pour tout dommage subi ou encouru à la suite du traitement par UserTesting des données personnelles des clients conformément aux instructions du client. Conformément aux lois applicables, UserTesting a mis en œuvre les mesures techniques et organisationnelles présentées dans l'annexe II ci-jointe, qui sont destinées à protéger les données personnelles des clients contre (i) l'accès ou la divulgation non autorisés ou accidentels, (ii) l'utilisation abusive, (iii) la corruption, et (iv) la perte ou la destruction.

2.4 Le client est tenu de s'assurer que tout consentement requis est dûment fourni par la personne concernée lorsqu'il collecte des données personnelles, et UserTesting n'assume aucune responsabilité quant au traitement des données personnelles du client conformément aux instructions écrites du client.

3. Demande d'accès aux données personnelles des clients ; divulgation du nom du client. Si un tiers demande à accéder ou à corriger des données personnelles des clients, UserTesting refusera la demande, et demandera au tiers de l’adresser directement au client, et fournira au tiers les coordonnées du client. S'il est contraint de divulguer les données personnelles des clients en raison d'une demande légale émanant d'un organisme chargé de l'application de la loi ou d'un autre tiers, UserTesting informera le client de cette demande avant de lui accorder cet accès, afin de lui permettre de solliciter une mesure conservatoire ou tout autre recours approprié. Si la notification au client est légalement interdite, UserTesting mettra en œuvre des efforts commercialement raisonnables pour protéger les données personnelles des clients contre toute divulgation indue, comme si la demande portait sur des informations confidentielles de UserTesting. Le client reconnaît et accepte qu’il puisse divulguer son nom à un contributeur si cela est nécessaire ou recommandé par la loi applicable.

4. Violation des données personnelles des clients. UserTesting informera le client sans délai excessif s'il prend connaissance d'un accès non autorisé ou accidentel ou d'une mauvaise utilisation des données personnelles des clients qu'il traite dans le cadre du contrat et s'efforcera d'en atténuer les effets et de minimiser toute violation de la protection des données. UserTesting prendra des mesures pour empêcher toute autre violation et fournira au client toute la coopération et l'assistance raisonnables pour lui permettre de s’acquitter de ses obligations de notification en vertu de la loi applicable à la suite de ladite violation.

5. Transfert. Vous reconnaissez et acceptez que nous puissions accéder aux données personnelles des clients et les traiter dans différentes parties du monde tel que nécessaire pour fournir les services conformément au contrat, et en particulier que les données personnelles des clients seront transférées et traitées par UserTesting aux États-Unis et dans d'autres juridictions où nous, nos sociétés affiliées et nos sous-traitants ultérieurs exercent des activités. Nous veillerons à ce que ces transferts soient conformes aux lois applicables. Nous ne transférerons pas les données personnelles des clients depuis l'EEE, la Suisse ou le Royaume-Uni vers un pays ou un destinataire qui n'est pas réputé offrir un niveau de protection adéquat des données personnelles des clients par l'autorité compétente de l'EEE, du Royaume-Uni ou de la Suisse, à moins que nous ne prenions d'abord toutes les mesures nécessaires pour garantir la conformité du transfert aux lois applicables. Ces mesures peuvent inclure le transfert de ces données à un destinataire qui (i) est couvert par un cadre approprié ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les tribunaux compétents comme offrant un niveau de protection adéquat des données personnelles des clients, (ii) a mis en place des BCR, ou (iii) a prévu des CCT appropriées. En particulier, les parties conviennent que les CCT jointes au présent accord en annexe 1 font partie du présent accord.

