ACCORD SUR LE ľRAIľEMENľ DES DONNÉES

ACCORD SUR LE ľRAIľEMENľ DES DONNÉES

Le présent accord sur le traitement des données (« ATD ») est incorporé à la version modifiée des conditions d’utilisation de J. J. Xxxxxx en s’y ajoutant ou dans toute autre entente conclue entre J. J. Keller & Associates, Inc. (« J. J. Xxxxxx ») et le client régissant la prestation des services de J. J. Xxxxxx et leur réception par le client (collectivement les « ententes »).

Le présent ATD constitue une entente conclue entre J. J. Xxxxxx et l’entité qui reçoit les services de J. J. Xxxxxx conformément à une entente qui incorpore le présent ATD (le « client ») et prend effet à la date à laquelle le présent ATD est incorporé à ladite entente (la « date d’entrée en vigueur de l’ATD »). J. J. Xxxxxx et le client sont individuellement désignés dans le présent document comme une « partie » et collectivement comme les « parties ».

1. DÉFINITIONS

Aux fins du présent ATD, les termes qui suivent ont la signification qui leur est attribuée. Les autres termes employés dans le présent ATD sont définis dans le contexte dans lequel ils sont utilisés et ont la signification indiquée. Les termes qui ne sont pas définis dans le présent document ont la signification qui leur est attribuée dans les ententes applicables.

1.1 « CCPA » S’entend de la California Consumer Privacy Act, Cal. Civ. Code

§1798.100 et suivants, et ses règlements d’application, chacun comme modifié de temps à autre, y compris, sans s’y limiter, comme modifié par la California Privacy Rights Act of 2020 et règlements d’application.

1.2 « Directives du client » S’entendent des directives que le client donne à J. J. Xxxxxx concernant le traitement des données à caractère personnel du client pour le compte de celui-ci : 1) qui s’avèrent nécessaires pour fournir les services au client,

2) qui sont indiquées dans les ententes et le présent ATD et 3) qui sont par ailleurs données par écrit par le client et reconnues et acceptées par J. J. Keller.

1.3 « Données à caractère personnel du client » S’entendent de toute donnée à caractère personnel traitée par X. X. Xxxxxx au nom du client dans le cadre de la prestation des services offerts par J. J. Keller. Nonobstant toute disposition

contraire des présentes, les données à caractère personnel du client ne comprennent aucune donnée anonymisée.

1.4 « Responsable du traitement » S’entend de la personne physique ou morale ou de l’entité qui détermine les fins et les moyens du traitement des données à caractère personnel.

1.5 « CPA » S’entend de la Colorado Privacy Act, Colo. Rev. Stat. §6-1-1301 et

suivants, et ses règlements d’application, chacun comme modifié de temps à autre.

1.6 « CTDPA » S’entend de la Connecticut Data Privacy Act, Conn. Gen. Stat. §42- 151 et suivants, comme modifiée de temps à autre.

1.7 « Loi sur la protection des données » S’entend de tous les règlements et de toutes les lois, règles et ordonnances émises en application de celle-ci se rapportant de quelque manière que ce soit à la protection des données, à la notification d’une atteinte à la sécurité, à la protection de la vie privée ou au marketing électronique promulgués aux États-Unis d’Amérique, y compris dans tout État ou autre territoire des États-Unis d’Amérique, ou au Canada, y compris toute principauté ou tout autre territoire au Canada, qui sont applicables au

traitement des données à caractère personnel du client en vertu d’une entente, pouvant inclure, le cas échéant, la CCPA, la CPA, la CTDPA, la FERPA, la HIPAA ou la VCDPA.

1.8 « Personne concernée » S’entend de la personne physique identifiée ou

identifiable à laquelle se rapportent les données à caractère personnel.

1.9 « Demande de la personne concernée » S’entend de toute demande d’une personne cherchant à exercer les droits que lui confèrent les lois sur la protection des données, pouvant inclure, dans la mesure où ils sont accordés en vertu des lois sur la protection des données applicables, le droit d’accès, le droit de rectification,

la limitation du traitement, l’effacement (le « droit à l’oubli »), la portabilité des

données, l’objection au traitement, l’objection à la vente des données à caractère

personnel d’une personne ou le droit de ne pas faire l’objet d’une prise de décision

individuelle automatisée.

1.10 « FERPA » S’entend de la Family Educational Rights and Privacy Act (20 U.S.C.

§ 1232g) et ses règlements connexes (34 CFR Partie 99), dans leur version révisée ou par ailleurs modifiée.

1.11 « HIPAA » S’entend de la Health Insurance Portability and Accountability Act of

1996, la Health Information Technology for Economic and Clinical Health Act of

2009 et les règlements qui en découlent, dans leur version révisée ou par ailleurs modifiée.

1.12 « Données à caractère personnel » S’entendent de toute information qui identifie, concerne, décrit, est raisonnablement susceptible d’être associée ou

pourrait raisonnablement être liée, directement ou indirectement, à une personne concernée identifiée ou identifiable.

1.13 « LPRPDE » S’entend de la Loi sur la protection des renseignements et les documents électroniques du Canada, comme modifiée de temps à autre.

1.14 « Traitement » (y compris les termes corollaires) S’entend de toute opération ou de tout ensemble d’opérations réalisés avec les données à caractère personnel, que ce soit de façon automatique ou non, comprenant notamment la collecte,

l’enregistrement, l’organisation, la structuration, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, l’alignement ou la combinaison, la limitation,

l’effacement ou la destruction.

1.15 « Sous-traitant » S’entend de l’entité qui traite les données à caractère personnel au nom du responsable du traitement.

