Dans le cadre des Services fournis en vertu du contrat de service (ci-après dénommé le « Contrat de service ») par le prestataire de service agissant en tant que sous-traitant, Imprima ou l’Affilié qui est partie contractante au Contrat de service (ladite partie étant ci-après dénommée le « Prestataire de service »), au Client agissant en tant que responsable de traitement (ci-après dénommé le « Client »), les parties acceptent que les présentes conditions de traitement des données (ci-après dénommées les « Conditions ») s’appliquent de sorte que le Client puisse satisfaire aux obligations de conformité que la Loi sur la protection des données lui impose. Ces Conditions doivent être intégrées au présent Contrat de service par renvoi.
LORSQUE, SELON LE CAS, LES PARTIES CONTINUENT DE FOURNIR OU DE RECEVOIR LES SERVICES, CELLES-CI ACCEPTENT D’ÊTRE LIÉES PAR LES PRÉSENTES CONDITIONS.
PAR LES PRÉSENTES, IL EST DÉSORMAIS CONVENU ce qui suit:
- DEFINITIONS
- Dans les présentes Conditions, les termes commençant par une majuscule auront la signification telle que définie dans le Contrat de service, à moins qu’il n’en soit expressément stipulé autrement ci-dessous ou dans toute autre partie desdites Conditions
- « Affilié » désigne toute entité qui, de manière directe ou indirecte, contrôle, est contrôlée ou est sous contrôle commun avec une partie de façon périodique pendant la Durée du contrat ;
- « Loi sur la protection des données » désigne l’ensemble des lois et réglementations relatives à la confidentialité des données et se rapportant au traitement dans le cadre des Services, y compris, le cas échéant, le Règlement (UE) 2016/679, telle qu’amendée ou remplacée par un règlement, une directive ou tout autre instrument juridique ultérieur de l’Union Européenne, y compris par le Règlement général sur la protection des données ou autre règlement similaire, ou par les lois sur la confidentialité des données en vigueur dans une quelconque autre juridiction ;
- « Utilisateur final » a la signification telle que définie dans le Contrat de service ;
- « Services » désigne les services tels que décrits dans le Contrat de service et dans la section ci-dessous ;
- «Clauses contractuelles » désigne les clauses contractuelles types de la Commission européenne relatives au transfert transfrontalier des données personnelles, telles qu’amendées ou remplacées périodiquement, ou toute autre série de clauses contractuelles équivalentes approuvées en vertu de la Loi sur la protection des données ; et
- « Données personnelles du Client » désigne les données personnelles que nous traitons dans le cadre des Services tels que décrits plus amplement ci-dessous. Conformément à la clause 2.1, cela peut inclure les données personnelles d’un Affilié du Client.
- Les termes « personne concernée », « données personnelles », « traitement » et autres variantes, ainsi que « responsable de traitement » et « sous-traitant », ont la signification qui leur a été attribuée dans la Loi sur la protection des données.
- DÉSIGNATION
- Le Client est désigné par ses Affiliés et Utilisateurs finaux (le Client, ses Affiliés et les Utilisateurs finaux sont ci-après dénommés collectivement les « Donneurs d’ordre ») pour fournir et gérer en leur nom divers services, y compris les Services. Par conséquent, les Données personnelles du Client peuvent contenir des données personnelles dont les Donneurs d’ordre sont les responsables de traitement.Le Client confirme qu’il est autorisé à communiquer au Prestataire de service des consignes ou exigences au nom de l’un des Donneurs d’ordre concernant le traitement des Données personnelles du Client par ledit Prestataire de service dans le cadre des Services.
- Le Prestataire de service est désigné par le Client pour traiter les Données personnelles du Client au nom des Donneurs d’ordre, et ce aussi longtemps que la fourniture des Services s’avère nécessaire, sauf si les parties en ont convenu autrement par écrit.
- DUREE
- Les présentes Conditions prennent effet dès leur réception par le Client (la « Date d’effet ») et demeurent pleinement en vigueur et exécutoires jusqu’à la résiliation ou l’expiration du Contrat de service (la « Durée du contrat »).
- SERVICES
- Le Prestataire de service peut procéder au traitement des Données personnelles du Client conformément aux indications du tableau ci-dessous :
- Description des Services : Salle de données virtuelles basée sur le Cloud et services connexes de traitement de documents.
