Entente Proaction relative à la confidentialité et à la protection des données
Entente Proaction relative à la confidentialité et à la protection des données
(l’« Entente de confidentialité et de protection des données »)
1. RENVOIS
1.1 Ententes contractuelles
La présente Entente de confidentialité et de PROTECTION des données constitue une entente spécifique intégrée au Contrat de services Proaction par l’OFFRE de services Proaction intervenue ENTRE le CLIENT ET la filiale du Groupe Proaction avec laquelle l’Offre de services a été conclue.
1.2 Définitions
Les termes de la présente Entente de confidentialité et de protection des données commençant par une majuscule ont la signification qui leur est attribuée à l’Annexe A jointe aux Conditions d’utilisation corporatives, sauf quant aux définitions qui suivent :
« Données Proaction » : désigne les données, résultats, rapports, algorithmes et calculs ne contenant pas de Données personnelles créés ou générés à partir des Données client par l’utilisation de l’Application UTrakk_DMeS; et
« Juridiction de protection des renseignements personnels » : signifie, à moins qu’il ait été convenu d’une juridiction différente entre les Parties dans la Proposition : la France, si le Client a son siège sur le territoire de l’Union Européenne; les États-Unis, si le Client a son siège sur le territoire des États-Unis, ou encore la Juridiction applicable, dans tous les autres cas;
« Responsable du traitement » : désigne l’employé ou le dirigeant du Client ayant cette désignation suivant les
dispositions du RGPD et qui est responsable du traitement des Données personnelles pour le Client;
« RGPD » : désigne le Règlement no 2016/679 de l’Union Européenne, dit « Règlement général sur la protection des données », tel qu’amendé de temps à autre;
« Territoires de données de communautés » : signifie le territoire de l’Irlande; et
« Territoire de stockage » : signifie, à moins qu’il ait été convenu d’un territoire différent entre les Parties dans la Proposition : les provinces du Québec et de l’Ontario, au Canada.
2. PROPRIÉTÉ DES DONNÉES
2.1 Proaction ne revendique pas la propriété des Données client, lesquelles sont présumées être la propriété du Client.
2.2 Les Données Proaction demeurent la propriété de Proaction en tout temps, et les droits des Utilisateurs autorisés et du Client à l’égard des Données Proaction sont limités aux licences et autorisations concédées par Proaction en vertu du Contrat de services Proaction.
3. CONFIDENTIALITÉ
3.1 Chaque Partie s’engage par la présente, en son nom de même que pour et au nom de ses sociétés affiliées, actionnaires, administrateurs, dirigeants, employés, représentants et agents (ci-après désignés ses
« Représentants »), pour valoir tant que le Contrat de services Proaction ne sera pas résilié, sous réserve des dispositions du paragraphe 3.8, pour une période de cinq (5) ans suivant la date où il sera effectivement résilié ou de celle où il aura expiré :
a) à ne pas divulguer, publier, révéler ou autrement transmettre de quelque manière que ce soit quelque Information confidentielle de l’autre Partie à qui que ce soit, autre que ses conseillers juridiques et financiers, à moins qu’il ne lui soit ordonné de le faire par une ordonnance exécutoire provenant d’un tribunal compétent;
b) à ne pas utiliser quelque Information confidentielle de l’autre Partie pour quelque fin que ce soit autre que les fins visées au Contrat de services Proaction;
c) à ne pas copier ou autrement reproduire quelque Information confidentielle de l’autre Partie, sur quelque support que ce soit, pour quelque fin que ce soit, autre que les fins visées au Contrat de services Proaction; et
d) à remettre sur demande tous les documents et tous les autres biens tangibles en sa possession appartenant à
l’autre Partie comportant de l’Information confidentielle.
3.2 Mesures de protection
Chaque Partie s’engage par la présente à suivre, pour la préservation de la confidentialité de l’Information confidentielle qui lui a déjà été divulguée ou à laquelle il a déjà autrement eu accès, de même qu’à celle qui lui sera éventuellement divulguée ou à laquelle il aura éventuellement accès, les mêmes normes de soin et de diligence qu’elle s’impose quant à ses propres informations confidentielles stratégiques, et à tous égard, des normes de soin et de diligences qui ne seront en aucun cas inférieures à celles qu’une entreprise normalement prudente et diligente apporterait à la préservation de la confidentialité de ses propres informations confidentielles stratégiques.