1.16 « Atteinte à la sécurité » S’entend d’une atteinte à la sécurité de J. J. Xxxxxx conduisant à la destruction, la perte, la modification, la divulgation non autorisée des données à caractère personnel du client ou l’accès à celles-ci, que ce soit de façon accidentelle ou illégale, dans les systèmes gérés ou par ailleurs contrôlés par

J. J. Keller.

1.17 « Documentation en matière de sécurité » S’entend des documents en matière de sécurité applicables aux services spécifiquement fournis au client, dans leur version mise à jour, qui sont raisonnablement mis à la disposition du client par

J. J. Keller.

1.18 « Services » S’entendent des services fournis par J. J. Xxxxxx au client conformément à une entente selon laquelle, dans le cadre de la prestation de ces services, J. J. Xxxxxx traite les données à caractère personnel du client au nom de ce dernier et conformément aux directives du client applicables.

1.19 « Sous-sous-traitant » S’entend d’un sous-traitant embauché par X. X. Xxxxxx pour traiter les données à caractère personnel du client au nom de ce dernier en vertu d’une entente et du présent ATD. Les sous-sous-traitants peuvent inclure des tiers ou des sociétés affiliées de J. J. Xxxxxx, à l’exclusion de tout employé ou

conseiller de J. J. Keller. Par souci de clarté, tout sous-traitant indépendant auquel le client demande à X. X. Xxxxxx de fournir des données à caractère personnel ne sera pas considéré comme un sous-sous-traitant dans le cadre de cet ATD.

1.20 « Autorité de contrôle » S’entend de toute principauté et de tout gouvernement fédéral, étatique, local ou étranger applicable aux États-Unis ou au Canada, ou de toute subdivision provinciale, ministérielle ou autre subdivision politique, ou tout organisme ou toute entité ou autorité aux États-Unis ou au Canada ayant ou exerçant des fonctions exécutives, législatives, judiciaires,

réglementaires, administratives ou d’autres fonctions gouvernementales de toute

commission ou agence ou de tout tribunal, ministère, conseil, bureau ou

intermédiaire de l’une des entités susmentionnées, qui participe à l’application et (ou) à la surveillance des lois sur la protection des données ou qui est en responsable.

1.21 « UCPA » désigne la Utah Consumer Privacy Act, Utah Code § 00-00-000 et suivants, comme modifiés de temps à autre.

1.22 « VCDPA » S’entend de la Virginia Consumer Data Protection Act, Va. Code

§59.1-575 et suivants, comme modifiée de temps à autre.

2. CHAMP D’APPLICATION DE L’ATD

2.1 Rôle des parties. Entre J. J. Xxxxxx et le client, le client sera le responsable du traitement et J. J. Xxxxxx sera le sous-traitant en ce qui concerne les données à caractère personnel du client traitées par X. X. Xxxxxx au nom de ce dernier relativement à la prestation des services que J. J.Xxxxxx offre et aux directives du client.

2.2 Portée du traitement. L’objectif commercial particulier pour lequel J. J. Xxxxxx traite les données personnelles du client pour le compte du client conformément à une entente et au présent ATD est l’exécution des services par J. J. Keller pendant la durée de l’entente applicable. La divulgation par le client des données personnelles du client à J. J. Xxxxxx est uniquement aux fins commerciales limitées et indiquées ci- dessus énoncées dans l’entente applicable et le présent ATD.

2.3 Limite des obligations. Nonobstant toute disposition contraire du présent ATD, le client reconnaît et accepte que X. X. Xxxxxx n’a aucune obligation d’évaluer les données à caractère personnel du client afin de déterminer les renseignements soumis aux exigences de la loi. Le client reconnaît et accepte en outre que le présent ATD et les actions de J. J. Xxxxxx en vertu du présent ATD ne libèrent pas le client de ses obligations aux termes des lois sur la protection des données et qu’ils

ne doivent pas être interprétés comme tel, et que le client est le seul responsable de sa conformité à ces lois.

2.4 Traitement exclu. Nonobstant toute disposition contraire des ententes ou du

présent ATD, le client reconnaît et accepte qu’en raison de la nature des activités de

J. J. Xxxxxx et des services qu’elle fournit, J. J. Xxxxxx agit en tant que responsable du traitement de certaines données à caractère personnel traitées dans le cadre de ces activités et services (« données à caractère personnel de J. J. Xxxxxx ») et que ces données peuvent inclure des données à caractère personnel du client. Le client accepte expressément que toute donnée à caractère personnel de J. J. Keller traitée par J. J. Xxxxxx ou en son nom, à titre de responsable du traitement, n’est pas soumise au présent ATD. En outre, les parties conviennent, en ce qui concerne les données à caractère personnel pour lesquelles l’une ou l’autre des parties est responsable du traitement, d’agir comme responsables indépendants.

2.5 Données anonymisées. Nonobstant toute disposition contraire de l’entente ou du présent ATD, le client reconnaît et accepte que X. X. Xxxxxx peut regrouper, anonymiser et (ou) dépersonnaliser des données à caractère personnel du client conformément aux lois sur la protection des données (les « données

anonymisées ») et le client reconnaît et accepte en outre qu’il n’acquiert aucun

droit, titre ou intérêt sur les données anonymisées.

2.6 Renseignements médicaux protégés. Dans le cas où des données à caractère personnel du client comprennent des renseignements médicaux protégés (au sens de l’HIPAA), le client doit en informer J. J. Keller. Si J. J. Xxxxxx agit en tant qu’associé (au sens de l’HIPAA) relativement au traitement de ces renseignements médicaux protégés dans le cadre des services, J. J. Xxxxxx et le client doivent négocier de bonne foi et accepter les conditions d’un accord d’association commerciale distinct dans la mesure requise par l’HIPAA. Par souci de clarté, à moins que les parties concluent un accord d’association commerciale, et jusqu’à ce qu’elles le fassent, J. J. Keller

n’est pas tenue de traiter les renseignements médicaux protégés et peut suspendre temporairement l’accès du client aux services applicables, ainsi qu’à leur utilisation, et (ou) au traitement de toute autre donnée à caractère personnel du client visée.

En cas de suspension, conformément au présent article 2.6, J. J. Xxxxxx n’aura aucune responsabilité envers le client découlant de la suspension, comprenant notamment tout accord de niveau de service ou autre engagement de niveau de service applicable aux services visés énoncés dans les ententes.

