ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES
ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES
Le présent Addendum relatif au Traitement des Données (ci-après, “ATD”) définit les obligations qu’assument les Parties en matière de traitement et de protection de Données Personnelles dans le cadre de la fourniture des services dont il est question à l’Annexe A (ci-après, les “Services”). Le présent ATD est, par voie de référence, incorporé à nos Conditions d’utilisation de nos services en ligne et notre Addenda relatif aux niveaux de support (ci- après collectivement, les “Conditions de Service”). Vous convenez que tant en votre propre nom qu’au nom et pour le compte de votre employeur ou de quelque autre entité juridique (ci-après, “vous”, “votre”, “vos” ou l’Organisation”), vous avez lu et bien compris les (et acceptez de vous conformer aux) dispositions du présent ATD, et vous vous liez contractuellement envers Devolutions inc. (ci-après, “Devolutions”) au sujet du Traitement de Données Personnelles dans le cadre de la fourniture et/ou de l’utilisation des Services. Aucune des dispositions du présent ATD ne sera valide ou juridiquement contraignante à l’égard de quelque personne physique ou Organisation qui n’est pas un Client ou une Société Affiliée Autorisée. Aux fins des présentes, on référera à chacune des parties comme à une “Partie”, et aux deux parties à la fois comme aux “Parties”.
Vous déclarez et garantissez que vous détenez (ou que l’on vous a attribué) le pouvoir et l’autorité de lier l’Organisation et ses Sociétés Affiliées Autorisées en vertu du présent ATD. Si vous ne pouvez (ou refusez de) vous conformer aux dispositions du présent ATD, ou encore n’êtes pas investi(e) du pouvoir et de l’autorité requis(e) en vue de lier l’Organisation ou quelque autre entité juridique, veuillez vous abstenir de nous transmettre quelques Données Personnelles que ce soit.
Il est possible que dans le cadre des Services que nous fournirons conformément aux Conditions de Service, nous traitions certaines Données Personnelles en votre nom à titre de “Sous-Traitant”. Dans un tel contexte, les Parties, en toute bonne foi et agissant de manière raisonnable, conviennent de se conformer aux dispositions qui suivent lorsqu’il sera question du Traitement de Données Personnelles.
Si vous souhaitez obtenir un exemplaire signé du présent ATD, veuillez en faire la demande en transmettant un courriel à l’adresse xxxxxxx@xxxxxxxxxxx.xxx.
1. Interprétation et définitions
1.1 Les titres attribués aux différentes rubriques du présent ATD ne l’ont été qu’à titre de référence, aucun ne devant être interprété de manière à restreindre ou autrement affecter quelque disposition que ce soit.
1.2 À moins qu’il n’en soit stipulé autrement, toute référence à un article ou paragraphe renvoie à l’article ou paragraphe du présent ATD.
1.3 En sus des mots, termes et expressions définis spécifiquement au présent ATD, les mots, termes et expressions ci-dessous doivent se voir attribuer la signification qui les suit.
(a) “Autorité de Contrôle”: toute autorité publique indépendante qui est en charge de l’encadrement législatif ou règlementaire des questions relatives à la vie privée et à la protection des données. La présente définition comprend (sans s’y limiter) le Commissariat à la Protection de la Vie Privée du Canada de même que toute autorité publique de contrôle établie en vertu des dispositions du RGPD ou du RGPD du Royaume-Uni.
(b) “Clauses Contractuelles Types”: (a) les Clauses Contractuelles Types adoptées par la Commission Européenne en vertu de la Décision d’exécution 2021/914/EU du 4 juin 2021 (ci-après, les “Nouvelles CCT”), qui sont incorporées aux présentes par voie de référence; ou (b) lorsque le transfert des Données Personnelles du Client est assujetti aux Xxxx Xxxxxxx sur la Protection des Données du Royaume-Uni, l’addenda aux clauses contractuelles types de la Commission européenne tel que stipulé par l'Accord international sur le transfert des données émis par Bureau du commissaire à l'information (Information Commissioner's Office) du Royaume-Uni (Version B1.0, 21 mars 2022) (ci-après, l’“Accord international sur le transfert des données du Royaume-Uni”), qui seront réputées être satisfaites au moyen des informations figurant aux Annexes des présentes, telles qu’elles pourraient être amendées, mises à jour, complétées ou remplacées de temps à autre de manière à tenir compte des modifications apportées aux Xxxx Xxxxxxx sur la Protection des Données. À moins que Devolutions n’en ait stipulé autrement par écrit, les plus récentes Clauses Contractuelles Types adoptées par la Commission Européenne ou le Bureau du commissaire à l'information du Royaume-Uni (selon le cas) s’appliqueront au présent ATD et seront réputées y être incorporées par voie de référence. Par souci de clarté, les Transferts Restreints intervenant entre Devolutions et ses Sous-Traitants seront assujettis au Module Trois (de Sous-Traitant à Sous-Traitant) des Nouvelles CCT.
(c) “Client”: l’Organisation qui utilise ou s’est abonnée à un Service et est partie aux Conditions de Service. Aux fins du présent ATD et à moins qu’il n’en soit stipulé autrement, toute référence au Client est réputée viser également ses Sociétés Affiliées Autorisées.
(d) “Données Personnelles”: toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
(e) “État Membre”: Tout pays faisant partie de l’Union Européenne ou de l’Espace Économique Européen, ou encore la Suisse.
(f) “Xxxx Xxxxxxx sur la Protection des Données”: dans la mesure applicable au Traitement de Données Personnelles en vertu des Conditions de Service, le Règlement Général sur la Protection des Données 2016/679 (ci-après, le “RGPD”), les autres lois et règlements applicables à la protection de Données Personnelles au sein de l’Union Européenne et de ses États Membres, le Data Protection Xxx 0000 du Royaume-Uni (ci-après, GDPR-RU”), la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques du Canada (de même que la législation provinciale essentiellement similaire), et le California Consumer Privacy Act de 2018 (ci-après, le “CCPA”).
(g) “Personne Concernée”: la personne physique à laquelle les Données Personnelles se rapportent.
(h) “Responsable du Traitement”; tout(e) personne physique ou morale, autorité publique, agence ou organisme qui, seul(e) ou conjointement avec d’autres, détermine par quels moyens et dans quels buts les Données Personnelles sont traitées.
(i) “Société Affiliée”: toute entité juridique (i) qu’une Partie contrôle, (ii) qui contrôle une Partie, ou (iii) se trouvant sous le même contrôle qu’une Partie. Aux fins de la présente définition, on entend par “contrôle”
le fait de détenir directement ou indirectement plus de cinquante pour cent (50%) des actions votantes ou titres de propriété équivalents d’une entité juridique.
(j) “Société Affiliée Autorisée”: toute Société Affiliée du Client que Devolutions autorise à utiliser les Services conformément aux Conditions de Service convenus avec le Client, mais qui n’a conclu aucune entente contractuelle directement avec Devolutions.
