ACCORD SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

ACCORD SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Version en date du 26.05.2023

Le présent Accord sur la Protection des Renseignements Personnels ("APRP") fait partie du contrat, ci- après dénommé le "Contrat", conclu entre la société Hebergement OVH Inc. ("OVHcloud") et le Client, définissant les modalités applicables aux prestations réalisées par OVHcloud (les "Services" ou le

« Service »). Le présent APRP et les autres dispositions du Contrat sont complémentaires. Toutefois, en cas de conflit, le APRP prévaut.

Les expressions qui commencent par une majuscule et qui ne sont pas définies dans le présent APRP ont le sens défini dans le Contrat. "Personne concernée", "Responsable de la protection des renseignements personnels", "Renseignement Personnel", "Incident de Confidentialité", sont interprétées au sens de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), ci-après appelée la « LPRPSP ». Le terme "Hébergement" désigne l’ensemble des opérations de stockage, d’hébergement, de calcul et de conservation par OVHcloud, et/ou tout autre Service tel que décrit dans le Contrat.

Le présent APRP a pour objet de définir les modalités selon lesquelles OVHcloud est en droit, dans le cadre des Services définis au Contrat, d'effectuer, pour le compte et sur instruction du Client, l’Hébergement de tout Renseignement Personnel par le Client au sein des Services, à l'exclusion de tout Renseignement Personnel dans la Politique d'utilisation des Renseignements Personnels d'OVHcloud qui est recueilli et utilisé par OVHcloud pour son propre compte. Aux fins des opérations d’Hébergement menées sur les Renseignements Personnels, le Client est réputé être l’entreprise qui recueille, détient, conserve, utilise et communique les Renseignements Personnels. Si le Client agit sur instructions d’une autre entreprise qui recueille, détient, conserve, utilise et communique les Renseignements Personnels, certaines obligations s’appliqueront.

1. Portée

1.1 OVHcloud est autorisé, en tant que fournisseur de services, et sur instruction du Client, à procéder à l’Hébergement des Renseignements Personnels qui lui sont confiés dans la mesure nécessaire à la fourniture des Services.

1.2 Le type de Renseignement Personnel et les catégories de Personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion.

1.3 L’Hébergement est effectué par OVHcloud pour la durée prévue au Contrat.

2. Sélection des Services

2.1 Le Client est seul responsable du choix des Services. Le Client s’assure que les Services choisis présentent les caractéristiques et conditions requises pour se conformer aux activités du Client et à ses obligations en vertu de la loi applicable, ainsi qu’au type de Renseignement Personnel faisant l’objet de l’Hébergement, y compris mais sans limitation, lorsque les Services sont utilisés pour la conservation ou la destruction de Renseignements Personnels qui sont soumis à des réglementations ou normes spécifiques (par exemple, données de santé ou bancaires dans certains pays).

2.2 Si les opérations du Client sont susceptibles d’engendrer un risque élevé pour les droits et la liberté des personnes physiques, le Client doit sélectionner soigneusement ses Services. Lors de l’évaluation du risque, il est notamment tenu compte des critères suivants, sans toutefois s’y limiter : projets impliquant de nouvelles technologies ou des données biométriques, médicales ou intimes ; les projets

se caractérisant par une volumétrie de Personnes concernées ou de Renseignements Personnels hébergés ; ou des projets comportant des enjeux éthiques, tels que des recherches universitaires, médicales, scientifiques ou statistiques.

2.3 OVHcloud met à la disposition du Client, selon les modalités prévues ci-dessous au chapitre "Audits", les informations relatives aux mesures de sécurité mises en oeuvre dans le cadre des Services, dans la mesure nécessaire pour apprécier la conformité de ces mesures avec les activités du Client.

3. Conformité aux règlements applicables

Chaque Partie se conforme aux lois qui lui sont applicables en matière de protection des Renseignements Personnels (y compris la LPRPSP et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1), ci-après appelée la

« LADOPPRP »).