Proaction déclare que ses employés, ses Sous-traitants autorisés, ses mandataires et les autres sociétés du Groupe Proaction sont informés du caractère confidentiel des Données client et qu’elle prend des mesures organisationnelles appropriées pour faire en sorte que tous préservent la confidentialité des Données client.
3.3 Aucune obligation
La présente Entente de confidentialité et de protection des données n’implique aucune obligation de la part d’une
Partie de divulguer quelque Information confidentielle que ce soit à l’autre Partie.
3.4 Propriété
Chaque Partie reconnaît et convient que tout document qui lui sera transmis ou divulgué et qui comportera de l’Information confidentielle est, et demeurera, en tout temps pertinent, la propriété exclusive de la Partie dont il émane, ou de celui de ses fournisseurs, clients, actionnaires, administrateurs, dirigeants, employés et/ou agents dont il émane. Rien dans les présentes dispositions ne doit être interprété comme conférant à une Partie quelque titre, propriété, licence ou autre droit ou intérêt sur les Informations confidentielles de l’autre Partie, à l’exception du droit spécifique et limitatif de consulter toute telle Information confidentielle pour les fins du présent Contrat de services Proaction.
3.5 Divulgation forcée
Si une Partie est tenue de divulguer quelque Information confidentielle en vertu d’une ordonnance judiciaire exécutoire provenant d’un tribunal compétent, cette divulgation sera réputée ne pas être un bris des engagements souscrits par cette Partie en autant que, dans la mesure permise par les Lois de la Juridiction applicable ou les lois applicables dans la Juridiction de protection des renseignements personnels, le cas échéant, avant d’obtempérer à toute telle ordonnance, cette Partie avise l’autre en temps opportun et l’assiste dans ses démarches afin d’obtenir une ordonnance appropriée, ou toute autre mesure efficace, pour assurer le traitement confidentiel des Informations confidentielles qui doivent être ainsi divulguées.
3.6 Utilisation permise des Données client
Nonobstant toute stipulation du Contrat de services Proaction à l’effet contraire, Proaction pourra librement divulguer et/ou utiliser toute Donnée Client qu’elle a en sa possession si elle est contrainte de le faire par une tierce partie conformément aux Lois de la Juridiction applicable, ou aux lois applicables dans la Juridiction de protection des renseignements personnels, le cas échéant, ou si telle Donnée Client fait partie du domaine public. Proaction pourra également utiliser les Données Client pour l’élaboration des modifications et améliorations apportées de temps à autre à l’Application Utrakk_DMeS dans le cours normal de ses affaires ou à toute autre fin si ces données sont anonymisées.
3.7 Données client réputées non confidentielles
Seront réputées ne pas constituer des Informations confidentielles les données, informations ou renseignements qui, selon le cas :
a) Dans le cas de l’Information confidentielle des sociétés du Groupe Proaction, était connues du Client, de l’une ou l’autre de ses sociétés affiliées, ou encore de l’un ou l’autre de leurs employés, sous-traitants et/ou mandataires, avant l’entrée en vigueur de la présente Entente de confidentialité et de protection des données, sans que la personne ayant disposé de cette Information confidentielle ait été sujette à une autre entente de confidentialité la liant à une société du Groupe Proaction;
b) Dans le cas de l’Information confidentielle du Client, étaient connus de l’une ou l’autre des sociétés du Groupe Proaction, ou encore de l’un ou l’autre de leurs employés, Sous-traitants autorisés et/ou mandataires, avant l’entrée en vigueur de la présente Entente de confidentialité et de protection des données, sans que la personne ayant disposé de cette Information confidentielle ait été sujette à une entente de confidentialité la liant au Client autre que la présente Entente de confidentialité et de protection des données;
c) Xxxx divulguées à une Partie par une tierce partie sans violation par celle-ci d’un engagement de confidentialité envers l’autre Partie;
d) Xxxx divulguées par un Utilisateur autorisé sur la communauté virtuelle; ou
e) Deviennent disponibles au public sans la faute de l’autre Partie.
Nonobstant ce qui précède, les Données personnelles sont toujours réputées confidentielles en vertu de la présente section et sont, quant à leur divulgation, sujettes aux dispositions de la présente Entente de confidentialité et de protection des données qui concernent les Données personnelles.