- Objet du traitement : Activités de traitement dans le cadre de la fourniture des Services.
- Durée du traitement : Pour la durée du Contrat de service.
- Nature et finalité du traitement : Hébergement de données personnelles dans la Salle de données et traitement tel que convenu dans le cadre des services de traitement de documents au nom des Donneurs d’ordre, et autorisation des utilisateurs finaux à accéder aux Données personnelles du Client et à les traiter dans le cadre des Services.
- Type de données personnelles : Données relatives à l’emploi, données sur les actionnaires, données commerciales, données de ventes, données financières, etc.
- Catégories de personnes concernées : Personnel, conseillers, actionnaires, clients et autres personnes.
- CONFORMITÉ À LA PROTECTION DES DONNÉES
- Dans le cadre du traitement des Données personnelles du Client pendant la Durée du contrat, sauf si la loi en dispose autrement, le Prestataire de service accepte de :
- se conformer à la Loi sur la protection des données dans le cadre du traitement des Données personnelles du Client ;
- traiter les Données personnelles du Client uniquement tel que convenu dans le cadre des Services, conformément aux consignes légales documentées du Client émises périodiquement de manière raisonnable dans le cadre des Services, et à des fins d’analyses commerciales internes. Le Client déclare et garantit sur une base permanente que ses consignes ne conduiront pas le Prestataire de service à violer la loi ;
- informer le Client si jamais il estime qu’une consigne enfreint la Loi sur la protection des données ;
- s’assurer que tous les membres du personnel autorisés par le Prestataire de service à traiter les Données personnelles du Client se sont engagés à respecter la confidentialité ou sont soumis à une obligation légale de confidentialité ;
- mettre en œuvre de façon adéquate les mesures techniques et organisationnelles décrites dans le Contrat de service (ou toute autre mesure appropriée), et tout au moins, les mesures décrites dans l’Annexe, afin de protéger les Données personnelles du Client en tenant compte de la nature de ces dernières et du risque de dommages pouvant survenir suite à une Faille de sécurité (telle que définie ci-dessous) ;
- informer sans délai le Client de toute demande formulée par une personne concernée en vertu de la Loi sur la protection des données ou de toute demande d’application de la loi se rapportant aux Données personnelles du Client. Le Prestataire de service peut accuser réception de chacune des demandes d’accès émises par des personnes concernées. Lorsque les parties en conviennent, le Prestataire de service peut, au nom du Client et aux frais de ce dernier, répondre aux demandes d’accès émises par des personnes concernées ;
- fournir cette assistance aux frais du Client lorsque ce dernier en fait raisonnablement la demande afin d’assurer sa conformité à la Loi sur la protection des données s’agissant de la sécurité des données, des notifications en cas de violation des données, des évaluations d’impact sur la protection des données et des consultations préalables auprès des autorités de surveillance compétentes en charge des questions de confidentialité et de protection des données ;
- supprimer ou restituer l’ensemble des Données personnelles du Client, au choix et aux frais de ce dernier, une fois la fourniture des Services terminée, et supprimer les copies existantes, sauf celles ayant été archivées à des fins de poursuite des activités et de reprise après sinistre, le cas échéant, et celles rendues anonymes et conservées à des fins commerciales légitimes. Le Prestataire de service peut supprimer ou détruire les Données personnelles du Client qui ne lui sont plus utiles pour se conformer aux présentes Conditions ; et
- mettre à disposition du Client, et aux frais de ce dernier, les renseignements raisonnablement nécessaires pour démontrer la conformité du Prestataire de service aux présentes Conditions et permettre à des tiers indépendants de réaliser des audits, lorsque les parties en conviennent.
- Le Client doit rapidement fournir l’assistance que le Prestataire de service est raisonnablement en droit d’exiger afin de se conformer à ses obligations de confidentialité et de sécurité des données en vertu des présentes Conditions.
- AVIS
- Sur demande et aux frais du Client, le Prestataire de service fournira à chaque personne concernée un avis de confidentialité type que le Client pourra, à l’occasion, raisonnablement demander conformément au Contrat de service.