6. Obligations envers les sous-traitants ultérieurs. Que le sous-traitant ultérieur soit une société affiliée de UserTesting ou un tiers, UserTesting s'engage à :

6.1 Limiter l'accès des sous-traitants ultérieurs aux données personnelles des clients aux données raisonnablement nécessaire pour faire fonctionner ou fournir la plateforme et les services au client ;

6.2 Imposer par écrit aux sous-traitants ultérieurs des obligations contractuelles appropriées similaires qui n’assurent pas moins de protection que les obligations énoncées dans le présent accord ; et

6.3 S’assurer du respect et de l'exécution des obligations du présent accord par les sous-traitants ultérieurs.

7. Liste des sous-traitants ultérieurs. Les sous-traitants ultérieurs de UserTesting comprennent ses sociétés affiliées (comme indiqué dans l'appendice - annexe III) et sont approuvés par le client à la date de la signature. Le client consent à ce que UserTesting ait recours à ses sociétés affiliées et autres sous-traitants ultérieurs dans le cadre de la fourniture de la plateforme et des services. UserTesting signalera au client tout changement ou recrutement de sous-traitant ultérieur avant d'autoriser tout nouveau sous-traitant ultérieur à traiter les données personnelles des clients dans le cadre du contrat. Si le client s'oppose au recrutement d'un nouveau sous-traitant ultérieur, le client notifiera cette objection à UserTesting par écrit et, si UserTesting choisit de continuer à recourir au sous-traitant ultérieur, le client pourra résilier le contrat.

8. Audit.  Sous réserve de vos obligations de confidentialité, UserTesting vous fournira les informations nécessaires pour vous permettre de démontrer votre conformité aux lois applicables. UserTesting fournira son rapport SOC 2 le plus récent et son certificat ISO 27001, ainsi que le résumé de notre test de pénétration le plus récent, dont le client conviendra qu'il sert de vérification de la conformité du présent accord avec les lois applicables. UserTesting répondra également, au plus une fois par an, à vos demandes d'informations raisonnables, notamment sur les questionnaires d’audit et la sécurité de l’information. Si, de l'avis du client, les informations demandées ne sont pas suffisantes, UserTesting permettra au client, moyennant un préavis écrit, de consulter les informations détenues par UserTesting.  Le client convient que UserTesting n'a aucune obligation de fournir des informations en contradiction avec les lois applicables ou une obligation contractuelle envers une autre partie. Le client assumera seul l’ensemble des frais associés à cet audit, y compris les frais facturés par tout auditeur que vous pourriez nommer et de tout dommage, blessure ou perturbation de nos locaux, équipements, personnel et activités causés par votre auditeur. Si l’audit est mené par un tiers, ce dernier doit être accepté à la fois par le client et UserTesting et doit signer un accord de confidentialité écrit avec le client et UserTesting avant de mener l'audit. Les parties travailleront en coopération pour convenir d'un plan d'audit final, qui pourra comporter des frais pour les dépenses encourues par UserTesting. Le client fournira à UserTesting tous les rapports d'audit générés dans le cadre de tout audit en vertu de la présente section, sauf si la loi l'interdit.   Toute information obtenue au cours d'un audit ne peut être utilisée que dans la mesure nécessaire pour démontrer la conformité avec les lois applicables et les demandes réglementaires. Le client peut conduire un audit par an, sauf si les lois applicables exigent qu’il en réalise davantage, sur demande spécifique d'un organisme de réglementation ou en réponse à une violation de données.

9. Conservation des données. UserTesting supprimera les données personnelles des clients à la demande du client comme prescrit dans le contrat, sauf si UserTesting est tenu par la loi de conserver une copie des données personnelles des clients. UserTesting n'a aucune obligation de conserver les données personnelles des clients après la résiliation ou l'expiration du contrat, sauf accord exprès des parties. 

10.  Divers.

10.1 Nonobstant toute disposition contraire, les parties reconnaissent que les lois applicables n'ont pas pour objet de compromettre ou d'affaiblir les obligations de confidentialité auxquelles les parties sont soumises dans le contrat ou dans un accord de non-divulgation convenu.

10.2 Si une disposition ou une condition du présent accord est jugée ou déclarée invalide, illégale ou inapplicable par une autorité ou un tribunal compétent, les autres dispositions du présent accord resteront valables.

10.3 Le présent accord restera en vigueur tant que notre contrat sera en vigueur. UserTesting peut mettre à jour ses conditions en ligne et en informer le client par e-mail. Toute autre modification du présent accord doit être apportée par écrit et signée par les représentants autorisés de chaque partie. 