3. OBLIGATIONS DU CLIENT

3.1 Conformité. En tant que responsable du traitement, le client est tenu de se conformer aux ententes applicables, au présent ATD, et aux lois sur la protection des données dans le cadre du traitement des données à caractère personnel applicables au client, notamment :

A. de remettre des avis sur la protection de la vie privée conformes à la loi aux personnes concernées et d’obtenir tous les consentements et toutes les autorisations nécessaires auprès de celles-ci en ce qui concerne le traitement des données à caractère personnel des personnes concernées comprises dans les données à caractère personnel du client;

B. de répondre aux demandes des personnes concernées et les exécuter conformément aux lois applicables sur la protection des données; de s’assurer que le client a le droit de divulguer des données à caractère personnel du client à J. J. Xxxxxx, ou de lui en fournir l’accès, aux fins de traitement par J. J. Xxxxxx au nom du client conformément aux ententes applicables, au présent ATD et aux directives du client; et

C. de fournir à J. J. Xxxxxx les données à caractère personnel des personnes concernées uniquement dans la mesure raisonnablement nécessaire pour que J. J. Xxxxxx puisse exécuter les services.

3.2 Exactitude et qualité des données à caractère personnel du client. Le client

est le seul responsable de l’exactitude et de la qualité des données à caractère personnel qu’il fournit à J. J. Xxxxxx à des fins de traitement dans le cadre des services ou en relation avec ceux-ci, conformément à toutes les lois applicables,

incluant notamment les lois sur la protection des données, en ce qui concerne les moyens par lesquels le client a acquis ces données à caractère personnel.

3.3 Directives du client. Le client est le seul responsable de la conformité de ses directives à toutes les lois applicables, dont les lois sur la protection des données.

3.4 Exigences en matière de localisation des données. Sans limiter la portée des dispositions des ententes ou du présent ATD, le client est tenu d’informer J. J. Xxxxxx de toute exigence en matière de localisation des données ou de toute restriction quant au transfert des données à caractère personnel du client, dans la mesure où cette exigence ou cette restriction pourrait avoir une incidence sur le traitement de ces données par J. J. Xxxxxx conformément à l’entente applicable ou au présent ATD.

3.5 Restrictions relatives aux données à caractère personnel du client. Pour éviter toute incertitude et sans limiter la portée des dispositions des ententes applicables ou du présent ATD, le client ne doit pas fournir ou demander à J. J. Keller de traiter des données à caractère personnel visées par les lois sur la protection des données et les règlements applicables à toute principauté ou à tout pays, État ou autre territoire situé à l’extérieur des États-Unis d’Amérique ou, le cas échéant, aux services fournis au client, conformément à l’entente applicable, au Canada. Pour plus de clarté et sans s’y limiter, le client ne fournira pas ou n’instruira pas autrement J. J. Xxxxxx de traiter les données personnelles soumises au Règlement général sur la protection des données de l’Union européenne (Règlement [UE] 2016/679).

3.6 Autres obligations concernant l’information sur les étudiants. Sans limiter les dispositions énoncées par ailleurs dans les ententes ou le présent ATD, si des données à caractère personnel du client contiennent des renseignements qui sont protégés en vertu de la FERPA ou soumis à celle-ci et (ou) à d’autres lois fédérales ou étatiques similaires concernant la confidentialité et la sécurité de l’information sur les étudiants (dans le présent document, ces renseignements sont

collectivement désignés comme l’« information sur les étudiants » et ces lois sont collectivement désignées comme les « lois relatives à la protection de la vie privée des étudiants »), le client doit en informer J. J. Keller. En plus des autres obligations ou exigences applicables des ententes applicables ou du présent ATD, et non en lieu et place, le client a les obligations suivantes concernant le traitement de

l’information sur les étudiants :

A. Le client est tenu de se conformer à toutes les lois relatives à la protection de la vie privée des étudiants applicables. Sans limiter la portée de ce qui précède, le client déclare à J. J. Xxxxxx, xxxxxxxx et reconnaît, selon le cas, qu’il :

1. s’est conformé à l’exemption relative aux informations de l’annuaire (au sens de la FERPA) ou à une exemption similaire en vertu des lois relatives à la protection de la vie privée des étudiants applicables, en informant notamment les étudiants ou les parents, le cas échéant, des renseignements que le client considère comme des informations de

l’annuaire qui peuvent être divulguées et en accordant aux étudiants ou aux parents, le cas échéant, un délai raisonnable pour demander au client de ne pas divulguer les informations de l’annuaire sur l’étudiant en question. Le cas échéant, le client ne doit fournir à J. J. Keller aucune

information de l’annuaire relative à un étudiant qui a choisi de ne pas les divulguer;

2. s’est conformé à une exemption du responsable scolaire (au sens de la FERPA) ou à une exemption similaire en vertu des lois relatives à la protection de la vie privée des étudiants applicables, notamment dans la notification annuelle du client des droits accordés en vertu de la FERPA, en définissant le terme « responsable scolaire » de façon à y inclure les fournisseurs de services et en définissant le terme « intérêt éducatif légitime » de manière à y inclure le type de services fourni par J. J. Xxxxxx;

3. a obtenu tous les consentements écrits nécessaires, le cas échéant, de la part des étudiants ou des parents pour fournir l’information sur les étudiants à J. J. Xxxxxx afin de lui permettre de fournir les services applicables.

B. Le client doit prendre des mesures de protection administratives, physiques et techniques conformes aux normes de l’industrie afin de protéger les noms d’utilisateur, les mots de passe et tout autre moyen donnant accès aux services et (ou) aux données hébergées contre l’accès non autorisé, la

divulgation ou l’acquisition par une personne non agréée.

C. Sans limiter la portée des dispositions énoncées dans les ententes applicables ou le présent ATD, à moins d’un accord contraire conclu par les parties, le client ne fournira à J. J. Xxxxxx que l’information sur les étudiants nécessaire pour permettre à J. J. Keller de fournir les services applicables.