(k) “Sous-Traitant”: toute personne physique ou morale, autorité publique, agence ou autre organisme qui assure le Traitement de Données Personnelles au nom et pour le compte du Responsable du Traitement.
(l) “Sous-Traitant Ultérieur”: toute personne désignée par ou au nom de Devolutions en vue du Traitement de Données Personnelles pour le compte du Client dont il est question aux présentes.
(m) “Traitement”: toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
(n) “Transfert Restreint": tout (i) transfert de Données Personnelles réalisé par Devolutions en faveur d’un Sous-Traitant Ultérieur, ou (ii) transfert subséquent d’un Sous-Traitant Ultérieur en faveur d’un autre Sous-Traitant Ultérieur ou entre deux (2) établissements d’un même Sous-Traitant Ultérieur, et ce alors (dans chaque cas) qu’un tel transfert serait interdit en vertu des Xxxx Xxxxxxx sur la Protection des Données en l’absence des Clauses Contractuelles Types applicables. Par souci de clarté, il est spécifié que (a) sans restreindre la généralité de ce qui précède, les Parties ont décidé que tout transfert de Données Personnelles à partir de l’Union Européenne ou du Royaume-Uni en destination de pays tiers sera un Transfert Restreint dans la mesure où (et tant et aussi longtemps qu’) un tel transfert serait interdit par le RGPD ou le RGPD-RU (selon le cas) en l’absence des Clause Contractuelles Types à être établies ; et (b) lorsqu’un transfert de Données Personnelles est autorisé par les Xxxx Xxxxxxx sur la Protection des Données en vigueur au sein du pays exportateur (tel que dans le cas d’un transfert réalisé à partir d’un membre de l’Union européenne ou du Royaume-Uni en direction d’un pays approuvé par la Commission européenne ou l’autorité réglementaire compétente du Royaume-Uni, selon le cas, comme assurant un niveau adéquat de protection) ou fait l’objet d’une dérogation permise, un tel transfert ne sera pas assimilé à un Transfert Retreint.
(o) Les termes “transfert” et “pays tiers” ont le sens qui leur est attribué au RGPD, et tout mot, terme ou expression apparenté(e) doit être interprété(e) en conséquence.
2. Traitement de Données Personnelles
2.1 Responsabilité des Parties. Le Client, par le biais des présentes, désigne Devolutions en tant que Sous-Traitant afin de traiter des Données Personnelles pour le compte du Client par l’entremise des Services. Les Parties reconnaissent et conviennent que dans le cadre du Traitement des Données Personnelles, (i) le Client agira en tant que Responsable du Traitement, (ii) Devolutions agira en tant que Sous-Traitant (à moins que le Client ne soit lui-même un Sous-Traitant, auquel cas Devolution interviendra à titre de Sous-Traitant Ultérieur du Client),
et (iii) Devolutions pourra embaucher des Sous-Traitants Ultérieurs conformément aux dispositions de l’Article 4.
2.2 Traitement de Données Personnelles par le Client. Le Client devra, dans le cadre de son utilisation des Services, procéder au Traitement de Données Personnelles en conformité avec les exigences des Xxxx Xxxxxxx sur la Protection des Données. Par souci de clarté, les instructions transmises par le Client devront être conformes aux dispositions des Xxxx Xxxxxxx sur la Protection des Données et ce dernier sera entièrement responsable de la légalité de toute cueillette de Données Personnelles. Sans restreindre la généralité de ce qui précède, le Client devra collecter, traiter et transférer à Devolutions des Données Personnelles en conformité avec les Xxxx Xxxxxxx sur la Protection des Données et s’assurer que Devolutions puisse validement et légalement procéder au Traitement de telles Données Personnelles en conformité avec les Conditions de Service et les dispositions du présent ATD. Le Client sera entièrement responsable des actions et omissions de ses utilisateurs autorisés, ainsi que de l’usage que ces derniers feront des Services. Dans tous les cas où le Client agit lui-même à titre de Sous-Traitant, celui-ci représente et garantit à Devolutions que toutes les instructions qu’il transmet (y compris la désignation de Devolutions à titre de Sous-Traitant ou de Sous-Traitant Ultérieur) ont été approuvées par le Responsable du Traitement concerné.
2.3 Traitement de Données Personnelles par Devolutions. Devolutions devra procéder au Traitement des Données Personnelles en conformité avec les exigences des Xxxx Xxxxxxx sur la Protection des Données et uniquement de la manière décrite et sous réserve des limitations prévues ci-dessous, en vue de fournir au Client des Services correspondant à ses instructions documentées. Le Client reconnait et convient que ce qui précède, combiné aux Conditions de Service, à la documentation accompagnant les Services (telle qu’elle pourrait être amendée ou mise à jour de temps à autre) et à son utilisation et configuration des diverses caractéristiques des Services constitue les instructions documentées complètes et définitives transmises à Devolutions en lien avec le Traitement de Données Personnelles et que toutes instructions additionnelles ou alternatives devront faire l’objet d’une entente écrite entre les Parties. Sans limiter la généralité de ce qui précède, Devolutions pourra également traiter des Données Personnelles conformément aux prescriptions de la loi, auquel cas elle devra informer le Client des exigences législatives applicables avant de procéder au Traitement, à moins que la loi ne l’en empêche. Si elle en vient à la conclusion que certaines instructions transmises par le Client contreviennent à la loi ou entraîneraient un Traitement contraire à la loi, Devolutions doit l’en aviser immédiatement. Devolutions maintiendra à jour les registres de Traitement prescrits par le RGPD et le RGPD-RU, qu’elle mettra au surplus à la disposition du Client, dans la mesure applicable.
2.4 Caractéristiques du Traitement. Devolutions procèdera au Traitement des Données Personnelles dans le cadre des Services rendus conformément aux Conditions de Service. La nature, la finalité et la durée du Traitement, les catégories de Données Personnelles assujetties au Traitement et le type de Personnes Concernées dont il est question au présent ATD sont définis à l’Annexe B (“Caractéristiques du Traitement de Données Personnelles”). Le Client pourra, de temps à autre et s’il l’estime raisonnablement nécessaire en vue de se conformer aux exigences des lois et règlements applicables, apporter certaines modifications au contenu de l’Annexe B après en avoir avisé Devolutions par écrit. Devolutions, pour sa part et le cas échéant, informera le Client par écrit du fait que, selon lui, le contenu de l’Annexe B est inexact ou contrevient aux exigences des lois et règlements applicables.
2.5 Personnel de Devolutions / Confidentialité. Devolutions s’assurera en tout temps que les membres de son personnel en charge du Traitement de Données Personnelles aient connaissance des obligations liées à la confidentialité des Données Personnelles et au respect des autres exigences stipulées au présent ATD, et qu’ils y soient assujettis. Devolutions s’assurera dans chaque cas que l’accès aux Données Personnelles ne soit
strictement réservé qu’aux seules personnes ayant besoin de les connaître ou d’y accéder, et que cet accès n’ait lieu que dans le cadre de la fourniture des Services.
