Accord de traitement des données

Conditions convenues

1. Définitions et règles d’interprétation

1.1. Les définitions suivantes s’appliquent au présent ATD.

Droit applicable : Toutes les lois ou réglementations, politiques réglementaires, directives ou normes industrielles ou codes de directives pratiques qui s’appliquent au présent ATD ou à son objet, qui sont en vigueur de temps à autre et qui ont force de loi.

Société affiliée : En ce qui concerne une partie, toute « filiale » ou « société de portefeuille » de cette partie et toute filiale d’une société portefeuille de cette partie (tels que « subsidiary » et « holding company » sont définis à l’article 1159 de la Companies Act 2006 [UK]) et toute société « liée » à cette partie (tel qu’est défini le terme « connected » à l’article 1122 de la Corporation Tax Act 2010 [UK]). En ce qui concerne le Fournisseur, les sociétés énumérées dans notre Avis de confidentialité sont considérées comme des Sociétés affiliées.

Législation sur la protection des données : Le règlement général sur la protection des données (UE) 2016/679 et, là où une Personne concernée est un résident :

• Du Royaume-Uni, la Data Protection Act 2018 (UK);
• Du Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et toute loi provinciale applicable, y compris la Loi sur la protection des renseignements personnels dans le secteur privé au Québec;
• respecting the protection of personal information in the private sector (Quebec) (“Quebec Privacy Law”)’
• De l’Australie, la Privacy Act 1988 et les « Australian Privacy Principles » (APPs); ou
• Des États-Unis, la California Consumer Privacy Act (CCPA).

Particularités relatives à la protection des données : Toutes les particularités liées à la protection des Données à caractère personnel en vertu du présent ATD et qui sont notamment décrites dans le Protocole de données.

Protocole de données : Un protocole définissant les types de Données à caractère personnel qui peuvent être traitées par le Fournisseur dans le cadre de l’exécution des Services ainsi que de l’objet, des finalités et de la durée du traitement, comme indiqués dans l’Annexe 1, et tout autre Protocole de données convenu par écrit et signé par les parties.

Personne concernée : Une personne qui peut être identifiée, directement ou indirectement, par toute Donnée à caractère personnel.

RGPD UE-Royaume-Uni-Suisse : L’Espace économique européen (EEE), le Royaume-Uni, la Suisse, ou tout autre territoire où s’applique le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ou une législation équivalente applicable en matière de protection des données.

Données à caractère personnel : « Renseignements personnels », « informations ou données personnelles », « informations de santé protégées », « informations personnelles non publiques » ou autres termes similaires tels que définis par la Législation sur la protection des données, qui sont traitées par le Fournisseur en vertu de ou en relation avec l’Accord de service ou les types de ces données qui sont énoncés à l’Annexe 1 ou dans un Protocole de données.

Violation de Données à caractère personnel : Une violation de la sécurité entraînant la destruction, la perte, l’altération, l’utilisation non autorisée, la divulgation ou l’accès aux Données à caractère personnel traitées par le Fournisseur, de manière accidentelle ou illégale.

Responsable de la protection des renseignements personnels : Personne responsable de la protection des renseignements personnels en vertu de la définition établie dans la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.

Organisme de réglementation : Organisme de réglementation ou de contrôle ayant une autorité sur toute partie des services, ou sur les activités du Client ou de l’une de ses Sociétés affiliées ou du Fournisseur.

Services : Les services fournis par le Fournisseur dans le cadre de l’Accord de service.

Clauses contractuelles types et addenda du Royaume-Uni :

(i) Les clauses contractuelles types de la Commission européenne pour l’exportation de Données à caractère personnel vers un sous-traitant ou un responsable du traitement situé en dehors de l’EEE (4 juin 2021); et

(ii) L’addenda du Royaume-Uni en matière de transfert international de données aux clauses contractuelles types de la Commission européenne ou à l’accord de transfert international de données du Royaume-Uni pour l’exportation de Données à caractère personnel vers un sous-traitant ou un responsable du traitement situé en dehors du Royaume-Uni;

Tels qu’ils peuvent être mis à jour ou modifiés, de temps à autre.

Fournisseur : Le fournisseur qui a accepté de fournir les services conformément à l’Accord de service.