4. X. X. XXXXXX

4.1 Conformité.

A. J. J. Xxxxxx doit se conformer aux ententes applicables, au présent ATD, aux directives du client et aux dispositions applicables des lois sur la protection des données, y compris, en ce qui concerne les données personnelles du client collectées par J. J. Xxxxxx conformément à une entente ou au présent ATD, et fournir le même niveau de protection de la vie privée que celui requis du client en tant que responsable du traitement en vertu des lois applicables sur la protection des données

B. J. J. Xxxxxx ne traitera les données à caractère personnel du client à ce qui est spécifié dans les ententes applicables et le présent ATD et dans la mesure autorisée en vertu de l’entente lois sur la protection des données.

C. J. J. Xxxxxx doit respecter les directives du client en ce qui concerne le traitement des données à caractère personnel du client, à moins que la loi applicable à laquelle J. J. Xxxxxx est soumise exige qu’elle entreprenne un

autre traitement de ces données, auquel cas J. J. Xxxxxx en informera le client (à moins que la loi applicable ne l’interdise) avant de le faire.

4.2 Restrictions. Sans limiter la portée des dispositions énoncées dans les ententes ou le présent ATD, J. J. Xxxxxx ne doit pas :

A. vendre ou transmettre (dans la mesure où ces termes sont définis dans les lois sur la protection des données) les données à caractère personnel du client;

B. conserver, utiliser ou divulguer des données à caractère personnel du client à des fins autres que les fins commerciales indiquées dans les ententes applicables ou le présent ATD, comprenant notamment la conservation,

l’utilisation ou la divulgation des données à caractère personnel du client à des fins commerciales autres que celles applicables ou autorisées par ailleurs en vertu des lois sur la protection des données;

C. conserver, utiliser ou divulguer les données à caractère personnel du client en dehors de la relation directe entre J. J. Xxxxxx et le client, sauf si cela est nécessaire pour la prestation des services en vertu des ententes applicables ou, par ailleurs, conformément aux directives du client;

D. combiner des données à caractère personnel du client que J. J. Xxxxxx reçoit de la part de ce dernier ou en son nom avec les données à caractère personnel que J. J. Xxxxxx reçoit de la part d’un tiers ou en son nom, ou recueille dans le cadre de ses interactions avec les personnes concernées,

pourvu qu’elle puisse combiner des données à caractère personnel du client avec d’autres renseignements à caractère personnel à toute fin commerciale définie ou permise en vertu des lois sur la protection des données, le cas échéant.

4.3 Certification. J. J. Keller certifie :

A. qu’elle comprend et respectera les restrictions susmentionnées imposées au traitement des données à caractère personnel du client, y compris leur compilation sous réserve des obligations applicables en vertu des lois sur la protection des données;

B. qu’elle informera le client sans retard indu si elle est ou risque d’être dans l’incapacité de se conformer substantiellement à l’une de ses obligations importantes en vertu du présent ATD ou en vertu des lois sur la protection des données applicables.

4.4 Information sur les étudiants. En plus, et non en lieu et place, de toute autre obligation ou exigence applicable en vertu des ententes applicables ou du présent ATD, les obligations de J. J. Xxxxxx relatives au traitement de l’information sur les étudiants qu’elle effectue dans le cadre des services ou en relation avec ceux-ci comprennent ce qui suit :

A. J. J. Xxxxxx est tenue de se conformer à toutes les lois relatives à la protection de la vie privée des étudiants applicables.

B. J. J. Xxxxxx ne peut pas :

1. recueillir, conserver, utiliser ou divulguer de l’information sur les étudiants à des fins autres que les fins spécifiquement nécessaires à la prestation des services indiqués dans les ententes applicables, à condition que, sous réserve de la conformité de J. J. Xxxxxx aux lois relatives à la protection de la vie privée des étudiants applicables, J. J.

Xxxxxx puisse regrouper, dépersonnaliser ou par ailleurs anonymiser l’information sur les étudiants l’« information opérationnelle sur les étudiants ») et soit propriétaire de cette information;

2. faire de la publicité ciblée ou du reciblage auprès des étudiants ou des

parents en utilisant l’information sur les étudiants;

3. utiliser l’information sur les étudiants, y compris les identifiants uniques persistants, créée ou recueillie à l’aide des services pour établir le profil d’un étudiant;

4. vendre l’information sur les étudiants;

5. divulguer l’information sur les étudiants, sauf si la loi l’exige, à des fins

légitimes de recherche ou dans le cadre de la maintenance, de

l’élaboration, du soutien, de l’exploitation ou de l’amélioration des

services conformément à la loi applicable.

Par souci de clarté, ce qui précède n’interdit pas à J. J. Xxxxxx d’utiliser l’information sur les étudiants pour fournir les services ou lorsque le permettent par ailleurs les ententes applicables ou le présent ATD.

C. Dès que cela est raisonnablement possible et, en tout état de cause, à moins d’indication contraire dans les lois ou les ententes applicables, dans un délai de cent quatre-vingts (180) jours suivant l’échéance ou la résiliation d’une entente ou d’un service applicable fourni en vertu d’une entente, J. J. Xxxxxx supprimera toute l’information sur les étudiants applicable (y compris les

copies existantes) qu’elle a en sa possession ou sous son contrôle

raisonnable conformément à la loi applicable. Par souci de clarté, ce qui

précède ne s’applique pas, sans limitation, à l’information opérationnelle sur

les étudiants.