 

Annexes 1 et 2 : clauses contractuelles types et addenda sur le transfert international de données

 

Sauf accord écrit contraire entre les parties, en exécutant une commande, le client est réputé exécuter les CCT tels qu'elles figurent intégralement sur notre site web, qui auront une valeur juridique contraignante pour les parties. Vous trouverez un lien vers les CCT ici. Les appendices suivants sont incorporés par référence dans les CCT.

Appendice - ANNEXE I aux CCT 2021

 

DESCRIPTION DES TRANSFERTS

Le présent appendice - annexe I (ou « Annexe I ») est intégré à l’accord. Tous les termes utilisés mais non définis ci-dessous auront la signification qui leur est donnée dans l’accord.

1. LISTE DES PARTIES

L’exportateur de données

L'exportateur de données est (i) la société qui a exécuté les clauses contractuelles types en tant qu'exportateur de données et (ii) toutes les sociétés affiliées du client (telles que définies dans l'accord) établies dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse qui exportent des données personnelles des clients en vertu de l'accord.

L’importateur de données

L'importateur de données est UserTesting, Inc. et ses sociétés affiliées. L'importateur de données fournit la plateforme UserTesting et les services à l'exportateur de données dans le cadre du contrat, au cours duquel il traite certaines données personnelles des clients en tant que sous-traitant.

2. DESCRIPTION DU TRANSFERT   

Nature du traitement

L'importateur de données fournit la plateforme et les services à l'exportateur de données, processus au cours duquel il traite certaines données personnelles en tant que sous-traitant. La plateforme UserTesting est une plateforme logicielle qui permet à ses clients de développer des plans de test et de définir des audiences afin de solliciter les points de vue de contributeurs sur une marque, un design, un contenu ou une offre.

Les données de l'exportateur de données sur la plateforme UserTesting peuvent être hébergées et stockées dans un centre de données tiers (AWS) dans les pays suivants : États-Unis, Allemagne, Suède, Singapour, Japon et Australie. 

Finalité(s) du transfert et du traitement ultérieur des données 

L'importateur de données traite les données personnelles des clients dans le but de fournir des services à l'exportateur de données, notamment en livrant et en mettant à disposition de l'exportateur de données les fichiers, enregistrements et analyses issus des entretiens, les enquêtes et les sessions réalisés sur la plateforme UserTesting.

La durée du traitement, la période durant laquelle les données personnelles seront conservées, et/ou les critères utilisés pour déterminer cette période.

Les données personnelles des clients sont conservées pendant la période durant laquelle l'importateur de données fournit les services à l'exportateur de données, jusqu'à ce que les données soient supprimées à la demande du client. En l'absence de demande de suppression par le client, UserTesting peut supprimer les données personnelles des clients après 12 mois à compter de la fin de la fourniture des services, sauf si UserTesting est tenu par la loi de conserver une copie des données personnelles des clients.

Personnes concernées

Les données personnelles des clients transférées concernent les catégories de personnes concernées suivantes :

  • Les contributeurs, au cours des tests et sessions

Catégories de données

Les données personnelles des clients transférées concernent les catégories de données suivantes :

  • Les données personnelles ou autres informations personnellement identifiables incluses dans les réponses aux tâches et questions incluses par le client dans un test
  • Les enregistrements du visage au cours des sessions conçues pour réaliser des enregistrements du visage
  • Les données personnelles ou autres informations d'identification personnelle capturées par inadvertance lors d’enregistrements d'écran et audio

Données sensibles 

Le client peut demander des informations de catégorie particulière au cours d’un test, telles que toute information sur les enfants ou l'origine ou l'appartenance ethnique d'une personne, sa santé, sa sexualité, ses opinions politiques, ses croyances religieuses, ses antécédents criminels ou ses infractions présumées, ou son appartenance syndicale, sous réserve que le client respecte les lois applicables et le contrat. 

La fréquence du transfert (par exemple, si les données sont transférées de façon ponctuelle ou continue)

Les données seront transférées de manière continue. 

Pour les transferts à des sous-traitants (ultérieurs), préciser également l'objet, la nature et la durée du traitement.