4. Obligations d’OVHcloud

4.1 XXXxxxxx s'engage à :

a) Ne pas accéder aux Renseignements Personnels ni les utiliser à d’autres fins que celles nécessaires à la réalisation des Services (notamment en relation avec la gestion des Incidents de Confidentialité),

b) mettre en place les mesures de protection des Renseignements Personnels décrites dans le Contrat, afin d’assurer la sécurité et la confidentialité des Renseignements Personnels au sein du Service,

c) garantir que les salariés d’OVHcloud autorisés à avoir accès aux Renseignements Personnels en vertu du Contrat sont soumis à une obligation de confidentialité et reçoivent une formation appropriée concernant la protection des Renseignements Personnels,

d) n’autoriser les salariés d’OVHcloud à avoir accès aux Renseignements Personnel qu’à la condition que cela soit nécessaire à l’exercice de leurs fonctions,

e) informer le Client si, à son avis et compte tenu des informations dont il dispose, une instruction du Client enfreint les lois applicables.

4.2 En cas de demandes reçues d'autorités judiciaires, administratives ou autres pour obtenir la communication de Renseignements Personnels hébergés par OVHcloud en vertu du présent APRP, OVHcloud fait des efforts raisonnables pour (i) analyser la compétence de l'autorité requérante et la validité de la demande, (ii) répondre uniquement aux autorités et demandes qui ne sont pas manifestement incompétentes et invalides, (iii) limiter la communication aux Renseignements Personnels requis par l'autorité et (iv) informer au préalable le Client (sauf interdiction par la loi applicable).

4.3 Si la demande émane d’une autorité ne relevant pas de la juridiction canadienne afin d’obtenir la communication de Renseignements Personnels hébergés par XXXxxxxx en vertu du présent APRP pour le compte d’un Client canadien, XXXxxxxx s’y oppose, sous réserve des cas suivants :

a) la demande est effectuée conformément à un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre une des combinaisons des pays suivantes : i) le pays demandeur et le Canada ; ou ii) le pays demandeur et le pays où les Renseignements Personnels sont hébergés (tel que sélectionné par le Client au moment de la soumission de sa commande).

b) les Renseignements Personnels demandés sont hébergés dans un centre de données situé en dehors du Canada (tel que sélectionné par le Client au moment de la soumission de sa commande);

c) la demande poursuit une raison importante d’intérêt public ou est nécessaire pour sauvegarder des intérêts vitaux de la Personne concernée ou d’autres personnes.

4.4 À la demande écrite du Client, OVHcloud fournira au Client une assistance raisonnable dans la réalisation des évaluations des facteurs relatifs à la vie privée si le Client y est tenu en vertu de la loi applicable en matière de protection des Renseignements Personnels, et dans chaque cas uniquement dans la mesure où une telle assistance est nécessaire et se rapporte aux opérations d’Hébergement effectuées sur les Renseignements Personnels par OVHcloud en vertu du Contrat (y compris le présent APRP). Cette assistance consistera à assurer la transparence sur les mesures de sécurité mises en oeuvre par XXXxxxxx pour ses Services.

4.5 OVHcloud s’engage à mettre en place les mesures de protection des Renseignements Personnels suivantes :

(a) des mesures de sécurité physique destinées à empêcher l'accès par des personnes non autorisées aux Services où sont hébergées les données du Client,

(b) des contrôles d’identité et d’accès utilisant un système d’authentification ainsi qu’une politique de mot de passe,

(c) un système de gestion des accès qui limite l'accès aux locaux aux personnes qui doivent y avoir accès dans l'exercice de leurs fonctions et dans le cadre de leurs responsabilités,

(d) personnel de sécurité chargé du contrôle de la sécurité physique des locaux d’OVHcloud,

(e) un système d’isolation physique et logique des données des clients entre eux,

(f) les processus d’authentification des utilisateurs et administrateurs, ainsi que les mesures de protection de l’accès aux fonctions d’administration,

(g) un système de gestion des accès pour les opérations de support et de maintenance qui fonctionne selon les principes du moindre privilège et du besoin d'en connaître, et

(h) des processus et des mesures permettant de tracer les actions effectuées sur son système d'information.

4.6 Ces mesures de protection des Renseignements Personnels sont détaillées sur le site OVHcloud et peuvent évoluer dans le temps.