D. En ce qui a trait aux demandes de parents ou d’étudiants admissibles concernant l’information sur les étudiants :

1. J. J. Xxxxxx fournira au client une aide raisonnable sur le plan commercial pour l’aider à respecter ses obligations à répondre aux demandes des étudiants concernant l’information sur les étudiants, y compris les

demandes d’accès, de correction ou de suppression de cette information. Par souci de clarté, le client convient que J. J. Xxxxxx peut se conformer, sans y être tenue, à ses obligations de fournir au client une telle aide raisonnable sur le plan commercial en mettant à sa disposition les caractéristiques et les fonctionnalités nécessaires dans le cadre des services qui lui permettent de répondre aux demandes susmentionnées ou de faciliter la réponse à ces demandes. Sans limiter la portée de ce qui précède : 1) le client doit mettre en œuvre des procédures raisonnables par lesquelles un parent ou un étudiant admissible peut consulter,

corriger ou supprimer l’information sur les étudiants et 2) J. J. Xxxxxx peut permettre aux parents ou aux étudiants admissibles, sans y être tenue, d’accéder à l’information sur les étudiants (mais pas de la corriger ou la supprimer) en réponse à une demande reçue d’un parent ou d’un étudiant admissible, à condition que, en ce qui concerne toute demande faite par un parent, ce qui précède ne s’applique qu’à un parent dont

l’identité a été vérifiée.

2. À moins de dispositions contraires des présentes, si un tiers (à l’exclusion d’un sous-sous-traitant), comprenant notamment les forces de l’ordre ou d’autres entités gouvernementales (une « partie requérante »), communique avec J. J. Xxxxxx pour demander de l’information sur les

xxxxxxxxx, X. X. Xxxxxx sera tenue d’informer la partie requérante qu’elle doit faire cette demande d’information sur les étudiants directement auprès du client. Par conséquent, elle ne lui fournira aucune information sur les étudiants, à moins que, et dans la mesure où X. X. Xxxxxx a des raisons

raisonnables de croire qu’elle est obligée d’accorder cet accès à la partie requérante parce que la divulgation est nécessaire : 1) en vertu d’une ordonnance d’un tribunal ou d’une procédure judiciaire, 2) pour se conformer aux lois ou aux règlements, 3) pour faire respecter les

ententes applicables ou 4) pour protéger les droits, la propriété ou la sécurité personnelle des utilisateurs, employés ou autres personnes de

J. J. Keller. J. J. Xxxxxx informera le client à l’avance d’une divulgation obligatoire à une partie requérante, sauf si J. J. Xxxxxx est légalement tenue par la partie requérante de ne pas informer le client de la demande ou si

les lois applicables l’interdisent.

E. J. J. Xxxxxx accepte d’adopter des mesures de protection administratives,

physiques et techniques pour protéger l’information sur les étudiants contre l’accès non autorisé, la divulgation, l’acquisition, la destruction, l’utilisation ou la modification.

F. Lorsque la loi l’exige, l’information sur les étudiants doit être conservée aux

États-Unis. Si le client le demande, J. J. Xxxxxx fournira une liste des

emplacements de stockage de l’information sur les étudiants.

G. Le client reconnaît et accepte que J. J. Xxxxxx fasse appel à des sous-sous- traitants pour la prestation des services. Lorsqu’elle a recours à un sous- sous-traitant, J. J. Keller :

1. imposera à ce sous-sous-traitant les conditions de protection des

données qui fournissent le même niveau de protection de l’information sur les étudiants que celui indiqué dans le présent ATD, dans la mesure où elles peuvent s’appliquer à la nature des services fournis par ce sous- sous-traitant;

2. J. J. restera responsable de toutes les obligations assignées à chaque sous-sous-traitant, de même que de leurs agissements et omissions, en ce qui concerne le traitement de l’information sur les étudiants par ce sous-sous-traitant;

3. sur présentation d’une demande raisonnable écrite du client, fournira les

renseignements pertinents au client à propos du traitement de

l’information sur les étudiants par chaque sous-sous-traitant.

5. DROITS DES PERSONNES CONCERNÉES

5.1 Notification des demandes. Dans le cas où X. X. Xxxxxx reçoit une demande d’une personne concernée relativement aux données à caractère personnel du client et où la demande identifie le client comme le responsable du traitement,

dans la mesure du possible, J. J. Xxxxxx, sous réserve du respect des lois applicables en matière de protection des données, à son choix et à sa discrétion, conseillera à

la personne concernée de soumettre sa demande au client ou informera le client d’une telle demande de la personne concernée. Le client sera alors responsable de répondre et de se conformer à la demande.

5.2 Aide de J. J. Keller. Compte tenu de la nature du traitement des données à caractère personnel du client effectué par X. X. Xxxxxx, X. X. Xxxxxx fournira une aide raisonnable au client au moyen de ses propres mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, afin de respecter les obligations du client à répondre à une telle demande en vertu des lois sur la protection des données en tant que responsable du traitement.

5.3 Demandes de la personne concernée cherchant la suppression. Sauf disposition contraire dans les ententes applicables ou le présent ATD, J. J. Xxxxxx supprimera rapidement, ou sous réserve du respect par X. X. Keller des lois applicables sur la protection des données, agrégera, anonymisera ou dépersonnalisera les données personnelles du client à la demande de ce dernier en relation avec une demande de la personne concernée applicable, à moins que la loi applicable, y compris, sans s’y limiter, les lois applicables sur la protection des

données, n’exige que J. J. Xxxxxx conserve ces données personnelles du client. Le cas échéant, J. J. Xxxxxx devra demander à tout sous-traitant ayant accès aux données personnelles du client de supprimer les informations concernées.

6. DIVULGATION DE DONNÉES À CARACTÈRE PERSONNEL DU CLIENT PAR X. X. XXXXXX

6.1 Personnel de J. J. Keller. J. J. Xxxxxx doit prendre des mesures raisonnables pour garantir la fiabilité et la confidentialité de tout employé, agent ou sous-traitant à qui elle fournit un accès à des données à caractère personnel du client, en veillant à ce que cet accès soit strictement limité aux personnes qui ont besoin d’y accéder pour assurer la prestation des services et, par ailleurs, se conformer aux obligations de

J. J. Xxxxxx en vertu des ententes applicables, du présent ATD, des directives du client et des lois applicables.

6.2. Tiers. J. J. Xxxxxx peut divulguer à des tiers des données à caractère personnel du client : 1) dans la mesure permise en vertu de l’entente applicable et du présent ATD et conformément aux instructions du client ou autrement nécessaire pour exécuter les services, 2) dans la mesure requise par la loi applicable (sous réserve de la conformité aux lois sur la protection des données), 3) à une autorité de surveillance et (ou) lorsque les lois sur la protection des données l’exigent par ailleurs et 4) en cas de nécessité absolue en vertu d’une obligation en matière de

confidentialité ou de secret professionnel, à son ou ses conseillers juridiques, conseillers en protection des données et comptables.