1.2 Les termes « responsable du traitement », « sous-traitant », « processus », « analyse d’impact relative à la protection des données », « pays tiers » et « organisation internationale » ont chacun la signification applicable définie dans la Législation sur la protection des données, ou la signification juridique habituelle donnée à ces termes dans la Législation sur la protection des données si ces termes ne sont pas définis dans le Droit applicable régissant le présent ATD.

1.3 Les références aux clauses renvoient aux clauses de cet ATD.

1.4 Tout renvoi à une loi ou à une disposition légale s’entend comme un renvoi à cette loi ou à cette disposition, telle que modifiée, étendue ou réadoptée de temps à autre, et inclut toute la législation subordonnée adoptée de temps à autre en vertu de cette loi ou de cette disposition légale.

1.5 Toute expression suivant les termes « y compris », « notamment », « en particulier », « par exemple », ou toute autre expression similaire est interprétée comme une illustration et ne limite pas la portée générale des mots qui y sont associés.

2. Relation entre les données

2.1 Le Fournisseur et le Client conviennent et reconnaissent qu’aux fins de la Législation sur la protection des données, le Client est le responsable du traitement et le Fournisseur est le sous-traitant des données figurant à l’Annexe 1 (Protocole de données). Le Client reconnaît et accepte que l’une des Sociétés affiliées du Fournisseur puisse traiter des Données à caractère personnel pour le compte du Fournisseur et que, dans ces circonstances, la Société affiliée du Fournisseur concernée agisse en tant que sous-traitant.

2.2 Chacune des parties reconnaît et accepte que l’Annexe 1 (Protocole de données) du présent Accord est une description précise des Particularités relatives à la protection des données.

3. Obligations en matière de traitement des données

3.1. Le Client garantit son engagement à respecter les obligations qui lui incombent en vertu de la Législation sur la protection des données et à ne pas demander au Fournisseur de traiter des Données à caractère personnel lorsque ce traitement est illicite.

3.2. Le Client garantit son engagement à ce que tous les consentements nécessaires aient été obtenus avant de divulguer des Données à caractère personnel au Fournisseur ou, lorsque des exceptions à l’obtention de ces consentements sont prévues par la Législation sur la protection des données, le Client garantit et s’engage à ce que toutes les conditions de ces exceptions soient respectées, en particulier compte tenu des territoires dans lesquels les Données à caractère personnel sont traitées par le Fournisseur.

3.3. Le Fournisseur ne traite les Données à caractère personnel pour le compte du Client que de la manière décrite dans l’Annexe 1 et dans tout autre Protocole de données applicable, et aux fins qui y sont énoncées. Le Fournisseur ne traite aucune Donnée à caractère personnel pour le compte du Client à d’autres fins et ne traite aucune autre Donnée à caractère personnel pour le compte du Client sans son instruction expresse. Si le Fournisseur a besoin d’accéder à d’autres Données à caractère personnel ou s’il identifie un besoin de les traiter afin de fournir les Services, il en informe le Client. Une fois qu’un Protocole de données a été convenu, il fait partie intégrante du présent ATD et y est incorporé. En cas de conflit entre le présent ATD et le Protocole de données, le Protocole de données prévaut.

3.4. Le Fournisseur se conforme aux obligations qui lui incombent en vertu de la Législation sur la protection des données et ne commet aucun acte ou omission susceptible d’amener le Client à enfreindre l’une de ses obligations en vertu de la Législation sur la protection des données. Sans préjudice de ce qui précède, le Fournisseur :

(a) Notifie le Client par écrit en cas de modification des types de Données à caractère personnel qui sont traitées par le Fournisseur ou des manières dont les Données à caractère personnel sont traitées par le Fournisseur en vertu de l’Accord de service ou en relation avec celui-ci;

(b) Traite les Données à caractère personnel uniquement dans la mesure et de la manière nécessaire à la fourniture des Services pertinents en vertu de l’Accord de service et à l’exécution des obligations du Fournisseur en vertu du présent Accord, et ne traite pas les Données à caractère personnel à d’autres fins;