Afin de fournir sa plateforme et ses services, notamment le support technique, UserTesting et ses sous-traitants ultérieurs peuvent avoir besoin d'accéder ou de traiter les données personnelles saisies par l'exportateur de données dans la plate-forme UserTesting afin de fournir le service d'abonnement.  Une liste des sous-traitants ultérieurs de UserTesting en vigueur à la date du présent accord est incluse dans l'appendice - annexe III. Une liste actualisée des sous-traitants ultérieurs de UserTesting est disponible à l'adresse suivante https://www.usertesting.com/subprocessors.

3. AUTORITÉ DE CONTRÔLE COMPÉTENTE

L'autorité de contrôle de l'exportateur de données. 

Appendice - ANNEXE II aux CCT 2021

Mesures de sécurité techniques et organisationnelles

Le présent appendice - annexe II (ou « annexe II ») est intégré à l’accord et résume les mesures de sécurité techniques, organisationnelles et physiques mises en œuvre par les parties. Tous les termes qui ne sont pas définis ci-dessous auront la signification qui leur est donnée dans l’accord.

La sécurité de l'information de UserTesting est gérée de manière centralisée par son équipe de sécurité de l'information. Les responsabilités de l'équipe de sécurité de l'information de UserTesting comprennent la gestion de la sécurité de l'information sur tous ses sites mondiaux, tous les produits et services de UserTesting et le recrutement des sous-traitants ultérieurs de UserTesting.

Outre les exigences en matière de sécurité des données énoncées dans l’accord, UserTesting se conformera aux dispositions suivantes :

1. Gouvernance de la sécurité 

a. La politique de sécurité de UserTesting est validée par son équipe de direction et formellement réexaminée chaque année. Elle exige que tous les employés soient formés à leurs responsabilités en matière de protection des informations personnelles et confidentielles. Les nouveaux employés reçoivent une formation lors de leur parcours d’orientation. Tous les employés sont tenus d’actualiser leur formation au moins une fois par an.  

b. UserTesting a obtenu la certification SOC 2 Type 2.  Le rapport de certification peut être partagé sur demande des clients et prospects (dans le cadre d'un accord de non-divulgation).  UserTesting dispose également d’une auto-certification dans le cadre du Bouclier de protection des données UE-États-Unis, bien que nous ne nous appuyions pas sur cet accord comme base juridique pour les transferts de données personnelles des clients.

2. Authentification des services

a.          Des mots de passe complexes sont requis pour l'accès des clients et des contributeurs. Les mots de passe doivent comporter au moins 8 caractères et doivent contenir au moins une lettre majuscule, une lettre minuscule et un chiffre. Ils peuvent également contenir des caractères spéciaux.

b.         Les utilisateurs sont déconnectés du système après une période d'inactivité.  La durée exacte de la période pourra être ajustée selon les comptes afin de répondre aux besoins individuels des clients.

c.          Lorsque les utilisateurs créent de nouveaux comptes, ils créent leurs propres mots de passe sécurisés. Lorsque des utilisateurs existants créent des comptes pour d'autres personnes, les nouveaux utilisateurs sont invités par e-mail et doivent ensuite créer leurs propres mots de passe sécurisés.

d.         Les mots de passe perdus ne sont pas récupérables mais ils peuvent être réinitialisés par l'utilisateur par le biais d’un e-mail qui sera envoyé à l'adresse électronique du compte qui est déjà enregistrée.

e.          Lorsqu’un utilisateur n’est pas en mesure de saisir un mot de passe valide 10 fois en 30 minutes, son compte est verrouillé pendant 30 minutes.

3. Authentification unique

UserTesting prend également en charge l'authentification unique à l'aide des protocoles SAML 2.0. Cela permet aux clients de mettre en œuvre des couches de sécurité supplémentaires pour les mots de passe et la connexion au service.

4. Authentification multifacteur (MFA) pour les comptes internes

UserTesting exige que les comptes de messagerie et de développement internes utilisent la MFA.