5. Incident de confidentialité

5.1 Si OVHcloud prend connaissance d'un Incident de Confidentialité affectant les Renseignements Personnels du Client ou de toute violation ou tentative de violation par toute personne des obligations relatives à la confidentialité du renseignement communiqué, OVHcloud en informe le Responsable de la protection des renseignements personnels du Client dans les meilleurs délais et avec diligence.

5.2 La notification doit (i) décrire les circonstances de l’Incident de Confidentialité et, si elle est connue, sa cause, (ii) donner une description des Renseignements Personnels visés par l’incident si cette information est connue, (iii) indiquer la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période, (iv) indiquer la date ou la période où l’incident a eu lieu ou, si cette dernière n’est pas connue, une approximation de cette période, (v) indiquer le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre, (vi) décrire les conséquences probables de l’incident, (vii) décrire les mesures prises ou envisagées par OVHcloud en réponse à l’incident et (viii) fournir le point de contact d’OVHcloud.

6. Localisation et transfert de Renseignements Personnels

6.1 Lorsqu’un Service permet au Client d’héberger du Contenu et notamment des Renseignements Personnels, la ou les localisation(s) ou zone géographique(s) du ou des Centre(s) de données

disponibles sont précisées sur le Site d’OVHcloud. Si plusieurs localisations ou zones géographiques sont disponibles, le Client sélectionne celle(s) de son choix au moment de la soumission de sa Commande. Sous réserve de toute disposition contraire des Conditions Particulières de Service applicables, OVHcloud ne modifie pas, sans l'accord préalable du Client, la localisation ou zone géographique choisie lors de la soumission de sa Commande.

6.2 Sous réserve de la disposition précédente relative à l'emplacement des Centres de données, les sociétés de OVH Groupe SA, à l’exclusion des entités localisées aux Etats-Unis peuvent mener des opérations visant à assurer la disponibilité des Services hébergeant le Contenu du Client ainsi que leur sécurité ou leur maintenance.

6.3 Le Client est responsable (i) d'évaluer la légalité de la localisation des Renseignements Personnels et des activités réalisées à distance comme prévu à la section 6.2 de ce APRP (y compris les mesures de protection des Renseignements Personnels pertinentes), en tenant compte notamment des catégories de Renseignements Personnels que le Client a l'intention de faire héberger dans le cadre des Services. XXXxxxxx s'engage à assister le Client en communiquant dès que possible, sur demande, toute information en sa possession qui pourrait être utile à l'évaluation du Client.

7. Obligations du Client

7.1 . Si le Client agit sur instruction d’une autre entreprise qui détient les Renseignements Personnels, les Parties conviennent expressément des modalités suivantes :

a) Le Client s'assure que les autorisations nécessaires pour conclure ce APRP, y compris la désignation par le Client d'OVHcloud comme fournisseur de services, ont été obtenues auprès de l’autre entreprise qui détient les Renseignements Personnels, (ii) un accord, qui est pleinement conforme aux termes et conditions du Contrat y compris le présent APRP, a été conclu avec cette autre entreprise, (iii) toutes les instructions reçues par OVHcloud du Client en exécution du Contrat et du présent APRP sont pleinement conformes aux instructions de cette autre entreprise et (iv) toutes les informations communiquées ou mises à disposition par OVHcloud en vertu du présent APRP sont communiquées de manière appropriée à cette autre entreprise, si nécessaire ;

b) OVHcloud (i) héberge les Renseignements Personnels uniquement sur instruction du Client et (ii) ne reçoit aucune instruction directement de l’autre entreprise qui détient les Renseignements Personnels, sauf dans les cas où le Client a effectivement disparu ou a cessé d'exister en droit sans qu'une entité successeur ne prenne les droits et obligations du Client ;

c) Le Client, qui est pleinement responsable envers OVHcloud de la bonne exécution des obligations légales de l’autre entreprise qui détient les Renseignements Personnels, indemnise et tient OVHcloud indemne contre (i) tout manquement de l’autre entreprise qui détient les Renseignements Personnels à se conformer à la loi applicable, et (ii) toute action, réclamation ou plainte de l’autre entreprise qui détient les Renseignements Personnels concernant les dispositions du Contrat (y compris le présent APRP) ou toute instruction reçue par OVHcloud du Client.