(c) Traite les Données à caractère personnel conformément aux termes du présent Accord, aux termes de l’Accord de service, aux instructions écrites légitimes du Client de temps à autre, et à tout Protocole de données applicable, sauf exigence contraire du Droit applicable ou de tout Organisme de réglementation du territoire de compétence (auquel cas le Fournisseur informe le Client de cette exigence légale avant le traitement, à moins que le Droit applicable ne l’interdise);

(d) (d) Notifie le Client par écrit si le Fournisseur, agissant raisonnablement, croit :

(i) Qu’il a reçu l’instruction de traiter des Données à caractère personnel en violation de la Législation sur la protection des données;

(ii) Qu’il ne peut pas respecter, ou qu’il a des raisons de penser qu’il ne pourra pas respecter, l’une des conditions du présent Accord ou toute mesure de protection supplémentaire mise en place conformément à la clause 6.2 (a); ou

(iii) Que les lois applicables au territoire dans lequel les Données à caractère personnel sont traitées porteront atteinte aux protections fournies aux Données à caractère personnel en vertu de la Législation sur la protection des données ou de tout autre Droit applicable auquel le Fournisseur est soumis;

e) Se conforme à toute demande du Client exigeant du Fournisseur qu’il modifie, transfère ou supprime les Données à caractère personnel, sauf si la Législation sur la protection des données l’interdit, auquel cas le Fournisseur justifie le refus d’une telle demande;

f) Maintient, et à la demande du Client, fournit au Client, tous les détails par écrit de ses activités de traitement des données en ce qui concerne les Données à caractère personnel, comme l’exige le Client pour démontrer la conformité à la Législation sur la protection des données et aux conditions de cet Accord;

g) Ne divulgue pas les Données à caractère personnel à toute Personne concernée ou à toute autre personne autrement qu’à la demande du Client ou comme prévu dans le cadre du présent Accord, sauf si la loi l’exige;

h) Met en œuvre des mesures techniques et organisationnelles appropriées, y compris, mais sans s’y limiter, celles énoncées à l’Annexe 4, pour assurer la sécurité des Données à caractère personnel contre le traitement non autorisé ou illégal et la perte accidentelle, la destruction ou les dommages, et à un niveau de sécurité approprié aux risques de sécurité des données présentés par le traitement de ces Données à caractère personnel; et en tenant compte des principes de protection des données dès la conception et de protection des données par défaut en vertu de la Législation sur la protection des données, veille à ce que le traitement de ces Données à caractère personnel réponde aux exigences de la Législation sur la protection des données et protège les droits des Personnes concernées. Le Fournisseur peut modifier ces mesures de sécurité à tout moment et sans préavis tant qu’il maintient un niveau de sécurité comparable ou supérieur; et

i) Examine, teste, évalue, analyse et met à jour régulièrement les mesures techniques et organisationnelles mises en œuvre conformément à la clause 3.2 (h) afin de s’assurer que le traitement des Données à caractère personnel est effectué conformément à la Législation sur la protection des données.

4. Obligations en matière de signalement des violations de données et de notification

4.1. Le Fournisseur notifie rapidement le Client par courrier électronique, et en tout état de cause dans les 48 heures, dès qu’il a connaissance d’une violation réelle ou présumée de Données à caractère personnel, et s’engage à :

(a) Mettre en œuvre toutes les mesures raisonnables jugées nécessaires pour isoler la Violation de Données à caractère personnel; et

(b) Le cas échéant, aider le Client à effectuer toute notification à l’Organisme de réglementation et aux Personnes concernées.

4.2. Nonobstant ce qui précède, toute cyberattaque automatique ou aléatoire, y compris, mais sans s’y limiter, les pings et autres attaques par diffusion sur les pare-feu ou les serveurs périphériques, les balayages de ports, les tentatives de connexion infructueuses, les attaques par déni de service, le reniflage de paquets ou d’autres incidents similaires qui n’entraînent aucun accès non autorisé aux Données à caractère personnel du Client ou à tout équipement ou installation du Fournisseur stockant les Données à caractère personnel du Client, ne constitue pas une violation ou une tentative de Violation de Données à caractère personnel pour laquelle le Fournisseur doit notifier le Client.