5. Hébergement et chiffrement des données

a.          Toutes les données confidentielles et propriétaires (y compris les fichiers vidéo, les données des clients et des contributeurs) sont hébergées par Amazon Web Services (AWS). AWS est un prestataire d'hébergement certifié SOC 2 et ISO 27017.

b.         Toutes les données sont chiffrées au repos et en transit. Les données sont stockées sous forme cryptée à l'aide d'un chiffrement AES 256 bits. Les clés de chiffrement sont gérées par AWS Key Management Services.

c.          Toutes les communications vers et depuis le centre de données sont chiffrées (TLS 1.2 ou supérieur).

6. Analyse de vulnérabilité

UserTesting effectue des analyses trimestrielles de vulnérabilité sur les appareils d'infrastructure, les serveurs et les ordinateurs des utilisateurs. L'infrastructure en cloud, les instances virtuelles, les applications web et les modifications du code de production sont analysés à la recherche de vulnérabilités afin d’identifier les faiblesses et de corriger les vulnérabilités au plus vite. 

7. Hébergement de prototypes, d'images et de contenus

UserTesting est en mesure d'héberger certains contenus web qui sont utilisés lors des tests.  Les contenus sont cryptés au repos et ne sont accessibles que via SSL. Ils sont conservés en toute sécurité dans notre infrastructure AWS et ne sont accessibles que par des liens sécurisés qui sont actifs uniquement pendant la durée du test et qui sont attribués à un contributeur désigné.

8. Gestion du cycle de vie des données

Sauf si UserTesting est tenu par la loi de conserver une copie des données personnelles des clients, UserTesting se réserve le droit de supprimer les données personnelles des clients un an après la fin de la prestation de services. UserTesting supprimera les données personnelles des clients sur demande du client. 

9. Sécurité du personnel

a.          UserTesting vérifie les antécédents de tous ses salariés, prestataires et agences de conseil et n'engage aucune personne ayant des antécédents inappropriés.

b.         Les privilèges d'accès des salariés qui quittent l'entreprise ou changent de poste seront révoqués ou modifiés dans les 24 heures. 

10. Politique « Clean desk » (« bureau propre » en anglais)

La politique Clean desk de UserTesting impose à ses collaborateurs de conserver toutes les informations confidentielles dans un endroit sûr et de ne jamais les laisser sans surveillance dans les espaces de travail.

11. Sécurité des installations

Tous les bureaux de UserTesting sont sécurisés au moyen de cartes-clés attribuées à chaque collaborateur et sous vidéosurveillance permanente. Les visiteurs doivent s'enregistrer et être accompagnés à tout moment.  Des audits de sécurité physique sont effectués chaque année. 

12. Développement du système

a.          UserTesting conçoit sa plateforme à l'aide d'une méthodologie de développement agile qui permet de publier fréquemment de petites modifications après examen et test par les pairs.

b.         Chaque modification apportée est d'abord testée sur un système local. Les modifications sont examinées par des pairs, puis testées sur des systèmes hors production. Lorsque tous les tests et les examens par les pairs ont été réalisés, les modifications sont implémentées dans le système de production. Chaque modification est traitée par des outils d'analyse statique à la recherche de vulnérabilités connues dans tous les composants utilisés. Les tests sont effectués sur des systèmes distincts (conçus de la même manière) avec des données fictives ou des données de production masquées afin qu’ils puissent être effectués sans mettre en danger le système de production.

c.          L’implémentation est assurée par des outils automatisés. Les modifications des scripts qui assurent le fonctionnement des outils sont également soumises à des contrôles.

d.         Les instances virtuelles sont vérifiées chaque nuit et les correctifs des logiciels critiques sont appliqués si nécessaire.

e.          Les données des clients ne sont pas utilisées en dehors de la production.  Des exceptions sont prévues lors de la résolution de problèmes pour lesquels des données réelles sont nécessaires et, même dans ce cas, les données sont d'abord masquées afin d’éviter toute exposition des informations personnelles des clients et des contributeurs.