- SOUS-SOUS-TRAITANTS
- Le Prestataire de service recrutera des sous-sous-traitants dans le cadre du traitement des Données personnelles du Client (ci-après individuellement dénommés le « Sous-sous-traitant ») uniquement avec le consentement du Client, qui est donné par les présentes, sous réserve des dispositions de la clause 7.2ci-dessous.
- Lorsqu’il recrute un Sous-sous-traitant, le Prestataire de service s’engage à :
- faire preuve de diligence raisonnable ;
- conclure un contrat dont les conditions sont, dans la mesure du possible, identiques aux présentes Conditions, et qui peuvent inclure des Clauses contractuelles prévoyant la fourniture de garanties adéquates eu égard au traitement des Données personnelles du Client ; et
- informer le Client de tout changement envisagé concernant le recrutement ou le remplacement occasionnel d’un Sous-sous-traitant. Si le Client s’oppose à un tel changement pour des motifs valables, les parties devront collaborer en toute bonne foi pour lever ladite opposition.
- INCIDENTS DE SÉCURITÉ
- « Faille de sécurité » se définit comme toute faille conduisant à la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illicite aux Données personnelles du Client transmises, stockées ou autrement traitées.
- Dès lors qu’il prend connaissance d’une Faille de sécurité, le Prestataire de service s’engage à avertir le Client sans délai et, le cas échéant, à transmettre des notifications de façon progressive.
- Le Prestataire de service s’engage à enquêter sur la Faille de sécurité et à prendre des mesures raisonnables pour identifier, empêcher et atténuer les effets de la Faille de sécurité dont il est à l’origine. De même, le Prestataire de service s’engage à prendre des mesures supplémentaires aux frais du Client lorsque ce dernier en fait raisonnablement la demande pour pouvoir se conformer à la Loi sur la protection des données.
- Le Client s’engage à ne pas diffuser ni publier des dossiers, messages, avis, communiqués de presse ou rapports concernant une Faille de sécurité sans avoir obtenu au préalable l’autorisation écrite du Prestataire de service ; une telle autorisation ne saurait être refusée sans motif raisonnable.
- TRANSFERTS INTERNATIONAUX DE DONNÉES
- Le Prestataire de service veillera à ce qu’aucune des Données personnelles du Client ne puisse être transférée en dehors :
- de l’Espace économique européen ; ou
- de tout autre territoire restreignant le transfert transfrontalier des Données personnelles du Client en vertu des Lois sur la protection des données,
sans le consentement préalable exprès écrit du Client, qui est donné par les présentes, sous réserve des dispositions de la clause 9.2ci-dessous.
- Le Prestataire de service fournira une telle assistance aux frais du Client lorsque ce dernier en fait la demande raisonnable afin de s’assurer que les Clauses contractuelles et autres mécanismes de transfert applicables, tels que le bouclier de protection des données UE-États-Unis développé dans le cadre des transferts UE-États-Unis, sont mis en place en vue d’assurer un niveau de protection des données adequate.
- DISPOSITIONS DIVERSES
- Les titres de clause apparaissant dans les présentes Conditions ne sont insérés qu’à des fins de commodité de référence. Lesdits titres ne font pas partie et ne préjugent en rien de l’interprétation desdites Conditions.
- Sous réserve de la clause 10.3, la responsabilité de l’une ou l’autre des parties en vertu des présentes Conditions sera assujettie aux exclusions et limitations de responsabilité dans le cadre du Contrat de service.
- Rien dans les présentes Conditions ne saurait exclure ou limiter la responsabilité de l’une ou l’autre des parties qu’il serait illégal d’exclure ou de limiter. Sous réserve de ce qui précède, (i) les présentes Conditions et le Contrat de service constituent l’intégralité de l’accord conclu entre les parties inhérent au traitement des Données personnelles du Client dans le cadre des Services et remplacent toutes conventions, ententes, négociations et discussions antérieurement établies entre les parties concernant l’objet du contrat ; et (ii) en adhérant aux présentes Conditions, aucune des parties ne s’est appuyée sur, et aucune partie n’aura de recours basé sur, une déclaration, une assertion ou une garantie (réalisée de manière négligente ou innocente), à l’exception de ce qui a été établi dans les présentes Conditions.
