IVS mettra à la disposition du CMG, à première demande et dans un délai maximum de huit jours calendaires – sauf urgence ou violation de Données, auxquels cas le délai est ramené à vingt-quatre (24) heures – les informations et ladocumentation nécessaire pour démontrer le respect de ses obligationsen tant que sous-traitant des Données du CMG et des obligations de ses sous-traitants ultérieurs au sens de la Réglementation.
Le CMG dispose également du droit de procéder à toute vérification qui lui paraîtrait utile pour vérifier le respect par IVS et ses sous-traitants ultérieurs de ces obligations, notamment par le biais d'un audit prévu aux présentes.
L'audit pourra se dérouler dans les locaux d'IVS et/ou de ses sous-traitants ultérieurs et/ou à distance par le CMG ou par un auditeur choisi par le CMG parmi les professions réglementées et soumis à confidentialité.
Il est de la responsabilité d'IVS que le CMG ou son auditeur puisse, en permanence, être en mesure de pouvoir localiser et auditer le lieu de stockage des Données.
IVS s'engage et se porte fort de l'engagement de ses sous-traitants ultérieurs à coopérer et à contribuer aux audits ainsi mis en œuvre. IVS s'engage et se porte fort de l'engagement de ses sous-traitants ultérieurs à donner accès au CMG ou à l'auditeur à leurs locaux et à le(s) mettre en mesure d'effectuer toutes les démarches nécessaires pour s'assurer du bon respect des exigences et obligations prévues dans la présente annexe. IVS s'engage également et se porte fort de l'engagement de ses sous-traitants ultérieurs à communiquer sous bref délai au CMG ou à l'auditeur toute les informations sollicitées par ces derniers en lien avec l'exécution des engagements pris aux termes de la présente annexe.
IVS s'engage à répercuter ces engagements dans les contrats conclus avec les éventuels sous-traitants ultérieurs et s'en porte fort vis-à-vis du CMG.
Les audits devront permettre une analyse du respect par IVS et ses sous-traitants ultérieurs de leurs obligations au titre de la présente annexe et de la Réglementation, notamment :
- par la vérification des éléments ci-dessus mentionnés;
- par la vérification de l'ensemble des mesures organisationnelles et de sécurité mises en œuvre par IVS et ses sous-traitants ultérieurs;
- par la vérification des journaux de localisation des Données ;
- par l'analyse des mesures mises en place pour supprimer les Données, pour prévenir toutes transmissions illégales de Données ou pour empêcher le transfert de Données vers un pays non autorisé par le CMG ;
- par l'analyse de contrats,
-
etc.
L'audit doit aussi permettre de s'assurer que les mesures de sécurité et de confidentialité mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.
À la suite de l'audit, le CMG ou l'auditeur dressera un rapport écrit. IVS disposera d'un délai de quinze (15) jours ouvrables à compter de la réception du rapport pour formuler ses observations par écrit. Ce délai est ramené à trois (3) jours ouvrés en cas d'urgence ou de violation de Données.
Dans l'hypothèse où des inexécutions de la présente annexe et, éventuellement, des failles de confidentialité ou de sécurité auraient été constatées au cours de l'audit, le CMG pourra mettre en demeure IVS et éventuellement ses sous-traitants ultérieurs d'y remédier, sans aucun coût complémentaire pour le CMG, sous bref délai et, au plus tard si aucun délai n'est expressément mentionné, dans le mois suivant l'envoi de la lettre de mise en demeure. À l'expiration de ce délai, si IVS et éventuellement ses sous-traitants ultérieurs n'ont pas pris les mesures nécessaires pour remédier à ces inexécutions et éventuelles failles, le CMG pourra mettre fin de plein droit au Contrat par simple notification adressée par lettre recommandée avec accusé de réception, et ce, sans préjudice des éventuels dommages-intérêts auquel le CMG pourra prétendre et nonobstant toute clause contraire dans le Contrat.
Dans l'hypothèse où des inexécutions du Contrat et notamment de la présente annexe et, éventuellement, des failles de confidentialité ou de sécurité auraient été constatées au cours de l'audit, les frais de l'audit seront supportés en totalité par IVS.
Après un incident relatif à une violation de Données, le délai de préavis pour procéder à un audit selon le présent article est ramené à vingt-quatre (24) heures.
Le droit d'audit du CMG perdure pendant un (1) an après la fin du Contrat.