7. SOUS-SOUS-TRAITANTS

7.1 Engagement. Le client reconnaît et accepte que J. J. Xxxxxx peut recourir à des sous-sous-traitants pour traiter les données à caractère personnel du client au nom de ce dernier. Lorsqu’elle a recours à un sous-sous-traitant, J. J. Xxxxxx imposera à celui-ci les conditions de protection des données qui fournissent à tout le moins le même niveau de protection des données à caractère personnel du client que celui

indiqué dans le présent ATD, dans la mesure où elles peuvent s’appliquer à la nature du traitement des données personnelles des clients entrepris par ce sous- sous-traitant. J. J. Xxxxxx restera responsable de toutes les obligations assignées à chaque sous-sous-traitant, de même que de leurs agissements et omissions, en ce qui concerne le traitement des données à caractère personnel du client par ce sous-sous-traitant au nom du client ou pour ce dernier.

7.2 Notification des sous-sous-traitants. Dans la mesure requise par les lois sur la protection des données, dans le cas où X. X. Xxxxxx engage un sous-sous-traitant ultérieur pour traiter les données personnelles du client pour ou au nom du client,

J. J. Xxxxxx informera le client d’un tel engagement.

8. SÉCURITÉ ET AIDE SUPPLÉMENTAIRE

8.1 Mesures de sécurité. Compte tenu de la nature du traitement des données à caractère personnel du client effectué par J. J. au nom du client, J. J. Xxxxxx doit, relativement au traitement des données à caractère personnel du client, mettre en œuvre et maintenir les mesures techniques, physiques et organisationnelles appropriées comme décrites dans la documentation en matière de sécurité, à condition que ces mesures protègent adéquatement des données à caractère personnel du client et comprennent des mesures de sécurité techniques et organisationnelles raisonnables sur le plan commercial dans le but de prévenir la destruction accidentelle ou illégale prévisible ou la perte accidentelle, la

modification, la divulgation non autorisée ou l’accès aux données à caractère personnel du client en la possession de J. J. Xxxxxx ou autrement sous son contrôle raisonnable et d’autres mesures de sécurité requises en vertu des lois sur la protection des données (les « mesures de sécurité »).

8.2 Examen de la documentation en matière de sécurité. Sur présentation d’une demande écrite du client à des intervalles raisonnables, mais pas plus d’une fois par année, et sous réserve des obligations en matière de confidentialité énoncées

dans les ententes applicables et le présent ATD, J. J. Xxxxxx mettra à la disposition du client une copie de la documentation en matière de sécurité applicable, qui peut inclure, en fonction des services fournis en vertu des ententes applicables, les vérifications ou les attestations de tiers les plus récentes de J. J. Xxxxxx, à condition toutefois que cette documentation en matière de sécurité, à utiliser uniquement par le client pour évaluer la conformité de J. J. Xxxxxx au présent ATD et (ou) aux lois sur la protection des données et que le client n’utilise pas une telle documentation à d’autres fins ni ne la divulgue à un tiers sans l’autorisation écrite préalable de

J. J. Keller. De plus, à la demande de X. X. Xxxxxx, le client doit retourner toute la

documentation en matière de sécurité qu’il a en sa possession ou qui est sous son contrôle.

8.3 Vérifications.

A. Uniquement dans la mesure requise par les lois sur la protection des données et sous réserve du présent article 8.3, J. J. Xxxxxx autorisera le client, pas plus d’une fois par année, à effectuer des vérifications (y compris des inspections) pour vérifier si J. J. Xxxxxx se conforme à ses obligations en vertu du présent ATD ou des lois pour la protection des données (la « vérification par le client »), à condition toutefois que la vérification par le client, incluant notamment les observations, les conclusions ou autres résultats qui en découlent, ainsi que les documents faisant état de ce qui précède (collectivement les « résultats de la vérification par le client ») soit uniquement utilisée pour évaluer la conformité de J. J. Xxxxxx au présent ATD et (ou) aux lois sur la protection des données et qu’elle ne soit pas utilisée à d’autres fins ni divulguée à un tiers sans l’autorisation écrite préalable de

J. J. Keller. De plus, sous réserve des exigences contraires explicites des lois sur la protection des données, le client doit, à la demande de J. J. Xxxxxx, doit lui retourner tous les résultats de la vérification par le client qu’il a en sa possession ou qui est sous son contrôle.

B. Le client doit faire parvenir toute demande de réalisation d’une vérification de J. J. Xxxxxx à l’adresse xxxxxxxxxx@xxxxxxxx.xxx. À la réception de cette demande par X. X. Xxxxxx, X. X. Xxxxxx et le client discuteront et conviendront à

l’avance d’une date de début raisonnable et de la durée de cette vérification par le client, ainsi que de la portée des mesures techniques et organisationnelles de J. J. Keller visée par celle-ci. Nonobstant ce qui précède, à moins qu’il n’en soit convenu autrement par écrit par J. J. Xxxxxx, toute vérification par le client : 1) nécessitant l’inspection des bureaux commerciaux ou des centres de données de J. J. Xxxxxx doit se limiter aux

bureaux commerciaux ou centres de données où J. J. Xxxxxx traite les données à caractère personnel du client au nom de ce dernier ou pour lui, et exclut expressément l’inspection des lieux et des systèmes, ou l’accès à ceux-ci, contenant les données à caractère personnel traitées par X. X. Xxxxxx en son nom ou au nom d’un tiers, qui sont logiquement, mais pas physiquement séparés des données à caractère personnel du client, 2) doit avoir lieu

uniquement pendant les heures normales d’ouverture de J. J. Xxxxxx, 3) doit être réalisée d’une manière qui limite toute perturbation des activités commerciales de J. J. Xxxxxx et 4) doit être assujettie à toutes les obligations en matière de confidentialité énoncées dans les ententes applicables, le présent ATD et les mesures de sécurité en vigueur au bureau commercial ou au centre de données applicable. Pour éviter toute ambiguïté, le client n’aura accès à aucune information, y compris, sans s’y limiter, à aucune donnée personnelle, de ou relative à tout autre client de J. J. Keller.