2.6 Divulgation de Données Personnelles. Devolutions ne divulguera les Données Personnelles à un tiers que si (a) elle a obtenu le consentement préalable du Client, (b) un tribunal de juridiction compétente lui a ordonné de le faire, (c) elle est tenue de le faire en vertu de la loi (auquel cas elle informera le Client des exigences législatives applicables, à moins que la loi ne l’en empêche), ou (d) ses procureurs, vérificateurs ou conseillers en matière de protection de données ont besoin d’en connaître, sous réserve d’être assujettis à une obligation de confidentialité.
2.7 Divulgation de Données Personnelles en faveur d’autorités gouvernementales. À moins d’y être strictement tenue en vertu de la loi, Devolutions ne divulguera aucunes Données Personnelles à quelque organisme chargé de l’application de la loi ou autre autorité gouvernementale. À moins que la loi ne l’en empêche, elle avisera sans tarder (i.e. le plus tôt possible avant de procéder à la divulgation) le Client de toute demande de divulgation.
2.8 Conservation et effacement de Données Personnelles. Devolutions conservera les Données Personnelles (i) le temps nécessaire qu’il lui faudra pour rendre les Services, (ii) au cours de l’intervalle spécifié aux Conditions de Service, ou (iii) aussi longtemps que le prescrit la loi. À l’expiration de la période de conservation applicable, Devolutions procédera à l’effacement complet et permanent de toutes les copies de Données Personnelles qu’elle aura alors en sa possession ou sous son contrôle.
3. Droits des Personnes Concernées
3.1 Demande d’accès. Si une Personne Concernée exerce l’un ou l’autre des droits que lui confèrent les Xxxx Xxxxxxx sur la Protection des Données à l’égard de quelques Données Personnelles dont Devolutions a assuré le Traitement au nom du Client (ci-après, et dans chaque cas, une “Demande de Personne Concernée”), Devolutions réacheminera la demande à l’attention du Client ou indiquera à la Personne Concernée que sa demande doit être adressée directement au Client. Il sera de la responsabilité du Client de répondre à chaque Demande de Personne Concernée, Devolutions s’engageant à lui prêter assistance dans le cadre d’une telle réponse. Le Client assumera tous les coûts que Devolutions pourrait encourir dans un tel contexte.
3.2 Assistance. Dans l’éventualité où le Client, dans le cadre de son utilisation des Services, n’était pas en mesure de recevoir directement quelque Demande de Personne Concernée, Devolutions, d’une manière conforme à son rôle de Sous-Traitant et compte tenu de la nature du Traitement et des Données à sa disposition, (i) rendra disponible au Client les Données Personnelles des Personnes Concernées, et (ii) déploiera des efforts commercialement raisonnables en vue d’aider le Client à honorer son obligation de répondre aux Demandes de Personnes Concernées, dans la mesure où cela s’avère possible et si elle est légalement autorisée à le faire. Le Client assumera tous les coûts que Devolutions pourrait encourir dans le contexte d’une telle assistance.
4. Autorisation relative aux Sous-Traitants Ultérieurs
4.1 Embauche de Sous-Traitants Ultérieurs. Le Client autorise Devolutions à retenir (ou à continuer d’utiliser) les services de Sous-Traitants Ultérieurs dans le cadre du Traitement de Données Personnelles en son nom.
4.2 Liste de Sous-Traitants Ultérieurs. La liste des Sous-Traitants Ultérieurs qu’emploie actuellement Devolutions dans le cadre du Traitement de Données Personnelles est disponible à l’adresse
xxxxx://xxxxxxxxxxx.xxx/xxxxx/xxxxxx-xxxxxxxx-xxxxx (ci-après, la “Liste de Sous-Traitants”). Le Client autorise l’utilisation des Sous-Traitants Ultérieurs dont le nom figure à la Liste de Sous-Traitants à jour en date de l’émission du présent ATD.
4.3 Changements apportés à la Liste de Sous-Traitants / Droit du Client de s’objecter. Devolutions pourra, au moyen d’un préavis écrit d’au moins trente (30) jours transmis au Client, apporter des changements à la Liste de Sous-Traitants. Le Client doit s’abonner à la réception des avis de mise à jour de la Liste de Sous- Traitants en transmettant une demande à cet effet à l’adresse courriel xxxxxxx@xxxxxxxxxxx.xxx. Le Client pourra, pour des motifs raisonnables ayant trait à la protection de Données Personnelles, s’objecter à l’embauche d’un nouveau Sous-Traitant Ultérieur en transmettant un avis écrit à Devolutions au cours des quatorze (14) jours de calendrier qui suivront la réception d’un avis de mise à jour. Tout défaut de s’objecter par écrit à l’intérieur d’un tel délai de quatorze (14) jours sera réputé équivaloir à l’acceptation du nouveau Sous- Traitant Ultérieur par le Client. Dans l’éventualité où le Client s’objectait valablement à l’embauche d’un nouveau Sous-Traitant Ultérieur, Devolutions déploiera des efforts raisonnables en vue de suggérer au Client d’apporter certaines modifications raisonnables aux Services, à sa configuration interne ou à l’utilisation qu’il fait des Services, le tout en vue d’éviter que le Sous-Traitant Ultérieur auquel le Client s’objecte procède au Traitement de quelques Données Personnelles. S’il s’avère que Devolutions est incapable de procéder à de tels changements à la satisfaction des deux Parties à l’intérieur d’un délai raisonnable, chacune des Parties pourra, à l’exclusion de tout autre droit ou recours, résilier le présent ADT ainsi que les Conditions de Service applicables en regard des seuls Services que Devolutions ne peut fournir sans faire intervenir le Sous-Traitant Ultérieur auquel le Client s’objecte, ce dernier ayant alors, au prorata, droit au remboursement des frais qu’il aura payés à l’avance à l’égard des Services en question. Devolutions pourra, jusqu’à ce qu’une décision finale soit prise au sujet de l’embauche du nouveau Sous-Traitant Ultérieur, suspendre le Traitement des Données Personnelles visées et/ou suspendre l’accès aux Services correspondants. Il est entendu et convenu que dans l’éventualité d’une résiliation des Conditions de Service intervenant conformément aux dispositions du présent paragraphe, le Client ne pourra exercer aucun autre droit ou recours à l’encontre de Devolutions.
4.4 Ententes liant les Sous-Traitants Ultérieurs. Devolutions a conclu avec chacun de ses Sous-Traitants Ultérieurs une entente écrite et contraignante définissant certaines mesures de sauvegarde assurant la protection de Données Personnelles en conformité avec les Xxxx Xxxxxxx sur la Protection des Données. Il est entendu et convenu que Devolutions demeurera responsable de toute contravention aux dispositions du présente ATD de la part d’un Sous-Traitant Ultérieur.