4. SÉCURITÉ DES DONNÉES
4.1 Stockage
Les Données client sont conservées sur support électronique par nos Fournisseurs d’hébergement agréés sur des installations situées sur les Territoires de stockage. Toutefois, les Données client associées à la communauté virtuelle sont conservées sur support électronique par notre fournisseur de service de gestion de communautés sur des serveurs situés sur les Territoires de données de communautés.
4.2 Mesures de sécurité
Proaction s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer que les Données client sont protégées contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l’accès et tout autre traitement non autorisé, notamment les mesures indiquées aux Mesures techniques et organisationnelles de protection des données.
Le Client reconnaît que les Données client sont hébergées par nos Fournisseurs d’hébergement agréés et que les mesures de sécurité entourant l’hébergement des données et l’accès aux infrastructures physiques et logicielles de ces Fournisseurs d’hébergement agréés sont assurés exclusivement par ceux-ci. Le responsable du traitement reconnaît que les mesures techniques et organisationnelles prises par nos Fournisseurs d’hébergement agréés à cet effet sont à la date de cette Entente de confidentialité et de protection des données appropriées pour protéger les Données client.
Proaction ne retient que des Fournisseurs de services d’hébergement agréés offrant des mesures raisonnables de protection de la sécurité et de l’intégrité des données. Les politiques et engagements relatifs à la sécurité et à l’intégrité des données souscrit par nos Fournisseurs de services d’hébergement agréés sont disponibles par le biais de l’onglet relatif aux Sous-traitant autorisés disponible sur le Site Web UTrakk_DMeS.
4.3 Bris de sécurité
Dans d’éventualité d'un accès, d'une utilisation, d'une divulgation ou d'une modification non autorisée des Données client (un « bris de sécurité »), Proaction déploiera, dès que raisonnablement possible, des efforts commercialement raisonnables pour :
a) informer promptement le Client d’un bris de sécurité;
b) mettre fin à tout accès non autorisé aux Données client;
c) identifier, avec ses Sous-traitant autorisés, la cause du bris de sécurité;
d) prendre toutes les mesures correctives raisonnables pour empêcher un autre bris de sécurité;
e) coopérer raisonnablement avec ses Sous-traitant autorisés et le Client pour déterminer la nature des Données client ayant fait l’objet d’un bris de sécurité et fournir au Client une description de ces données ainsi que des mesures correctives prises par Proaction pour empêcher des bris de sécurité futurs; et
f) Dans la mesure ou un bris de sécurité implique des Données personnelles, notifier les autorités responsables si une telle notification est exigée par les lois applicables de la Juridiction de protection des renseignements personnels.
4.4 Retour et destruction des données
À la demande expresse du Client, ou au plus tard dans un délai de 30 jours suivant l'expiration ou la résiliation (si elle est antérieure) du Contrat de services Proaction, toutes les Données client faisant l’objet d’un traitement en vertu du Contrat de services Proaction seront définitivement supprimées, détruites, ou anonymisée afin qu’elles ne contiennent plus de Données personnelles, le tout de manière conforme aux lois applicables de la Juridiction de protection des renseignements personnels, aux Lois de la Juridiction applicable et aux instructions du Client. Si le Client désire qu’une copie des Données client lui soit remise à la fin du Contrat de services Proaction, il doit en faire la demande à l’intérieur du délai de 30 jours mentionné ci-haut, à défaut de quoi les Données clients seront détruites ou anonymisées de manière permanente.
En tout temps Proaction procédera, à la demande du Client, à la suppression ou à l’anonymisation de tout ou partie des Données clients. Proaction confirmera par écrit au Client la suppression ou l’anonymisation des Données client, incluant les Données personnelles, si celui-ci en fait la demande. Le Client reconnait que Proaction ne pourra se trouver en défaut aux termes du Contrat de services Proaction si ce défaut résulte en tout ou en partie d’une instruction du Client visant la suppression ou l’anonymisation de Données client. Nonobstant les paragraphes précédents, il est entendu que les sociétés du Groupe Proaction et leurs Sous-traitants autorisés pourront conserver et stocker des Données personnelles dans la mesure requise par les lois applicables de la Juridiction de protection des renseignements personnels.
Le Client reconnait que lorsque des Données client sont retirées de l’Application UTrakk_DMeS par un Utilisateur autorisé au moyen de l’interface utilisateur, celles-ci sont rendues inaccessibles sur l’Application UTrakk_DMeS et ne sont plus traitées par Proaction autrement que pour en assurer la conservation, mais qu’elles demeurent enregistrées sur les serveurs contrôlés par Proaction. La suppression ou l’anonymisation définitive des Données client doit donc faire l’objet d’une demande expresse du Client.