C. Sauf si cela est expressément interdit en vertu des lois sur la protection des données, J. J. Xxxxxx peut facturer des frais (en fonction de ses coûts raisonnables) pour toute vérification effectuée par le client conformément au présent article 8.3. Si le client en fait la demande par écrit, J. J. Xxxxxx lui fournira plus de détails sur les frais applicables et la base de son calcul avant la vérification par le client en question. Sans limiter la portée de ce qui

précède, le client sera responsable des frais facturés par le vérificateur qu’il

nommera pour réaliser la vérification par le client.

D. J. J. Xxxxxx peut s’opposer par écrit à tout vérificateur nommé par le client

pour réaliser une vérification si le vérificateur, selon l’opinion raisonnable de

J. J. Xxxxxx, n’est pas suffisamment qualifié ou indépendant, s’il est un

concurrent de J. J. Xxxxxx, ou s’il ne convient manifestement pas. En cas

d’opposition de J. J. Xxxxxx, le client devra nommer un autre vérificateur ou réalisera lui-même la vérification.

E. Sans limiter la portée de ce qui précède, avant de procéder à une vérification, le client doit déployer des efforts raisonnables pour réaliser une telle vérification en examinant la documentation en matière de sécurité

conformément aux procédures décrites à l’article 8.2.

8.4 Examens supplémentaires en vertu de la CCPA.

A. Uniquement dans la mesure requise en vertu de la CCPA et uniquement en ce qui concerne le traitement des données à caractère personnel du client par J. J. Keller visées par la CCPA (les « données visées par la CCPA ») :

1. J. J. Xxxxxx accorde au client le droit, avec un avis écrit de quatorze (14) jours : 1) de prendre des mesures raisonnables et

appropriées pour s’assurer que J. J. Xxxxxx utilise les données visées par la CCPA qu’elle reçoit du client d’une manière conforme aux obligations du client en vertu de la CCPA et 2) de prendre des mesures raisonnables et appropriées pour interrompre l’utilisation non autorisée des données à caractère personnel du client et y remédier;

2. sous réserve de l’entente de J. J. Xxxxxx, à la seule discrétion absolue de cette dernière, et pas plus d’une fois par année, le client peut surveiller la conformité de J. J. Xxxxxx au présent ATD en ce qui concerne le traitement des données visées par la CCPA au moyen de mesures supplémentaires qui peuvent inclure, sans limitation, des examens manuels suivis, des analyses automatiques ou d’autres tests techniques et opérationnels.

B. Par souci de clarté, sauf si cela est interdit en vertu de la CCPA :

1. les droits énoncés dans l’article 8.4.A est soumis à toutes les limites ou exigences énoncées dans les ententes applicables ou le présent ATD, incluant notamment toutes les obligations en matière de confidentialité décrites dans les ententes applicables et les exceptions aux obligations de

J. J. Xxxxxx de fournir les services conformément à un accord de niveau de service ou à tout autre engagement de niveau de service;

2. l’article 8.4.A.2 ne doit en aucun cas empêcher X. X. Xxxxxx : 1) de refuser

d’accepter que le client prenne toute mesure supplémentaire particulière ou 2) de faire en sorte que l’accord de J. J. Xxxxxx autorisant le client à prendre toute mesure supplémentaire particulière ait pour condition que le client se conforme aux restrictions ou aux exigences précisées par X. X. Keller.

8.5 Atteinte à la sécurité. En cas d’atteinte à la sécurité, J. J. Xxxxxx informera

rapidement le client, sans délai indu, de sa découverte d’une atteinte à la sécurité. Cette notification d’atteinte à la sécurité sera envoyée à l’adresse de notification du client fournie dans l’entente applicable ou, à la discrétion de J. J. Xxxxxx, signifiée par téléphone ou un autre moyen de communication direct. J. J. Xxxxxx fournira une aide raisonnable au client pour enquêter, remédier et atténuer les conséquences d’une atteinte à la sécurité et pour se conformer à toute exigence de notification aux

personnes concernées, aux autorités de contrôle compétentes ou à d’autres tiers,

dans la mesure requise par les lois sur la protection des données.

9. CONSERVATION ET DESTRUCTION DES DONNÉES À CARACTÈRE PERSONNEL DU CLIENT

9.1 Retour et destruction des données pendant la durée de l’ATD. Sous réserve des modalités des ententes applicables et du présent ATD, J. J. Xxxxxx supprimera ou retournera, au choix du client, les données à caractère personnel du client

applicables lorsqu’elle recevra une directive du client au cours de la durée de l’ATD lui indiquant de le faire. Sans limiter la généralité de ce qui précède, si un client utilise les fonctionnalités accessibles dans le cadre des services (le cas échéant)

pour supprimer des données à caractère personnel pendant la durée de l’ATD et que ces données ne peuvent être récupérées par le client, cela constituera alors une directive du client demandant à J. J. Xxxxxx de supprimer les données à caractère personnel de ses systèmes conformément aux lois applicables, incluant notamment les lois sur la protection des données. J. J. Xxxxxx se conformera à cette directive du client dès qu’il est raisonnablement possible de le faire et, en tout état de cause, sauf si la loi applicable oblige J. J. Xxxxxx à conserver ces données à caractère personnel du client pendant une période plus longue, dans les 180 jours (ou, pour une période moindre, la période maximale autorisée en vertu des lois sur la protection des données).