7.2 Le Client est responsable de s'assurer que :

a) Les opérations d’Hébergement effectuées sur les Renseignements Personnels dans le cadre de l’exécution du Service sont conformes aux lois applicables,

b) Des mesures logiques permettant de protéger les Renseignements Personnels qui font l’objet d’un Hébergement par OVHcloud, tel que le chiffrement, sont mis en œuvre, y compris pendant le transit des Renseignements Personnels.

c) toute procédure et toute formalité requises (telles que les évaluations des facteurs relatifs à la vie privée) ont été effectuées,

d) les Personnes concernées sont informées de l’hébergement de leurs Renseignements Personnels par OVHcloud sous une forme concise, transparente, intelligible et facilement accessible, dans un langage clair et simple comme le prévoit la LPRPSP et la LADOPPRP,

e) les Renseignements Personnels sont recueillis, utilisés, communiqués et conservés par le Client conformément à la loi applicable,

f) Les Personnes concernées sont informées et ont à tout moment la possibilité d'exercer facilement leurs droits, conformément à la loi applicable.

7.3 Le Client est responsable de la mise en oeuvre des mesures de protection et de confidentialité des Renseignements Personnels appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne sont pas dans le périmètre de responsabilité d’OVHcloud tel que défini dans le Contrat (notamment tout système et logiciel déployé et exploité par le Client ou les Utilisateurs au sein des Services).

8. Droits des Personnes concernées

8.1 Le Responsable de la protection des renseignements personnels du Client est pleinement responsable d’informer les Personnes concernées de leurs droits, et de respecter ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité de leurs Renseignements Personnels.

8.2 OVHcloud apportera toute la coopération et l’assistance raisonnablement nécessaires pour répondre aux demandes des Personnes concernées. Cette coopération et assistance raisonnables peuvent consister (a) à communiquer au Client toute demande reçue directement de la Personne concernée et (b) à permettre au Client de concevoir et de déployer les mesures de protection des Renseignements Personnels nécessaires pour répondre aux demandes de la Personne concernée. Le Responsable de la protection des renseignements personnels du Client doit répondre à ces demandes.

8.3 Le Client reconnaît et accepte que, dans le cas où une telle coopération et assistance nécessiterait des ressources importantes de la part d’OVHcloud, cet effort sera facturé sur notification préalable au Client et en accord avec ce dernier.

9. Suppression et restitution des Renseignements Personnels

9.1 A l'expiration d'un Service (notamment en cas de résiliation ou de non-renouvellement), OVHcloud s'engage à supprimer de manière définitive, selon les modalités prévues par le Contrat, tout le Contenu (y compris les informations, données, fichiers, systèmes, applications, sites web et autres éléments) qui est reproduit, stocké, hébergé ou utilisé d'une autre manière par le Client dans le cadre des Services, sauf demande émise par une autorité légale ou judiciaire compétente, ou disposition contraire de la loi. XXXxxxxx ne prend toutefois aucun engagement de conserver le Contenu après l'expiration d'un Service. En tout état de cause, les renseignements personnels hébergès par le Client sont supprimès dans les 30 jours suivant la fin du Service.

9.2 Le Client est seul responsable de veiller à ce que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, à la conservation des Renseignements Personnels soient effectuées, notamment avant la résiliation ou l'expiration des Services, et avant de procéder à toute suppression, mise à jour ou réinstallation des Services.

9.3 À cet égard, le Client est informé que la résiliation et l'expiration d'un Service pour quelque raison que ce soit (y compris mais sans s'y limiter le non-renouvellement), ainsi que certaines opérations qui peuvent être effectuées par le Client pour mettre à jour ou réinstaller les Services, peuvent automatiquement entraîner la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications, sites web et autres éléments) qui est reproduit, stocké, hébergé ou utilisé d'une autre manière par le Client dans le cadre des Services, y compris toute sauvegarde potentielle.