- Dans les 15 jours à compter de la date de facturation, le Client s’engage à rembourser au Prestataire de service l’ensemble des frais et dépenses que ce dernier aura déboursés, y compris mais sans limitation aucune, les honoraires raisonnables d’avocat et les frais engagés par ledit Prestataire de service et/ou ses Affiliés pour préparer et envoyer les correspondances afin de pouvoir, aux frais du Client, exécuter ses obligations dans le cadre des présentes Conditions.
- Lorsque, du fait du Client, de son Affilié ou de l’Utilisateur final, les Services ne peuvent plus être fournis conformément au Contrat de service, tel qu’initialement envisagé par le Prestataire de service, et cela suite à une demande de suspension ou de cessation partielle ou totale d’un contrat conclu avec un Sous-sous-traitant, à une demande de suspension ou de cessation d’un transfert des Données personnelles du Client, à une demande de destruction ou de restitution de l’ensemble des Données personnelles du Client, à une demande de suspension ou de cessation de l’accès aux Données personnelles du Client, ou toute autre demande similaire, le Prestataire de service a, à tout moment et sans pénalité, le droit de résilier le Contrat de service avec effet immédiat ou différé, moyennant un préavis écrit adressé au Client. Lors de la résiliation du Contrat de service par le Prestataire de service ou le Client pour des motifs se rapportant aux présentes Conditions ou pour des raisons de conformité à la Loi sur la protection des données, le remboursement par le Client de tous les frais de service, dépenses et autres paiements déboursés par le Prestataire de service dans le cadre du Contrat de service deviendra immédiatement exigible et sera calculé comme si ledit Contrat de service avait été résilié en bonne et due forme par le Client pour convenance, conformément à ses conditions.
- Tous les avis de résiliation ou de violation doivent être rédigés en anglais et adressés à la personne-ressource principale ou au service juridique de l’autre partie. Tous les avis sont considérés comme remis dès lors qu’il peut être prouvé qu’ils ont été reçus, notamment à l’aide d’un accusé de réception valide ou d’un journal électronique. Les avis envoyés par courrier postal seront considérés comme remis dans les 48 heures suivant la date du cachet de la poste si l’envoi est recommandé.
- Les dispositions des présentes Conditions sont divisibles. Si une phrase, clause ou disposition est reconnue comme étant invalide ou inapplicable, et ce que ce soit en totalité ou en partie, seule ladite phrase, clause ou disposition sera affectée et les autres dispositions des présentes Conditions resteront pleinement en vigueur et exécutoires.
- L’une ou l’autre des parties peut, en vertu des présentes Conditions, céder ses droits et/ou obligations à son successeur suite à une fusion, acquisition, vente, restructuration ou liquidation.
- Les présentes Conditions sont régies par la loi applicable au Contrat de service et les parties seront exclusivement soumises à la juridiction des tribunaux du pays où elles résident pour tout différend (contractuel ou non) en relation avec les présentes Conditions, étant entendu que chaque partie peut déposer auprès du tribunal de son choix une demande en vue d’une injonction ou d’une autre mesure de protection de ses biens, de ses droits de propriété intellectuelle ou de ses informations confidentielles.
ANNEXE – Mesures de sécurité
Le Prestataire de service est tenu de mettre en place les mesures minimales suivantes, si applicable.
- maintien de la certification ISO 27001:2013
- pare-feux dernière génération
- contrôle d’accès utilisateur basé sur le principe du moindre privilège appliqué aux systèmes avec ID utilisateurs et mots de passe avec une durée de validité limitée, s’il y a lieu
- accès à distance restreint et authentification multi-facteurs pour l’accès à distance
- logiciel de protection en temps réel contre les virus, les programmes malveillants et les logiciels espions
- conformité avec les instructions hardware et software fournies par le fabricant
- séparation des données conformément aux spécifications du client et à l’usage prévu
- mises à jour logicielles régulières
- retrait des données sécurisées des appareils mis hors service
- chiffrement 256 bits des dispositifs de stockage de données portables et chiffrement des données personnelles en transit
- systèmes de détection et de prévention des intrusions
- sauvegarde des données avec tests réguliers
- procédures de poursuite des activités et de reprise après sinistre
- habilitation de sécurité du personnel
- contrôle d’accès physique basé sur le principe du moindre privilège
- accords de non-divulgation conclus avec le personnel
- formation du personnel sur la confidentialité