4.3. Le Fournisseur notifie le Client rapidement après réception de toute demande d’une Personne concernée qui se rapporte directement aux Données à caractère personnel en vertu du présent ATD, et s’engage à :

(a) Ne divulguer aucune donnée du Client en réponse à une demande d’une Personne concernée sans le consentement écrit préalable du Client, sauf si exigé en vertu du Droit applicable;

(b) Fournir au Client la coopération et l’assistance raisonnables requises dans le cadre d’une telle demande; et

(c) Dans le cas où le Client est le Responsable du traitement des données et que le Client peut répondre aux demandes d’accès, de modification ou de correction des Données à caractère personnel de la Personne concernée en utilisant son propre accès au Service, rediriger la demande de la Personne concernée vers le Client.

5. Obligations des sous-traitants

5.1. Le Fournisseur est autorisé à nommer des sous-traitants conformément aux obligations du Fournisseur en vertu du présent Accord, à condition que :

(a) Le Fournisseur fasse preuve de diligence raisonnable à l’égard des sous-traitants proposés afin de s’assurer qu’ils peuvent mettre en œuvre les mesures techniques et organisationnelles appropriées, de sorte que le traitement réponde aux exigences de la Législation sur la protection des données et garantisse la protection des droits des Personnes concernées.

(b) À l’exception du sous-traitant déjà utilisé par le Fournisseur au moment de la signature du présent ATD par les Parties, et à l’exception des Sociétés affiliées, dont la liste peut être mise à jour, de temps à autre, par le Fournisseur, le Fournisseur informe le Client avant de désigner un nouveau sous-traitant. Le Client peut s’opposer à un nouveau sous-traitant dans un délai de 14 jours à compter de cette notification, à condition que cette opposition soit fondée sur des motifs raisonnables liés à la protection des données.

(c) Le Fournisseur met en œuvre tous les efforts raisonnables pour trouver un remplacement acceptable à toute opposition conformément à la clause 5.1 (b). Le Client doit collaborer avec le Fournisseur et envisager les solutions de remplacement de façon raisonnable.

5.2. Les détails des sous-traitants du Fournisseur pour lesquels l’autorisation du Client a été obtenue au moment du présent ATD sont indiqués à l’Annexe 1.

6. Obligations en matière de transfert de données

6.1. Le Client reconnaît que le Fournisseur peut transférer et traiter des Données à caractère personnel vers un pays tiers ou un territoire tiers.

6.2. Pour les Données à caractère personnel soumises au RGPD UE-Royaume-Uni-Suisse, en ce qui concerne tout transfert de Données à caractère personnel vers un pays tiers ou un territoire tiers ou vers une organisation internationale qui n’a pas obtenu le statut d’« adéquation des données » par l’autorité de contrôle ou l’autorité de protection des données compétente, le Fournisseur :

(a) Met en place des mesures de protection appropriées pour assurer un niveau de protection adéquat des données du Client;

(b) Aide le Client à entreprendre, réaliser et examiner toute évaluation de l’impact du transfert concerné; et

(c) Réalise une évaluation de l’impact du transfert pour tout transfert restreint effectué par le Fournisseur à un sous-traitant autorisé et en fournit un exemplaire au Client sur demande.

6.3. Les parties conviennent que les clauses contractuelles types de la Commission européenne et l’addenda du Royaume-Uni sur le transfert international de données (« addenda du Royaume-Uni ») fournissent des mesures de protection appropriées conformément à la clause 6.2 (a).

7. Personnel du Fournisseur

7.1. Le Fournisseur veille à ce que l’accès aux Données à caractère personnel soit limité aux employés qui ont besoin d’y accéder pour remplir les obligations du Fournisseur en vertu de l’Accord de service et du présent Accord et, lorsqu’un employé accède à ces données, le Fournisseur veille à ce que l’employé n’accède qu’aux parties des Données à caractère personnel qui sont strictement nécessaires à l’exécution de ses tâches.

7.2. Le Fournisseur met en œuvre des mesures raisonnables pour s’assurer de la fiabilité de ses employés qui ont accès aux Données à caractère personnel, que ces employés respectent les obligations du Fournisseur en vertu du présent Accord et que leur accès est révoqué dès qu’il n’est plus nécessaire.