4.5 Remplacement d’urgence. Devolutions pourra procéder au remplacement d’un Sous-Traitant Ultérieur s’il s’avère urgent et nécessaire de le faire en vue d’assurer la continuité des Services et que la raison du changement échappe à tout contrôle raisonnable de sa part, auquel cas elle avisera le Client du remplacement le plus rapidement possible, ce dernier ayant alors le droit de s’objecter conformément aux dispositions du paragraphe 4.3.
5. Sécurité
5.1 Mesures de sécurité. Devolutions mettra en place certaines mesures physiques, techniques et organisationnelles, conformes aux normes reconnues par l’industrie et aux Xxxx Xxxxxxx sur la Protection des Données, afin d’assurer l’intégrité, la sécurité et la confidentialité des Données Personnelles, et visant notamment à les protéger contre tout(e) accès ou Traitement illégal ou non autorisé, leur divulgation non autorisée, ou leur altération, perte ou destruction accidentelle ou illégale (ci-après, les “Mesures de Sécurité”). De telles Mesures de Sécurité devront comprendre les mesures indiquées à l’Annexe C. Aucune des
dispositions du présent paragraphe ne libère ou décharge le Client de son obligation de mettre en place et de maintenir ses propres mécanismes de protection assurant l’intégrité, la sécurité et la confidentialité des Données Personnelles qu’il traite en tant que Responsable du Traitement ou de Sous-Traitant.
5.2 Vérifications. À la demande écrite et raisonnable du Client, qui ne pourra être soumise qu’à intervalles raisonnables, et sous réserve des obligations de confidentialité définies aux Conditions de Service et au présent ATD, Devolutions rendra disponible à tout Client qui n’est pas dans les faits l’un de ses concurrents (ou encore à tout vérificateur indépendant du Client (i) que Devolutions aura raisonnablement préapprouvé, et (ii) soumis à des engagements de confidentialité que Devolutions estime satisfaisants) (ci-après, un “Vérificateur”) toutes les informations dont l’un ou l’autre a besoin en vue d’établir la conformité des opérations de Traitement aux dispositions du présent ATD et aux exigences des Xxxx Xxxxxxx sur la Protection des Données. Toute demande de vérification obéira à la procédure suivante: (1) Devolutions répondra aux questions que le Client lui posera; et (2) dans l’éventualité où le Client en venait raisonnablement à la conclusion que les réponses fournies requièrent la tenue d’une enquête approfondie, Devolutions collaborera à des vérifications (pouvant comprendre, entre autres choses, des inspections physiques) effectuées par le Client ou son Vérificateur, conditionnellement à ce que: (i) le Client transmette à Devolutions un avis de vérification comprenant un plan de vérification analysé et approuvé par le Chef de la Sécurité des Systèmes d’Information de Devolutions et conforme aux politiques et procédures de sécurité que cette dernière a mises en place; (ii) de telles vérifications aient lieu en présence d’un représentant du Chef de la Sécurité des Systèmes d’Information de Devolutions ou de quelque autre personne désignée par ce représentant ; (iii) aucune vérification n’ait pour effet de perturber les activités de Traitement de Devolutions, de causer quelque dommage que ce soit à ses installations, ses équipements, son personnel, ou ses affaires, ou de compromettre l’intégrité, la sécurité ou la confidentialité de Données Personnelles en lien avec d’autres Clients ; (iv) le Client n’utilise les données, documents, conclusions et résultats se rapportant aux vérifications et/ou inspections réalisées qu’à seule fin de confirmer la conformité des activités de Traitement aux dispositions du présent ATD, et ne les divulgue à quelque tiers sans obtenir le consentement écrit de Devolutions ; et (v) sur demande de Devolutions, le Client rende tous les dossiers et autres documents que Devolutions lui a fournis dans le cadre ou au cours de la vérification et/ou de l’inspection.
5.3 Coûts associés aux vérifications. Le Client assumera tou(te)s les frais, coûts, dépenses et charges encourus dans le cadre de vérifications et/ou d’inspections réalisées conformément aux dispositions du paragraphe 5.2. Il devra également rembourser à Devolutions (aux tarifs des honoraires professionnels facturés par cette dernière à ce moment, qui seront disponibles sur demande) le temps qu’elle aura investi dans le cadre de toute vérification de ses installations. Devolutions et le Client devront, avant que quelque vérification des installations ne soit admise à débuter, convenir de l’étendue, du moment et de la durée d’une telle vérification, ainsi que des tarifs applicables au remboursement dû par le Client. Tout tarif applicable à un remboursement devra être raisonnable et prendre en considération les ressources déployées par Devolutions. Le Client devra sans délai informer Devolutions de la nature et de l’étendue de toute irrégularité ou situation de non-conformité détectée au cours d’une vérification.
5.4 Évaluation de l’impact sur la protection des données et consultation préalable. Sur demande et aux frais du Client, Devolutions aidera raisonnablement ce dernier à satisfaire à l’obligation (imposée par les Xxxx Xxxxxxx sur la Protection des Données) de réaliser une évaluation de l’impact que sont susceptibles d’avoir les Services utilisés sur la protection des données, si tant est que le Client n’a pas autrement accès aux informations pertinentes et que Devolutions, pour sa part, y a accès. Devolutions, toujours aux frais du Client, prêtera à ce dernier une assistance raisonnable dans le cadre de toute collaboration ou consultation préalable avec une quelconque Autorité de Contrôle, telle qu’elle pourrait être exigée par les Xxxx Xxxxxxx sur la Protection des Données.
6. Notification et gestion d’Incidents de Sécurité
6.1 Incidents de Sécurité. Dans l’éventualité où elle prenait connaissance d’une quelconque faille de sécurité entraînant la destruction, la perte, l’altération ou la divulgation illégale, accidentelle ou non autorisée de Données Personnelles alors qu’elle (ou l’un ou l’autre de ses Sous-Traitants Secondaire) en assurait le Traitement (ci- après, dans chaque cas, un “Incident de Sécurité”), Devolutions (i) avisera sans délai indu le Client de la survenance de l’Incident de Sécurité, en précisant (a) dans quelles circonstances l’Incident de Sécurité s’est produit, (b) quelles Données Personnelles sont affectées par l’Incident de Sécurité, (c) combien de Personnes Concernées sont visées par l’Incident de Sécurité, (d) quelles mesures correctrices ont été (et seront) adoptées en vue de limiter au maximum l’impact et les conséquences de l’Incident de Sécurité, (e) la personne ou le point de contact chez Devolutions que le Client peut contacter, ainsi que (f) toutes les autres informations qu’un Sous- Traitant a l’obligation de communiquer en vertu des Xxxx Xxxxxxx sur la Protection des Données, dans la mesure où Devolutions dispose de telles informations, ou au fur et à mesure qu’elles deviennent disponibles ; (ii) tiendra une enquête au sujet de l’Incident de Sécurité ; et (iii) prendra des mesures raisonnables en vue de limiter au maximum l’impact et les conséquences de l’Incident de Sécurité, dans la seule mesure où il lui est raisonnablement possible de le faire. Aucune des obligations dont il est question au présent paragraphe ne s’appliquera en cas d’Incidents de Sécurité causés par le Client ou ses utilisateurs ou en raison d’instructions qu’ils auront transmises.