10. Responsabilité

10.1 OVHcloud ne peut être tenu responsable que pour des dommages causés par des opérations pour lesquelles (i) elle ne s'est pas conformée aux obligations de la LPRPSP et de la LADOPPRP spécifiquement liées à l’exécution des Services ou (ii) elle a agi contrairement aux instructions écrites légales du Client. Dans ce cas, la disposition du Contrat relative à la responsabilité s'applique.

10.2 Lorsque OVHcloud et le Client sont impliqués dans des opérations sur des Renseignements Personnels au titre du Contrat qui ont causé un dommage à un tiers (notamment mais sans s'y limiter, la Personne concernée), le Client prend en charge dans un premier temps l'indemnisation complète (ou toute autre indemnisation) qui est due au tiers et, dans un second temps, réclame à OVHcloud la partie de l'indemnisation du tiers correspondant à la part de responsabilité d'OVHcloud pour le dommage; à condition toutefois que toute limitation de responsabilité prévue par le Contrat s'applique.

11. Audits

11.1 OVHcloud met à la disposition du Client sur les Sites OVHcloud, une documentation relative aux Services comprenant des informations sur les modalités d’Hébergement des Renseignements Personnels.

11.2 Si un Service bénéficie d’une certification ou fait l'objet de procédures d'audit spécifiques, OVHcloud met à la disposition du Client les certificats et rapports d'audit correspondants sur demande écrite. Les rapports d’audits ou toute autre documentation confidentielle peut faire l’objet d’un accord de confidentialité avant leur mise à disposition.

11.3 Si cela est nécessaire et requis en vertu des lois applicables en matière de protection des Renseignements Personnels, OVHcloud autorisera le Responsable de la protection des renseignements personnels du Client ou toute personne compétente mandatée par celui-ci à effectuer un audit relatif au respect par OVHcloud des obligations de protection des Renseignements Personnels prévues dans le présent APRP. Dans un tel cas, le Client doit donner à OVHcloud un préavis écrit d’au moins 30 jours. OVHcloud se réserve le droit de révoquer tout auditeur pour motif légitime. Le client pourra dans ce cas mandater un autre auditeur.

11.4 OVHcloud et le Client devront convenir par écrit du périmètre et des modalités de réalisation de cet audit, qui ne doit en aucun cas avoir pour conséquence de perturber les activités de OVHcloud. Il est souhaitable que la durée de l’audit ne devra pas dépasser deux jours ouvrables (pendant les heures usuelles d’affaires de OVHcloud). Tous les frais relatifs à cet audit, incluant ceux de OVHcloud, doivent être entièrement supportés par le Client et seront facturés par OVHcloud au Client selon les tarifs en vigueur au moment du déroulement de l’audit.

11.5 Le client et les entités ou personnes mandatées par celui-ci devront prendre un engagement écrit de non divulgation des informations recueillies dans le cadre de l’audit quel qu’en soit le mode d’acquisition, selon des modalités acceptables à OVHcloud, et la signature de cet engagement devra être préalable à l’audit. Le rapport d’audit devra être mis à la disposition de OVHcloud avant d’être finalisé, de sorte que XXXxxxxx puisse formuler toutes ses observations, le rapport final devant tenir compte et répondre à ces observations.

11.6 Le Responsable de la protection des renseignements personnels du Client ne pourra pas procéder à un audit plus d’une fois par période de douze (12) mois, à l’exception de tout audit ou vérification supplémentaire (i) que le Client le juge raisonnablement nécessaire en raison d’un Incident de Confidentialité subi par OVHcloud, ou (ii) que le Client est tenu d’effectuer conformément aux lois applicables en matière de protection des Renseignements Personnels.

12. Contact OVHcloud

Pour toute question relative aux Renseignements Personnels (Incident de Confidentialité, modalités d'utilisation, de conservation, de destruction etc.), le Client peut contacter OVHcloud comme suit :

(a) Création d’un ticket dans son Interface de Gestion de Compte Client,

(b) En contactant son Service Support OVHcloud,

(c) Par courrier à l'adresse : Responsable de la protection des renseignements personnels, OVH Hebergement Inc, 0000 xxxxxx XxXxxx Xxxxxxx, Xxxxxx 000, Xxxxxxxx (Xxxxxx) X0X 0X0