Les Données Proaction ne sont pas visées par le présent paragraphe 4.4.
5. TRAITEMENT DES DONNÉES PERSONNELLES
5.1 Respect des lois applicables et du RGPD
Proaction s’engage à effectuer tout traitement de Données personnelles en conformité avec les lois applicables de la Juridiction de protection des renseignements personnelles, de même qu’en conformité avec le RGPD en ce qui concerne le traitement de Données personnelles soumises au RGPD.
5.2 Pouvoir décisionnel du Client
Le Client reconnait qu’il est responsable de déterminer les finalités du traitement des Données personnelles hébergées sur l’Application Utrakk_DMeS. Le Client est responsable de déterminer le fondement juridique du traitement des Données personnelles effectué au moyen de l’Application Utrakk_DMeS et d’obtenir le consentement des personnes concernées avant d’effectuer un traitement de leurs Données personnelles, le cas échéant. Le Client déclare et garantit à Proaction, de même qu’à toutes les sociétés du Groupe Proaction, qu’il est autorisé, et qu’il sera en tout temps pertinent autorisé, à effectuer tout traitement de Données personnelles qui est demandé ou effectué par l’un de ses Utilisateurs autorisés par le biais de l’Application Utrakk_DMeS.
5.3 Instructions de traitement du Client
Sauf dans la mesure prévue au Contrat de services Proaction, les Données personnelles doivent être traitées exclusivement au nom du Client et conformément aux instructions du Client. Proaction s’engage à ne pas traiter ou communiquer les Données personnelles à quelque personne physique ou morale, sauf conformément aux
dispositions du Contrat de services Proaction, en conformité avec la Politique de confidentialité ou conformément aux instructions du Client.
Le Client reconnaît que le traitement des Données personnelles effectué par Proaction en vertu du Contrat de services Proaction est déterminé en partie par les actions posées par les Utilisateurs autorisés via l’interface de l’Application Utrakk_DMeS. Toutes telles actions seront considérées comme des instructions de traitement valables de la part du Client.
Proaction s’engage à informer le Client si un représentant de Proaction est informé d’une instruction du Client et estime que le respect de cette instruction irait à l’encontre des lois applicables de la Juridiction de protection des renseignements. Personnels. Dans ce cas, Proaction est en droit de suspendre l'exécution de l'instruction correspondante jusqu'à ce que celle-ci soit confirmée ou modifiée par un Représentant autorisé du Client. Proaction ne surveille pas systématiquement les instructions du Client, qui demeure responsable de la conformité de celles-ci.
6. SOUS-TRAITANTS AUTORISÉS
6.1 Proaction est autorisé par le Client à retenir les services de sous-traitants pour effectuer le traitement des Données client, incluant les Données personnelles.
6.2 Proaction représente et garantit que ses Sous-traitants autorisés présentent des garanties suffisantes afin que les droits des personnes concernées dont les Données personnelles font l’objet d’un traitement en vertu du Contrat de services Proaction soient protégés.
6.3 Les Sous-traitants autorisés retenus par Proaction pour effectuer le traitement de Données client peuvent inclure les entreprises faisant partie du Groupe Proaction et les personnes ou entreprises désignées comme Sous-traitant autorisé à la liste des Sous-traitants autorisé par le biais de l’onglet relatif aux Sous-traitant autorisés disponible sur le Site Web UTrakk_DMeS. Proaction informera le Client de tout changement à ses Sous-traitants autorisés en invitant le Client à consulter la liste des Sous-traitants autorisés à jour lors de toute modification importante.
6.4 Proaction demeure responsable de l’exécution de ses obligations relatives à la protection des Données personnelles en vertu de l’Entente de confidentialité et de protection des données pour lesquelles le traitement fait appel à un ou plusieurs Sous-traitant(s) autorisé(s).
7. TRANSFERT DE DONNÉES PERSONNELLES
7.1 Le traitement des Données personnelles soumises au RGPD par les sociétés du Groupe Proaction aura lieu exclusivement :
a) sur le territoire de l’Espace Économique Européen;
b) dans une juridiction qui assure un niveau de protection adéquat en vertu d’une décision de la Commission
européenne sur la base de de la directive 95/46/CE ou de l’article 45 (1) du RGPD;
c) dans toute juridiction, par une organisation ou une entité présentant des garanties appropriées, notamment par le biais du « Privacy Shield » ou par le biais de clauses type de protection des données adoptées par une autorité de contrôle de la protection des données et approuvées par la Commission Européenne; ou
d) dans toute juridiction, avec le consentement écrit du Client.