8. Audit

8.1. Le Fournisseur autorise le Client à vérifier que le Fournisseur se conforme à ses obligations au titre du présent Accord moyennant un préavis raisonnable de 30 jours avant l’audit et le respect des conditions suivantes :

(a) Le Client rembourse au Fournisseur les coûts liés au temps et aux ressources consacrés à cet audit; et

(b) Avant le début de cet audit, les deux parties conviennent d’un commun accord de la portée, du calendrier, de la durée et du coût de l’audit.

8.2. Le Fournisseur fournit toute l’assistance nécessaire pour mener à bien ces audits.

8.3. Le Client informe, dans les 5 jours ouvrables suivant la réalisation de l’audit, le Fournisseur de toute non-conformité constatée lors de l’audit.

8.4. Le Client ne peut demander plus d’un audit par période de 24 mois.

8.5. Cet audit ne permettra en aucun cas au Client d’accéder à des Données à caractère personnel ou à d’autres informations confidentielles qui n’ont pas été fournies par le Client au Fournisseur.

9. Responsabilité et indemnisation

9.1. La responsabilité totale du Fournisseur est dans tous les cas limitée conformément à l’Accord de service ou, si aucun plafond de responsabilité n’est précisé dans l’Accord de service, la responsabilité du Fournisseur est limitée à un montant égal à 100 % du montant effectivement payé par le Client au Fournisseur dans le cadre de l’Accord de service au cours des 12 mois précédant la date à laquelle la réclamation a été formulée.

9.2. Le Client indemnise et tient le Fournisseur entièrement indemnisé à tout moment contre toutes les responsabilités, tous les coûts (y compris les frais juridiques à titre d’indemnisation), toutes les dépenses, tous les dommages et toutes les pertes (y compris les pertes directes, indirectes ou consécutives), les pertes de profits, les pertes de réputation et tous les intérêts, pénalités et autres coûts et dépenses subis ou encourus par le Fournisseur résultant de toute violation du présent ATD par le Client.

10. Après la résiliation

10.1. Le Fournisseur n’est autorisé à traiter les Données à caractère personnel que dans la mesure où ce traitement est requis en vertu du présent Accord, ou conformément à la Législation sur la protection des données ou à tout autre Droit applicable.

10.2. À la résiliation de l’Accord de service, le Fournisseur supprime toutes les Données à caractère personnel traitées dans le cadre de l’Accord de service, conformément à l’exigence de conservation des données énoncée à l’Annexe 1. Nonobstant toute disposition contraire contenue dans le présent Accord, le Fournisseur n’est pas tenu de supprimer de manière définitive les documents électroniques dans son système d’archivage électronique ou ses sauvegardes, à condition que toutes les Données à caractère personnel du Client soient supprimées à la fin de leur cycle de suppression normal.

10.3. Dans tous les cas où le Fournisseur continue d’avoir accès aux Données à caractère personnel du Client, le Fournisseur reste soumis aux obligations énoncées dans le présent Accord.

11. Loi applicable et territoire de compétence

11.1. La formation, la construction, l’exécution, la validité et tous les aspects du présent Accord (y compris toute réclamation, tout litige ou toute question découlant de ou en rapport avec celui-ci ou son applicabilité, qu’ils soient contractuels ou non) sont régis par le droit anglais.

11.2. Chaque Partie se soumet irrévocablement à la compétence exclusive des tribunaux d’Angleterre et du Pays de Galles pour toute réclamation ou question découlant de ou en rapport avec le présent Accord.

12. Modifications au présent Accord

12.1. Le présent ATD peut être modifié à tout moment. Chaque Partie peut proposer toute modification de l’ATD qu’elle juge raisonnablement nécessaire pour satisfaire aux exigences de la Législation sur la protection des données. Aucune modification, altération ou renonciation au présent ATD ou à l’une de ses dispositions ne lie les parties au présent Accord, sauf si elle est faite par écrit et qu’aucune objection aux modifications n’est reçue dans un délai de 14 jours.