13. Sécurité des réseaux et des appareils

a.          UserTesting utilise des pare-feu pour protéger ses systèmes internes. L'accès aux systèmes d'administration et d'hébergement nécessite une connexion sécurisée à un VPN géré de manière centralisée.

b.         Des identifiants d'entreprise sont nécessaires pour accéder au réseau sans fil du site. Les autres ordinateurs et appareils mobiles se connectent à partir d’un autre point d'accès situé à l'extérieur du pare-feu.

c.          Les ordinateurs de l'entreprise disposent des dernières mises à jour des systèmes d'exploitation, des antivirus et des logiciels de productivité.

d.         La pratique du BYOD (Bring your own device ou « Apportez votre équipement personnel de communication » en français) est autorisée dans des certaines circonstances et les ordinateurs doivent être conformes aux exigences de l'entreprise énoncées ci-dessus pour être utilisés à des fins professionnelles.

e.          Tous les systèmes de production sont sauvegardés dans des centres de données AWS dans des lieux géographiques distincts et sont stockés de manière sécurisée sous forme chiffrée.

14. Audits de sécurité

UserTesting exige un audit de sécurité annuel et indépendant de ses systèmes internes et de sa plateforme. Des copies des rapports d'audit récents sont disponibles sur demande. 

15. Archivage

L'activité du système est consignée de manière centralisée.  Les journaux sont archivés pendant au moins 12 mois de manière à ce qu'il soit pratiquement impossible de les falsifier.

16. Détection d'intrusion, prévention et réponse aux incidents

Les accès au système sont surveillés et archivés. Le logiciel ThreatStack est déployé sur chaque instance du VPC et émet des alertes en cas d’activité inhabituelle.  Des moniteurs personnalisés recherchent d'autres types d’activités inhabituelles. Les alertes sont examinées par des ingénieurs conformément à un plan de réponse aux incidents. Le plan prévoit de faire remonter efficacement les incidents à un niveau d'autorité pertinent, ce qui permet d’apporter des solutions rapidement, de réaliser des analyses des causes profondes et de produire un plan de travail pour prévenir les futurs incidents. Le plan de réponse aux incidents est actualisé chaque année. 

17. Pare-feu d'applications web (WAF)

Afin de prévenir certains types d'attaques courantes, UserTesting utilise un WAF qui est mis en œuvre à l'aide de la plateforme AWS WAF. AWS met automatiquement à jour ses règles de gestion en fonction de l'apparition de nouvelles failles et de d’acteurs malveillants.

18. Prévention de la perte de données (DLP)

UserTesting déploie des outils DLP sur les postes de travail de l'entreprise afin de suivre et de donner l’alerte en cas d'activité inhabituelle. D'autres outils DLP sont déployés dans les infrastructures critiques du cloud.

19. Sous-traitants ultérieurs

UserTesting a recours à un certain nombre de tiers pour assurer l’intégralité des services de sa plateforme.  La plupart de ces tiers n'ont pas accès aux informations confidentielles.  Ceux qui le sont font l’objet d’examens de sécurité annuels et sont contraints par contrat d’assurer un niveau de sécurité au moins aussi strict que celui que nous assurons directement.  

20. Continuité des activités

La continuité des activités fait partie de la politique de sécurité de UserTesting. La plate-forme a été conçue pour être robuste et son contenu récupérable. 

  • La plateforme est hébergée sur plusieurs serveurs fonctionnant sous AWS comportant des dispositions d'équilibrage de charge et de basculement.
  • Si l’un de ces serveurs vient à tomber en panne, des instances peuvent être créées si nécessaire.
  • Les vidéos sont stockées dans des compartiments S3 consignés.
  • Les vidéos sont stockées dans au moins deux centres de données situées dans des lieux géographiques distincts.
  • Les autres données sont stockées dans RDS, sauvegardées en continu vers des centres de données alternatifs et font l’objet d’instantanés quotidiens.
  • Les centres de données sont situés dans des lieux géographiques distincts afin de garantir une redondance en cas d'événement catastrophique.

 

Appendice ANNEXE III aux CCT 2021

Sous-traitants ultérieurs et filiales

Le présent appendice - annexe III est intégré à l’accord. 

La liste complète des sous-traitants ultérieurs est disponible à l’adresse suivante : https://www.usertesting.com/usertesting-subprocessors  

Dernière mise à jour le 11 avril 2022