6.2 Notification. Toute notification portant sur la survenance d’un Incident de Sécurité doit être transmise à un ou plusieurs représentants du Client par tout moyen que Devolutions estimera approprié, y compris le courrier électronique. Il est de l’entière responsabilité du Client (i) de s’assurer que les informations de contact qu’il a communiquées à Devolutions sont exactes et à jour, (ii) de se conformer aux obligations que lui imposent les Xxxx Xxxxxxx sur la Protection des Données, et (iii) de satisfaire à son obligation de déclarer sans délai tout Incident de Sécurité aux autorités réglementaires pertinentes, dont notamment les Autorités de Contrôle. Le Client doit promptement dénoncer à Devolutions toute utilisation abusive ou faille de sécurité relative à ses comptes ou à ses informations de connexion.
6.3 Assistance. Devolutions déploiera des efforts raisonnables en vue d’aider le Client à honorer son obligation d’aviser les Personnes Concernées et l’Autorité de Contrôle compétente de la survenance de tout Incident de Sécurité, conformément aux Lois Portant sur la Protection des Données Personnelles. Aucune réponse ou déclaration émise par Devolutions en regard d’un Incident de Sécurité ne devra être interprétée comme une quelconque admission de faute ou de responsabilité.
7. Sociétés Affiliées Autorisées
7.1 Relation contractuelle. Le Client, en consentant aux Conditions de Service, conclut le présent ATD en son propre nom et, le cas échéant, au nom et pour le compte de ses Sociétés Affiliées Autorisées, établissant par le fait même un ATD distinct entre Devolutions et chacune de ces Sociétés Affiliées Autorisées, le tout sous réserve des dispositions de la Convention, et tout particulièrement celles des Articles 7 et 8. Chacune des Sociétés Affiliées Autorisées convient d’être liée par les obligations stipulées au présent ATD ainsi qu’aux Conditions de Service, dans la mesure applicable. Par souci de clarté, aucune Société Affiliée Autorisée n’est ou ne deviendra partie aux Conditions de Service, n’étant liée que par les dispositions du présent ATD. Tout accès ou utilisation des Services par une Société Affiliée Autorisée doit être conforme aux Conditions de Service, et toute contravention à celles-ci par une Société Affiliée Autorisée est réputée être celle du Client.
7.2 Communication. Le Client qui s’est engagé en vertu des Conditions de Service sera responsable de la coordination de tous les avis échangés avec Devolutions en regard du présent ATD, et pourra émettre et recevoir de tels avis au nom de ses Sociétés Affiliées Autorisées.
7.3 Droits des Société Affiliées Autorisées. La Société Affiliée Autorisée qui devient partie à l’ATD pourra, dans toute la mesure permise par les Xxxx Xxxxxxx sur la Protection des Données, exercer les droits et recours définis aux présentes sous réserve de ce qui suit :
7.3.1 À moins que les Xxxx Xxxxxxx sur la Protection des Données n’exigent d’une Société Affiliée Autorisée qu’elle exerce un droit ou un recours prévu au présent ATD en son nom et directement à l’encontre de Devolutions, (i) seul le Client s’étant engagé en vertu des Conditions de Service pourra exercer un tel droit ou recours au nom de sa Société Affiliée Autorisée, et (ii) le Client s’étant engagé en vertu des Conditions de Service devra exercer un tel droit ou recours non pas séparément à l’égard de chaque Société Affiliée Autorisée mais de manière globale, au nom de toutes et chacune des Sociétés Affiliées Autorisées (tel que prévu, à titre d’illustration, au sous-paragraphe 7.3.2 ci-dessous).
7.3.2 Le Client devra, chaque fois qu’il effectue une vérification conformément aux dispositions du paragraphe 5.2, prendre toutes les mesures raisonnables en vue de limiter au maximum tout impact préjudiciable sur les activités de Devolutions et de ses Sous-Traitants Ultérieurs, notamment en combinant en une seule vérification les demandes d’enquête soumises au nom de différentes Sociétés Affiliées Autorisées, dans la mesure du possible.
8. Responsabilité limitée
Dans toute la mesure permise par la loi et sans égard à quelque limitation de responsabilité qui pourrait être stipulée aux Conditions de Service de temps à autre, la responsabilité globale encourue par Devolutions en regard du présent ATD ou de quelque ATD conclu directement avec une Société Affiliée Autorisée, ou en raison de quelque contravention de Devolutions aux dispositions d’une ou de plusieurs Lois Portant sur la Protection des Données, qu’elle se fonde sur un contrat, un quasi-délit, un acte de négligence ou quelque autre théorie du droit, ne pourra en aucunes circonstances excéder les frais d’abonnement payés par le Client au cours des douze (12) mois ayant immédiatement précédé la survenance de l’événement ayant entraîné la responsabilité. Par souci de clarté, (i) la responsabilité limitée stipulée ci-dessus constitue la responsabilité globale maximale que Devolutions peut encourir à l’égard de toutes les réclamations que le Client ou ses Sociétés Affiliées Autorisées pourraient soumettre en lien avec tous et chacun des ATD en vigueur, et ne doit d’aucune manière être interprétée comme s’appliquant individuellement à chacun du Client et de quelque Société Affiliée Autorisée s’étant engagée en vertu d’un ATD ; et
(ii) dans l’éventualité où les dommages-intérêts et/ou les indemnités payés au Client et/ou à ses Sociétés Affiliées Autorisées étaient supérieurs à la limite de responsabilité établie aux Conditions de Service, le Client et/ou ses Sociétés Affiliées Autorisées seront forclos de réclamer quelques autres dommages-intérêts en vertu des Conditions de Service (dans la mesure où de tels dommages-intérêts sont couverts par la limite de responsabilité).
9. Transferts Restreints
9.1 Clauses Contractuelles Types. Dans l’éventualité où le Traitement de Données Personnelles au nom du Client et/ou de ses Sociétés Affiliées Autorisées en vertu du présent ATD ou dans le cadre des Services impliquait un Transfert Restreint, les Clauses Contractuelles Types devront être conclues entre les parties concernées par un tel Transfert Restreint.
9.2 Transferts transfrontaliers effectués par Devolutions. S’il s’avère que Devolutions doive transférer des Données Personnelles à un organisme de juridiction internationale ou à un Sous-Traitant Ultérieur se trouvant dans un pays tiers, elle s’assurera qu’un tel transfert s’accompagne de mesures de sauvegarde adéquates et soit documenté conformément aux exigences stipulées aux Lois Portant sur la Protection des Données. Sans restreindre la généralité de ce qui précède, Devolutions s’assurera que tout transfert de Données Personnelles de l’Union européenne ou du Royaume-Uni s’effectue: (i) en faveur d’un pays offrant un niveau adéquat de protection en vertu d’une décision d’adéquation publiée par les autorités compétentes de l’Union européenne ou du Royaume-Uni (selon le cas), sans qu’il soit nécessaire d’envisager d’autres mesures de sauvegarde ; ou
(ii) en faveur d’une entité juridique ou d’un groupe d’entités juridiques avec laquelle (ou lequel) Devolutions s’est liée en vertu des Clauses Contractuelles Types applicables à ce moment.