Annexe 1 — Protocole de données

La fourniture des Services implique le traitement des Données à caractère personnel par le Fournisseur pendant la durée décrite plus en détail ci-dessous :

Nature et finalité du traitement	Le Sous-traitant traite les Données à caractère personnel aux fins suivantes : La fourniture de services RH sur site; La formation des employés; La fourniture de systèmes RH; La fourniture de services RH; La fourniture de conseils et de services en matière de santé et de sécurité; et Lorsqu’un tel traitement des Données à caractère personnel est requis par toute Législation sur la protection des données ou tout autre Droit applicable.
Liste des Parties	Responsable du traitement : le Client Sous-traitant des données : Citation Canada Inc. Adresse: 727 Exeter Road, London, (Ontario) N6E 1L3 Adresse courriel : dpo@citation.co.uk
Objet du traitement	Les Données à caractère personnel des employés du Responsable du traitement sont traitées par le Sous-traitant dans le cadre de la prestation des services.
Durée du traitement	Sauf indication contraire dans le Contrat-cadre de services (CCS), la durée du traitement commence à la date d’entrée en vigueur du contrat et se poursuit jusqu’à : (a) 12 mois après la fin du contrat pour les données relatives aux ressources humaines; et (b) 6 ans après la fin du contrat pour les données relatives à la santé et à la sécurité. Ou selon les exigences du Droit applicable.
Type de Données à caractère personnel traitées	Le nom complet L’adresse courriel Le numéro de téléphone L’adresse La date de naissance Les données relatives à l’égalité Les informations sur la famille ou les proches Les documents d’identité Les identifiants en ligne Toutes autres données appropriées dans le cadre du contrat et de l’accord de traitement des données déterminés de temps à autre
Catégories de personnes concernées	Les employés (y compris, mais sans s’y limiter, les sous-traitants, les consultants, etc.) du Responsable du traitement des données qui utilisent les produits et services du sous-traitant conformément à l’Accord de service.
Sous-traitants	La liste de tous nos sous-traitants et territoires de compétence en matière de traitement se trouve à l’annexe 4 du présent accord.

 

Annexe 2 — Clauses contractuelles du Québec

Les dispositions de la présente annexe ne s’appliquent que si et dans la mesure où la Loi sur la protection des renseignements personnels dans le secteur privé du Québec s’applique à la prestation de services dans le cadre de l’Accord de service.

1. Le Fournisseur notifie rapidement le Client par courrier électronique, et en tout état de cause dans les 48 heures, dès qu’il a connaissance d’une violation réelle ou présumée de Données à caractère personnel, ainsi que de toute tentative de Violation de Données à caractère personnel, et s’engage à :

(a) En notifier le Responsable de la protection des renseignements personnels, en utilisant ses coordonnées indiquées sur le site Web du Client, sauf instruction contraire de ce dernier.

2. Pour les Données à caractère personnel soumises à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, les serveurs sur lesquels sont stockées les Données à caractère personnel du Client sont situés exclusivement dans les territoires indiqués à l’annexe 4 du présent Accord (les « Territoires de compétence en matière de traitement ») et ces Données à caractère personnel ne sont traitées que dans ces Territoires de compétence en matière de traitement. Il incombe au Client de s’assurer que les Données à caractère personnel divulguées au Fournisseur peuvent être transférées ou consultées au sein ou à partir des Territoires de compétence en matière de traitement.

3. Aux fins de la clause 8.1, toute mention du Client inclut le Responsable de la protection des renseignements personnels.

Annexe 3 — Clauses contractuelles relatives au CCPA

Les dispositions de la présente annexe ne s’appliquent que si et dans la mesure où la CCPA s’applique à la prestation de services dans le cadre de l’Accord de service.

1. Le Fournisseur reconnaît qu’il agit en tant que prestataire de services au sens de la CCPA et s’engage à se conformer aux dispositions applicables de la CCPA.

2. Le Fournisseur s’engage à ne pas :

(a) Vendre des Données à caractère personnel.

(b) Conserver, utiliser ou divulguer les Données à caractère personnel à des fins autres que celles spécifiquement liées à la prestation des Services prévus dans l’Accord, y compris la conservation, l’utilisation ou la divulgation des Données à caractère personnel à des fins commerciales autres que la prestation des Services prévus dans l’Accord.

3. Le Fournisseur doit aider le Responsable du traitement des données à répondre aux demandes vérifiables des consommateurs qui souhaitent exercer leurs droits en vertu de la CCPA, y compris les demandes d’accès, de suppression et de désinscription, dans la mesure où le Responsable du traitement des données n’est pas en mesure de traiter une demande d’un consommateur de manière indépendante.