9.2 Retour et suppression des données à l’échéance ou à la résiliation de

l’entente applicable. Sous réserve des modalités des ententes applicables et du présent ATD, à la suite de l’expiration ou à la résiliation anticipée d’une entente,

J. J. Keller devra, au choix du client (comme indiqué dans les services ou dans une notification écrite à J. J. Xxxxxx), supprimer ou retourner au client toutes les données à caractère personnel du client applicables traitées uniquement pour le compte du client en possession de J. J. Xxxxxx ou sous son contrôle raisonnable à la date de cette expiration ou résiliation anticipée, et J. J. Xxxxxx supprimera les copies existantes de ces données personnelles du client des systèmes J. J. Keller applicables, sauf exigence contraire en vertu des lois applicables, y compris, sans s’y limiter, les lois applicables en matière de protection des données. J. J. Xxxxxx se conformera à cette directive du client dès qu’il est raisonnablement possible de le faire et, en tout état de cause, sauf si la loi applicable oblige J. J. Xxxxxx à conserver ces données à caractère personnel du client pendant une période plus longue, dans les 30 jours (ou, pour une période plus courte, la période maximale autorisée en vertu des lois sur la protection des données) suivant l’échéance ou la résiliation anticipée de l’entente applicable. Par souci de clarté, sauf dans les cas expressément prévus par la loi ou les ententes applicables, J. J. Xxxxxx ne sera en aucun cas tenue ou obligée de conserver les données à caractère personnel du

client applicables pendant plus de trente (30) jours suivant l’échéance ou la

résiliation des ententes applicables.

9.3 Conservation des données personnelles des clients. Nonobstant toute disposition contraire dans les ententes applicables ou le présent ATD et sans limiter les droits accordés à J. J. Xxxxxx en vertu de ceux-ci ou des lois sur la protection des données applicables, dans la mesure autorisée ou requise par la loi applicable,

J. J. Xxxxxx peut conserver une copie des données personnelles du client

uniquement à des fins de preuve ou pour l’établissement, l’exercice ou la défense

de réclamations légales ou pour le respect des obligations légales.

10. CONDITIONS SUPPLÉMENTAIRES

10.1 Responsabilité et indemnisation. En ce qui concerne toute réclamation, perte ou responsabilité qui est fondée sur l’exécution ou la violation du présent ATD par une partie, qui en découle ou en résulte, ou qui y est liée de quelque manière que ce soit : 1) cette partie n’est tenue d’indemniser, de défendre et de dégager l’autre partie de toute responsabilité que dans la mesure où cette

obligation existe conformément aux obligations d’indemnisation, de défense et de dégagement de responsabilité de cette partie énoncées dans les ententes applicables et 2) la responsabilité totale de chaque partie envers l’autre partie est limitée conformément aux limitations de responsabilité applicables qui sont énoncées dans les ententes applicables.

10.2 Durée. Le présent ATD prend effet à sa date d’entrée en vigueur et reste

pleinement en vigueur jusqu’à ce que J. J. Xxxxxx cesse de fournir tous les services au client en vertu des ententes et conformément à celle-ci (la « durée de l’ATD »). Les dispositions du présent ATD qui, en raison de leur nature, sont destinées à survivre à son échéance ou à sa résiliation anticipée demeurent des obligations valides et exécutoires des parties, nonobstant cette résiliation ou échéance. Sans en limiter la portée, les dispositions relatives à la confidentialité, à la conformité aux lois applicables et aux restrictions sur le traitement des données à caractère personnel du client doivent survivre à l’échéance ou la résiliation anticipée du présent ATD.

10.3 Lien avec l’entente. Le présent ATD est régi et interprété conformément aux conditions énoncées dans les ententes applicables, comme si elles étaient entièrement énoncées dans le présent document. Sans limiter la portée de ce qui précède, les parties reconnaissent et conviennent qu’elles ont pris toutes les mesures nécessaires (le cas échéant) en vertu de chaque entente pour y intégrer le présent ATD. Tout litige découlant du présent ATD doit être résolu conformément aux dispositions énoncées dans les ententes applicables. Les exigences énoncées

dans le présent ATD s’ajoutent aux exigences similaires énoncées dans les ententes applicables, sans les remplacer. Nonobstant toute disposition contraire des ententes applicables, en cas de conflit ou d’incohérence entre les conditions du présent ATD et celles de toute entente, le présent ATD prévaut. À l’exception de ce qui est énoncé dans le présent ATD, chaque entente reste pleinement en vigueur, dans ses versions modifiées, et est par la présente ratifiée et confirmée à tous égards.

10.4 Non-validité. Si l’une des dispositions du présent ATD est non valide ou inexécutable, les autres dispositions restent valides et exécutoires. La disposition non valide ou inexécutable sera : 1) soit modifiée, au besoin, pour en assurer la validité et la force exécutoire, tout en préservant les intentions des parties de

manière aussi complète que possible, 2) soit, si l’application de la clause 1) n’est pas possible, interprétée comme si la partie non valide ou inexécutable n’avait jamais fait partie du présent ATD.

10.5 Modifications. J. J. Xxxxxx peut mettre à jour ou modifier le présent ATD de temps à autre, notamment en publiant une version révisée du présent ATD sur son site Web et en publiant sur ce même site un avis général portant sur ces modifications ou, dans la mesure du possible, dans le cadre des services. Sous réserve du respect des lois applicables, l’accès du client aux services ou leur utilisation par celui-ci après la réception d’un avis de modification du présent ATD, que ce soit par un avis général ou direct fourni par J. J. Keller au client, constitue

l’acceptation par le client de ces mises à jour ou modifications.

10.6 Modifications des lois sur la protection des données. J. J. Xxxxxx et le client reconnaissent que les lois sur la protection des données en vigueur à la date de

prise d’effet de l’ATD peuvent changer pendant la durée de l’ATD. J. J. Xxxxxx et le client doivent se conformer à toutes ces modifications dans la mesure où elles

s’appliquent au traitement des données à caractère personnel du client en vertu de l’entente et du présent ATD, en apportant notamment tous les changements requis au présent ATD et (ou) aux ententes distinctes dans la mesure nécessaire pour se conformer à ces modifications.