9.3 Transferts Restreints assujettis aux Nouvelles CCT. Aux fins des Nouvelles CCT :
9.3.1 En cas de Transferts Restreints entre Devolutions et des Sous-Traitants Ultérieurs se trouvant dans des pays tiers, les parties seront réputées avoir choisi le Module Trois (transfert de Sous-Traitant à Sou- Traitant) ;
9.3.2 Aux fins de la Clause 9 (“Recours à des sous-traitants ultérieurs”), les Parties seront réputées avoir choisi l’Option 2 (Autorisation Écrite Générale), conformément aux dispositions de l’Article 4 du présent ATD ;
9.3.3 Aux fins de la Clause 17 (“Droit Applicable”), les Parties seront réputées avoir choisi les lois en vigueur au sein de la République d’Irlande ; et
9.3.4 Aux fins de la Clause 18 (“Élection de for et juridiction”), les Parties seront réputées avoir choisi de confier tout litige en lien avec les Nouvelles CCT à la compétence exclusive des tribunaux civils siégeant en la ville de Dublin (Irlande).
9.3.5 À l’Annexe I, Partie A des Nouvelles CCT : Exportateur de données : Client
Informations de contact : L’adresse ou les addresses courriel indiquée(s) par le Client à son compte
Rôle de l’Exportateur de données : Le rôle de l’Exportateur de données est stipulé au paragraphe 2.1 du
présent ADT.
Signature et date : Dans la mesure où les conditions prévues au paragraphe 9.1 du présent ADT s’appliquent, en acceptant les Conditions de Service, l’Exportateur de données est réputé avoir signé les Nouvelles CCT incorporées aux présentes, incluant leurs Annexes, en date effective de l’acceptation des Conditions de service.
Importateur de données : Devolutions inc.
Informations de contact : Les informations de contact sont stipulées à l’article 12 du présent ADT.
Rôle de l’Importateur de données : Le rôle de l’Importateur de données est stipulé au paragraphe 2.1 du
présent ADT.
Signature et date : Dans la mesure où les conditions prévues au paragraphe 9.1 du présent ADT s’appliquent, en acceptant les Conditions de Service, l’Importateur de données est réputé avoir signé les Nouvelles CCT incorporées aux présentes, incluant leurs Annexes, en date effective de l’acceptation des Conditions de service.
9.4 Transferts Restreints assujettis à l’Accord international sur le transfert des données du Royaume-Uni. Les Parties conviennent que, aux fins de l’Accord international sur le transfert des données du Royaume-Uni :
9.4.1 Au Tableau 1 de l’Accord international sur le transfert des données du Royaume-Uni, les informations de contact de chacune des Parties se trouvent au sous-paragraphe 9.3.5 du présent ADT.
9.4.2 Au Tableau 2 de l’Accord international sur le transfert des données du Royaume-Uni, l’information relative à la version des CCT Approuvées de l’UE (Approved EU SCCs), aux modules et aux clauses sélectionnées auxquels l’Accord international sur le transfert des données du Royaume-Uni est annexé se trouvent au paragraphe 9.3 du présent ADT.
9.4.3 Au Tableau 3 de l’Accord international sur le transfert des données du Royaume-Uni :
1. La liste des Parties se trouve au sous-paragraphe 9.3.5 du présent ADT.
2. La description du transfert est stipulé à l’Annexe B (Caractéristiques du traitement de données
personnelles) du présent ADT.
3. L’Annexe II se trouve l’Annexe C (Mesures de sécurité) du présent ADT.
4. La liste des sous-traitants est située au xxxxx://xxxxxxxxxxx.xxx/xxxxx/xxxxxx-xxxxxxxx-xxxxx.
9.4.4 Au Tableau 4 de l’Accord international sur le transfert des données du Royaume-Uni, l'importateur et l'exportateur peuvent tous deux mettre fin à l’Accord international sur le transfert des données du Royaume-Uni conformément à ses termes.
9.5 Modifications aux Clauses Contractuelles Types. Le Client pourra, de temps à autre et à l’expiration d’un préavis écrit d’au moins trente (30) jours, (a) introduire une modification aux Clauses Contractuelles Types s’appliquant aux Transferts Restreints assujettis aux dispositions de Xxxx Xxxxxxx sur la Protection de Données spécifiques, dans la mesure où de telles variations sont nécessaires en raison de modifications apportées à de telles Lois ou en raison d’une décision rendue par une autorité compétente en vertu de telles Xxxx, afin que ces Transferts Restreints puissent être effectués (ou continuer à être effectués) sans qu’il y ait contravention aux Lois en question ; et (b) proposer toute modification aux dispositions du présent ATD qu’il estime raisonnablement nécessaire en vue de satisfaire aux exigences de toute Loi Portant sur la Protection des Données. Si le Client transmet un tel préavis écrit, (i) il ne pourra, sans motif raisonnable, retenir ou retarder son consentement à quelque modification correspondante que Devolutions pourrait suggérer à l’égard des dispositions du présent ATD, et (ii) les Parties devront sans délai discuter des modifications proposées et négocier de bonne foi les moyens de les mettre en œuvre, ou adopter quelques autres modifications visant à satisfaire le plus rapidement possible aux exigences dont il est question au préavis écrit du Client.
9.6 Instructions. Les dispositions du présent ATD et des Conditions de Service constituent les instructions documentées complètes et définitives que le Client transmet à Devolutions en lien avec le Traitement de Données Personnelles en son nom ou au nom de ses Sociétés Affiliées Autorisées. Toutes instructions additionnelles ou alternatives devront faire l’objet d’une entente écrite entre les Parties.
10. Dispositions Diverses
10.1 Contradiction. En cas de conflit ou de contradiction :
10.1.1 Entre les dispositions des Conditions de Service et celles du présent ATD, ces dernières auront préséance et priorité à l’égard des matières traitées aux présentes. Les exigences stipulées aux Conditions de Service demeureront en vigueur et conserveront leur plein effet dans la mesure où elles n’entrent pas en conflit avec (ou ne sont pas supplantées ou remplacées par) les dispositions du présent ATD.
10.1.2 Entre le corps de texte du présent ATD et de ses Annexes (exception faite des Clauses Contractuelles Types) et les Clauses Contractuelles Types, ces dernières auront préséance et priorité.