4. Le Fournisseur doit informer sans délai le Responsable du traitement des données s’il reçoit directement une demande d’un consommateur et lui fournir une assistance raisonnable, si nécessaire, afin de lui permettre de se conformer à cette demande.

Annexe 4 — Mesures techniques et organisationnelles de sécurité

Les articles suivants définissent nos mesures techniques et organisationnelles actuelles. Nous pouvons les modifier à tout moment sans préavis, à condition qu’elles maintiennent un niveau de sécurité comparable ou supérieur. Les mesures individuelles peuvent être remplacées par de nouvelles mesures qui servent le même objectif sans diminuer le niveau de sécurité protégeant les Données à caractère personnel.

1. Programme et organisation de la sécurité de l’information

1.1. Nous maintenons et continuerons de maintenir un programme écrit de sécurité de l’information qui comprend des politiques, des procédures et des contrôles, notamment une Politique de sécurité de l’information.

1.2. Le programme de sécurité de l’information est maintenu conformément à la norme ISO 27001.

1.3. Une équipe est responsable du programme de sécurité de l’information.

1.4. Nous avons nommé un Responsable à la protection des données (APD).

2. Ressources humaines et sécurité

2.1. Nous effectuons des vérifications raisonnables et appropriées des antécédents et des références de tous les membres du personnel avant leur embauche, y compris la vérification de leur identité, de leur admissibilité à travailler et de leurs emplois précédents.

2.2. L’accès de notre personnel aux données des clients est soumis à des clauses de confidentialité figurant dans les contrats de travail et les accords de non-divulgation.

2.3. Nous organisons chaque mois une formation sur la sensibilisation à la sécurité et la cybersécurité, et chaque année une formation sur la protection des données pour l’ensemble du personnel.

2.4. Nous avons mis en place des procédures disciplinaires formelles pour prendre des mesures à l’encontre des membres du personnel qui enfreignent les politiques internes.

3. Contrôles physiques de sécurité

3.1. Notre plateforme est hébergée dans les centres de données Amazon Web Services (AWS) et Microsoft Azure, qui disposent d’un périmètre physique défini et protégé, de contrôles physiques rigoureux, y compris, mais sans s’y limiter, des mécanismes de contrôle d’accès, des périmètres extérieurs et intérieurs étroitement contrôlés avec une sécurité renforcée à chaque niveau, y compris des clôtures périphériques, des agents de sécurité, des baies de serveurs verrouillées, des systèmes d’alarme intégrés, une surveillance vidéo 24 heures sur 24 et des contrôles d’accès multifacteurs. Pour plus de détails, veuillez vous référer aux pages de sécurité d’AWS et de Microsoft.

3.2. Nous veillons à ce que l’accès aux installations des Fournisseurs soit strictement contrôlé grâce à des systèmes de contrôle d’accès (par exemple : un système d’accès par carte à puce).

4. Contrôles d’accès

4.1. Nous appliquons une politique officielle de contrôle d’accès et utilisons un système centralisé de gestion des accès pour contrôler l’accès du personnel aux données des clients et pour sécuriser la création, la modification et la suppression des comptes utilisateurs.

4.2. Nous révisons régulièrement les droits d’accès du personnel afin de nous assurer que tous les comptes utilisateurs et privilèges ne sont attribués qu’en cas de besoin. En cas de changement dans le cadre de l’emploi ou de cessation d’emploi, les droits d’accès sont supprimés ou modifiés selon le cas.

4.3. Des contrôles d’accès basés sur les rôles (RBAC) avec le moins de privilèges possible sont en place sur l’ensemble de notre réseau.

4.4. L’accès aux systèmes hautement confidentiels et à l’infrastructure infonuagique est contrôlé par des procédures de connexion sécurisées, notamment l’authentification unique (SSO), l’authentification multifactorielle (MFA) et les réseaux privés virtuels (VPN).

5. Sécurité et cryptage du système opérationnel

5.1. Nous maintenons un cadre formel de cycle de vie du développement logiciel qui inclut des pratiques de codage sécurisées basées sur les recommandations de l’Open Web Application Security Project (OWASP) et les normes connexes, et nous effectuons des revues de code manuelles et automatisées avant que le code ne soit publié dans un environnement de production.