7.2 Le traitement de Données personnelles qui ne sont pas soumises au RGPD par les sociétés du Groupe Proaction aura lieu dans toute juridiction où ce traitement est permis par les lois applicables du Territoire de protection des renseignements personnels.
7.3 Tout transfert de Données personnelles sera effectué en vertu d’un contrat écrit entre une société du Groupe Proaction et un Sous-traitant autorisé comprenant des engagements appropriés pour assurer un niveau de protection adéquat pour les Données personnelles transférées, en tenant compte notamment de la nature des Données personnelles transférées.
8.1 Proaction s’engage à :
a) Assister raisonnablement le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes des personnes concernées dont les Données personnelles font l’objet d’un traitement par Proaction en vue d’exercer leurs droits prévus au RGPD ou à d’autres lois applicables en matière de protection de la vie privée, en adoptant des mesures appropriées compte tenu de la nature du traitement;
b) Prendre des mesures commercialement raisonnables pour aider le Client à assurer le respect des obligations qui lui incombent en vertu des articles 32 à 36 du RGPD, le cas échéant, ceci en tenant compte de la nature du traitement et des informations à la disposition de Proaction.
c) Dans la mesure où un tel avis est permis par les lois applicables de la Juridiction de protection des renseignements personnel, aviser promptement le Client de tout contrôle ou enquête dont une société du Groupe Proaction fait l’objet par une autorité gouvernementale en matière de protection des données personnelles portant sur le traitement de Données personnelles par le Groupe Proaction.
8.2 Lorsque Proaction fournit à la demande du Client une assistance au Client en vertu de cet Article 8 (et non en vertu de ses obligations directes en vertu des lois applicables en matière de protection des données), Proaction peut facturer au Client les frais raisonnablement encourus pour fournir cette assistance. Proaction soumettra une estimation de ces frais au Client avant de fournir l’assistance lorsque possible. Proaction ne sera pas en défaut de fournir une assistance au Client si celui-ci n’accepte pas de payer les frais encourus.
9. AUDIT RELATIF AUX DONNÉES PERSONNELLES
9.1 Moyennant un préavis raisonnable à Proaction, le Client est autorisé, à ses frais, à effectuer les contrôles nécessaires afin de veiller à ce que les Données personnelles traitées par Proaction au nom du Client soient traitées en conformité avec les instructions du Client. À la demande du Client, conformément à la présente Entente de confidentialité et de protection des données, Proaction donnera accès aux locaux où sont traitées les Données personnelles et permettra l'audit et l'inspection du traitement effectué par Proaction. Un tel audit pourra être mené par le Client et/ou un tiers (sélectionné par le Client et accepté raisonnablement par Proaction) agissant en son nom. Le Client prendra toutes les mesures nécessaires afin d’éviter de causer quelque dommage, blessure ou perturbation dans les locaux, l'équipement, le personnel et les affaires des société du Groupe Proaction.
9.2 Le Client et Proaction devront s’entendre au préalable sur la nature, l’étendue et la durée de tout audit par le Client et celui-ci devra rembourser à Proaction tous les coûts raisonnables associés à un tel audit, lesquels pourront être estimés à la demande du Client avant le début de l’audit.
10. JURIDICTION
Toutes les dispositions du Contrat de services Proaction visant le traitement des Données personnelles sont régies par les lois applicables sur le territoire de la Juridiction de protection des renseignements personnels. Toutes les dispositions de la présente Entente de confidentialité et de protection des données ne visant pas le traitement des Données personnelles sont régies par les Lois de la Juridiction applicable.
11. GÉNÉRALITÉS
En cas d’incompatibilité entre l’une ou l’autre des dispositions de la présente Entente de confidentialité et de protection des données et toute autre disposition du Contrat de services Proaction, les dispositions de l’Entente de confidentialité et de protection des données auront toujours préséance, sauf si, et strictement dans la mesure où, il est expressément stipulé qu’une disposition autre du Contrat de services Proaction doit avoir préséance ou encore qu’une une disposition de la présente Entente de confidentialité et de protection des données doit être écartée ou modifiée.