10.2 Terme. Le présent ATD demeurera en vigueur tant et aussi longtemps que Devolutions traitera des Données Personnelles au nom et pour le compte du Client dans le cadre de la fourniture des Services. Il prendra fin automatiquement au moment où les Conditions de Service seront résiliées.
10.3 Effet Contraignant. Les termes, conditions et exigences stipulés au présent ATD lieront et s’appliqueront au bénéfice non seulement des Parties mais également de leurs successeurs, ayants-droits et représentants légaux respectifs.
11. Liste des Annexes
Annexe A: Services
Annexe B: Caractéristiques du Traitement de Données Personnelles Annexe C: Mesures de Sécurité
12. Contact
Tout Client qui estime que Devolutions fait défaut de se conformer à ses engagements en matière de sécurité et de vie privée peut contacter notre service à la clientèle (xxxxx://xxxxxxxxxxx.xxx/xxxxxxx) ou notre Directeur responsable de la protection de la vie privée (xxxxxxx@xxxxxxxxxxx.xxx), ou encore nous écrire à l’adresse suivante :
Devolutions Inc.
0000 Xxxxx-Xxxx Xxxxxx Xxxxxxxxx (Xxxxxx)
X0X 0X0
Xxxxxx
XXXXXX.XXX est le représentant désigné par Devolutions au sein de l’Union Européenne et du Royaume-Uni en matière de protection des données en vertu de l’Article 27 du RGPD et du RGPD-RU. Il est possible de contacter XXXXXX.XXX aux coordonnées ci-dessous :
Adresse au Royaume-Uni / Informations de Contact
adresse: Xxxxxx Xxxxxx, 00X Xxxxxx Xxxx, Xxxxxxx, XX00 0XX site web: xxx.xxxxxx.xxx
courriel: xxxx@xxxxxx.xxx téléphone: x00 (0) 0000 000000
Adresse au sein de l’UE / Informations de Contact
adresse: Xxxxx 00000, 0 Xxxxxxxxxxx Xxxxxx, Xxxxxx 0, Xxxxxxx, X00 X000 site web: xxx.xxxxxx.xxx
courriel: xxxx@xxxxxx.xxx téléphone: x00 (0) 0000 000000
ANNEXE A – SERVICES
Aux fins du présent ATD, on entend par “Service” la fourniture de certaines capacités fonctionnelles que le Client et ses usagers configureront et utiliseront en lien avec les outils, services et produits suivants :
• Password Hub (Business & Personal)
• Devolutions Workspace
• RDM Online Services, incluant notamment :
o Devolutions Online Drive
o Devolutions Online Backup
o Custom Installer Service
• Soutien à la clientèle
ANNEXE B – CARACTÉRISTIQUES DU TRAITEMENT DE DONNÉES PERSONNELLES
(Annexe I des Nouvelles CCT / Table 3 de l’Accord international sur le transfert des données du Royaume-Uni)
Nature et finalité du Traitement
Devolutions procédera au Traitement de Données Personnelles dans le cadre des Services qu’elle rendra au Client en vertu des Conditions de Service ou des instructions transmises par le Client au cours de son utilisation des Services, ou de manière générale conformément aux dispositions du paragraphe 2.3 de l’ATD.
Durée du Traitement
Sous réserve des dispositions du paragraphe 2.8 de l’ATD, le Traitement de Données Personnelles se poursuivra tant et aussi longtemps que le Client aura le droit d’utiliser les Services, à moins que le Client ne transmette des instructions à l’effet contraire ou que d’autres dispositions de l’ATD n’en prévoient autrement.
Catégories de Personnes Concernées
Selon l’utilisation que le Client fera des Services, les catégories de Personnes Concernées pourront notamment inclure, sans s’y limiter :
• Les utilisateurs et représentants actuels, anciens et potentiels du Client, tels que des employés, des consultants et des collaborateurs ;
• Les clients et personnes-ressources du Client (qui sont des personnes physiques), ainsi que les employés, consultants et collaborateurs de personnes morales actuelles, anciennes et potentielles avec lesquelles le Client fait affaire ;
• Toute autre catégorie de Personnes Concernées figurant aux registres maintenus à jour par le Client à titre de Responsable du Traitement en vertu de l’Article 30 du RGPD.
Types de Données Personnelles
Selon l’utilisation que le Client fera des Services, les Données Personnelles que traitera Devolutions dans le cadre de la fourniture des Services pourront notamment comprendre, sans s’y limiter :
• Les Données Personnelles que le Client choisit de communiquer ou de soumettre dans le cadre des Services, qui pourront comprendre n’importe quelle catégorie de Données Personnelles identifiée aux registres maintenus à jour par le Client à titre de Responsable du Traitement en vertu de l’Article 30 du RGPD ;
• L’un ou l’autre des types de Données Personnelles dont il est spécifiquement question à l’Article 4 du RGPD.
Autorité de Contrôle compétente : las Data Protection Commission de la République d’Irlande.
ANNEXE C – MESURES DE SÉCURITÉ
(Annexe II des Nouvelles CCT / Table 3 de l’Accord international sur le transfert des données du Royaume-Uni)
Sans restreindre la généralité de ce qui précède, les Mesures de Sécurité mises en place par Devolutions doivent comprendre les éléments énumérés ci-dessous et s’appliquer à toutes les Données Personnelles dont elle assure le Traitement en vertu du présent ATD :
(a) Formation et sensibilisation en matière de sécurité. Un programme annuel obligatoire de formation et de sensibilisation à la sécurité applicable à tous les membres du personnel de Devolutions (y compris son personnel de direction), devant inclure (i) des formations au sujet de la mise en œuvre et du respect de son Programme de Sécurité, et (ii) la promotion d’une culture axée sur la sensibilisation à la sécurité, notamment au moyen de communications périodiques en provenance de la haute direction.
(b) Vérification et surveillance des antécédents. Des politiques et des procédures encadrant la vérification des antécédents de tous les employés actuels et potentiels de Devolutions susceptibles d’avoir accès à des Données Personnelles, y compris la vérification du casier judiciaire, dans la mesure permise par la loi. Une telle vérification devra avoir lieu sur une base régulière en vue d’assurer que tous les membres du personnel de Devolutions se conforment en tout temps aux normes et exigences qui leur sont applicables.
(c) Contrôle des accès. Des politiques, des procédures et des mécanismes de contrôle visant à (i) limiter l’accès à ses systèmes d’information et aux installations les hébergeant aux seuls employés autorisés ayant besoin d’y accéder, (ii) assurer que les Données Personnelles accessibles aux employés autorisés soient limitées à ce qui est strictement requis pour exercer leurs fonctions, (iii) empêcher aux membres du personnel et autres personnes qui ne devraient pas avoir accès à des Données Personnelles d’en obtenir effectivement l’accès ; et (iv) retirer les droits d’accès en temps opportun en cas de changements affectant les tâches ou le poste de l’employé, ou suite à l’échec d’une vérification des antécédents. De tel(le)s politiques, procédures et mécanismes de contrôle devront comprendre des mesures d’authentification multi-facteurs et l’adoption de directives assurant que tout mot de passe est suffisamment complexe.