5.2. Nous effectuons un test d’intrusion externe de nos applications destinées aux clients afin d’évaluer la sécurité du service. Tous les tests sont effectués par un tiers certifié CREST.

5.3. Nous maintenons un environnement de production isolé qui comprend des contrôles de gestion de réseau de qualité commerciale, tels qu’un équilibreur de charge, un pare-feu et un système de détection d’intrusion.

5.4. Nous cryptons et protégeons toutes les données en transit à l’aide du protocole TLS 1.2 ou supérieur pour toute communication entre les services ou entre le Client et le serveur.

5.5. Nous cryptons et protégeons toutes les données au repos à l’aide d’un cryptage AES 256 bits ou supérieur.

5.6. Nous effectuons régulièrement des analyses internes de vulnérabilités à l’aide des meilleures applications tierces. Les scores CVE sont utilisés lors des analyses de vulnérabilité, et les vulnérabilités connues sont classées et corrigées.

5.7. Nous avons mis en place des exigences en matière de mot de passe pour les utilisateurs internes, avec une phrase de passe minimale de 16 caractères composée de 3 mots aléatoires sans rapport entre eux. Pour l’application destinée aux clients, les exigences en matière de mot de passe sont les suivantes : 8 à 20 caractères, au moins une lettre minuscule, une lettre majuscule, un chiffre et au moins un caractère spécial (?!*@).

5.8. Nous disposons de pare-feu et de passerelles sur tous les réseaux internes et d’une protection assurée par des chasseurs de menaces proactifs.

6. Réponse aux incidents et notification des violations

6.1. Nous mettons en place des procédures qui garantissent une réponse appropriée aux incidents de sécurité en matière de surveillance, d’enquête, de réponse et de notification.

7. Continuité des activités et reprise après sinistre

7.1. Nous stockons les données des clients de manière redondante à plusieurs endroits dans les centres de données de notre hébergeur afin d’en garantir la disponibilité. Nous mettons en place des procédures de sauvegarde et de restauration qui permettent de récupérer les données en cas de sinistre majeur.

7.2. Nous mettons en œuvre un plan de continuité des activités et de reprise après sinistre. Ce plan prévoit la restauration de l’accès aux données des clients, la poursuite des opérations et des services pendant toute une série de sinistres à court et à long terme. Il couvre le rétablissement des environnements informatiques à la suite d’un événement imprévu affectant le centre de données, l’infrastructure, les données ou les systèmes.

7.3. Le plan de continuité des activités et de reprise après sinistre ainsi que les procédures connexes sont testés au moins une fois par an.

Sous-traitants approuvés

Nom	Services	Lieu du traitement (pays)
Amazon Web Services (AWS)	Fournisseur d’infrastructure infonuagique — où résident le code applicatif et la base de données de notre plateforme RH.	Canada
Citation Group	Infrastructure, développement, informatique et soutien opérationnel.	Royaume-Uni
Freshservice	Gestion des tickets d’assistance client.	Royaume-Uni
HubSpot	Automatisation et analyse marketing, surveillance de l’activité du site Web et outil de communication.	États-Unis
Jiminny	Logiciel d’enregistrement vidéo utilisé pour enregistrer les consultations ou les appels d’assistance à la mise en œuvre avec les clients.	Canada et États-Unis
Microsoft Azure et 365	Fournisseur d’infrastructure infonuagique hébergeant le code applicatif et la base de données de notre plateforme de santé et de sécurité. Messagerie électronique, communication interne et stockage de documents. Nous utilisons également Microsoft pour stocker les sauvegardes quotidiennes, hebdomadaires et mensuelles de la base de données de la plateforme RH.	Canada et États-Unis
Pusher	Messagerie en temps réel pour les utilisateurs finaux.	États-Unis
RingCentral	Services de communication et de collaboration infonuagiques.	Canada
Salesforce	Service de gestion de la relation client.	Canada
SendGrid	API de livraison de courriels transactionnels.	États-Unis
ValueLabs	Développement et soutien logiciels. Tous les tests sont effectués dans un environnement de test à l’aide de données de test.	Royaume-Uni
Vonage	Fournisseur de logiciels de téléphonie pour centres de contact et de communications infonuagiques avec enregistrement des appels.	Royaume-Uni