(d) Sécurité physique et environnementale. Des mesures concrètes garantissant raisonnablement que l’accès physique aux installations de Devolutions où des Données Personnelles sont stockées (y compris les salles de serveurs) est réservé aux membres du personnel autorisés, et que des dispositifs de contrôle environnemental sont mis en place en vue de détecter, de prévenir et d’éviter toute destruction de ressources ou de données en raison de conditions climatiques extrêmes. Ces mesures incluent notamment (i) l’enregistrement et la surveillance de toute tentative d’accès aux installations non autorisée ; (ii) un système de surveillance par caméra vidéo à tous les points d’entrée internes et externes jugés critiques ; (iii) des systèmes permettant de surveiller et de contrôler la température ambiante et le taux d’humidité afin de les maintenir à des niveaux adéquats pour le matériel informatique ; et (d) des systèmes d’alimentation sans interruption (ASI) et des génératrices de secours fournissant du courant d’appoint lors de pannes.
(e) Procédures entourant les incidents impliquant des données. Un plan d’intervention définissant les procédures à suivre en cas d’Incident de Sécurité affectant les données. Ces procédures incluent notamment (i) la formation d’une équipe d’intervention interne dirigée par un responsable ; (ii) évaluation des risques associés à l’incident et identification des personnes susceptibles d’être affectées ; (iii) mécanisme de rapport à l’interne et procédure de notification en cas de divulgation non autorisée de Données Personnelles ; (iv) documentation des mesures
adoptées et des intervenants qui en sont responsables pour fins d’analyse ultérieure et de préparation en cas de procédures judiciaires ; et (v) exécution et documentation d’une analyse des causes probables et d’un plan de remédiation.
(f) Planification des contingences. Des politiques et des procédures permettant de réagir à une situation d’urgence ou à quelque autre imprévu (tel qu’un incendie, un acte de vandalisme, une panne de système, une épidémie ou une catastrophe naturelle) susceptible d’endommager des Données Personnelles ou les systèmes de production qui les contiennent. De telles procédures incluent : (i) une politique de sauvegarde périodique de nos systèmes de fichiers et bases de données de production contenant des Données Personnelles de Clients, selon des échéanciers prédéfinis ; (ii) un plan formel de reprise d’activités en cas de désastre applicable aux installations de Devolutions, lequel doit être testé sur une base régulière ; (iii) un procédé formel de gestion des événements imprévus visant à minimiser les pertes de ressources vitales.
(g) Contrôles d’audit. Du matériel informatique, des logiciels et/ou des mécanismes procéduraux surveillant et documentant l’activité au sein des systèmes d’information qui contiennent ou utilisent des informations électroniques. De tels mécanismes doivent permettre d’attribuer toute action à une personne spécifique et identifiable.
(h) Intégrité des données. Des politiques et des procédures assurant la disponibilité, l’intégrité et la confidentialité des Données Personnelles de Clients, et les protégeant de toute divulgation, altération ou destruction non appropriée.
(i) Sécurité en matière de stockage et de transmission. Des mesures de sécurité visant à empêcher tout accès non autorisé à des Données Personnelles de Clients transmises via un réseau public de communications électroniques ou stockées de manière électronique. De telles mesures incluent : (i) le fait de limiter l’utilisation de dispositifs de stockage portatifs (tels que les clés USB) pour stocker ou transférer des Données Personnelles de Clients qu’à des fins nécessaires, spécifiques et documentées ; et (ii) exiger le chiffrement robuste de toutes les Données Personnelles de Clients qui sont stockées au repos sur nos systèmes ou en transit sur le réseau.
(j) Responsabilité en matière de sécurité. Attribuer des devoirs et des responsabilités spécifiques en matière de développement, de mise en œuvre et de mise à jour de notre Programme de Sécurité de l’Information, incluant
(i) la désignation d’un Chef de la Sécurité assumant cette responabilité de manière générale, et (ii) l’établissement de rôles et de tâches spécifiques en lien avec la sécurité pour chaque personne assumant des responsabilités en cette matière.
(k) Tests. Confier annuellement à une firme externe indépendante l’exécution de tests et d’audits des principaux contôles, systèmes et procédures de notre Programme de Sécurité afin de confirmer leur mise en œuvre adéquate et leur efficacité à adresser les risques et menaces identifiés. Si applicable, ces vérifications incluent :
(i) des évaluations internes des risques ; et (ii) des rapports d’audits couvrant les certifications XXX 00000 et Service Organization Control 2 (SOC2) (ou tout rapport équivalent répondant aux normes reconnues dans l’industrie).
(l) Journalisation et surveillance. Une journalisation et surveillance continue des activités se déroulant sur nos réseaux et systèmes, comprenant des journaux d’erreurs sur nos serveurs et des alertes de sécurité faisant état de problèmes potentiels. Ces activités de journalisation et de surveillance s’effectuent également par (i) une revue des changements apportés aux systèmes d’authentification, d’autorisations et de vérifications ; (ii) une revue
régulière des accès privilégiés aux systèmes de production de Devolutions ; et (iii) l’embauche de tiers en vue de la réalisation périodique de tests d’intrusion et d’évaluations des vulnérabilités de nos réseaux.
(m) Gestion de la configuration et des changements. Le maintien de politiques et de procédures encadrant la gestion des changements que Devolutions apporte à ses systèmes de production, ses applications et ses bases de données, y compris notamment (i) un processus de documentation, de mise à l’épreuve et d’approbation des entretiens et corrections apportés à notre Service ; (ii) un processus de correction des vulnérabilités exigeant une réponse à l’intérieur de délais établis en fonction des risques impliqués ; et (iii) un processus encadrant le recours à un tiers pour réaliser des évaluations du niveau de sécurité associé à chaque application web.
(n) Ajustements au Programme de Sécurité. Devolutions doit surveiller, évaluer et ajuster (le cas échéant) son Programme de Sécurité en fonction (i) de tout changement technologique pertinent et de toute menace interne ou externe à Devolutions pouvant affecter les Données Personnelles de Clients ; (ii) des lois et règlements portant sur la sécurité des données et la protection de la vie privée qui sont applicables aux activités de Devolutions et/ou du Client ; et (iii) de tout changement intervenant au niveau de la structure corporative, des affaires ou des systèmes d’information de Devolutions – y compris une quelconque fusion, acquisition, alliance ou entreprise commune (joint venture).
(o) Appareils informatiques. Tous les ordinateurs de bureau et ordinateurs portables utilisés par Devolutions pour accéder à des Données Personnelles de Clients doivent (i) être munis d’un dispositif de chiffrement complet et intégral du disque dur, et (ii) disposer de mécanismes de détection et de prévention de virus et de logiciels malveillants dont la portée et la capacité sont mises à jour sur une base régulière, notamment par l’installation des correctifs et améliorations de sécurité publiés par le fabricant ou fournisseur.