Contract
Data Processing Addendum | Addendum sur le traitement des données |
The terms of this Data Processing Addendum (“DPA”) are incorporated by reference to the Master Agreement between you and Blackboard (“we”, “us” and “our”) (the "Agreement"). | Les conditions énoncées dans le présent Addendum sur le traitement des données (« ATD ») sont intégrées par voie de référence au Contrat-cadre conclu entre vous et Blackboard (« nous », « notre » et « nos ») (le « Contrat »). |
The following provisions shall apply whenever Personal Information is Processed under the Agreement: | Les stipulations suivantes s’appliqueront à chaque fois que des Informations personnelles seront Traitées en vertu du Contrat : |
1. Definitions | 1. Définitions |
Capitalized terms not defined in this Section have the meaning given in the Agreement. | Les termes commençant par une majuscule et n’étant pas définis dans le présent article auront le sens qui leur est donné dans le Contrat. |
Applicable Data Privacy Laws means laws and regulations that apply to our and your Processing of Personal Information under this Agreement. In the United States, this may include the Family Education Rights Act (FERPA), the Protection of Pupil Rights Amendment (PPRA), and the Children’s Online Privacy Protection Act (COPPA), as well as applicable State student and consumer privacy laws (such as the California Consumer Privacy Act (CCPA), once in effect). In the European Union (and outside the EU, if extraterritorially applicable), this will include the General Data Protection Regulation (“GDPR”) and the national laws implementing GDPR, as applicable, In the UK, this will include the UK General Data Protection Regulation (“UK GDPR”). In Australia, this may include the Privacy Xxx 0000 and amendments. In South Africa, this will include the Protection of Personal Information Act of 2013 (POPIA). | Lois applicables en matière de confidentialité des données désigne les lois et règlements applicables au Traitement, par vous et nous, des Informations personnelles en vertu du présent Contrat. Aux États- Unis, cela peut inclure la loi relative aux droits à l’instruction et à la protection de la vie privée des familles (Family Educational Rights and Privacy Act, « FERPA »), l’amendement sur la protection des droits des élèves (Protection of Pupil Rights Amendment, « PPRA ») et la loi sur la protection et la vie privée des enfants sur internet (Children’s Online Privacy and Protection Act, « COPPA »), ainsi que les lois des États applicables en matière de protection de la vie privée des étudiants et des consommateurs (par exemple, la loi de l’État de Californie sur la protection de la vie privée des consommateurs [California Consumer Privacy Act, « CCPA »], une fois qu’elle entrera en vigueur). Au sein de l’Union européenne (et en dehors de l’UE, si les lois et règlements en question s’appliquent hors du territoire), cela comprend le Règlement général sur la protection des données (« RGPD ») et les lois nationales d’application du RGPD, le cas échéant. Au sein du Royaume-Uni, cela comprend le Règlement général sur la protection des données du Royaume-Uni (« RGPD R-U) »). En Australie, cela peut inclure la loi de 1998 sur la protection de la vie privée (Privacy Act) et tout avenant à celle-ci. En Afrique du Sud, cela inclura la loi de 2013 sur la protection des informations personnelles (Protection of Personal Information Act, « POPIA »). |
De-Identified Data means information that has all identifying Personal Information obscured or removed such that the remaining information does not reasonably identify an individual nor allow a reasonable person to identify an individual with reasonable certainty. | Données anonymisées désigne les informations dans lesquelles toutes les Informations personnelles ont été masquées ou retirées, de façon à ce que les informations restantes ne permettent raisonnablement pas d’identifier une personne physique, et ne permettent à aucune personne raisonnable d’identifier une personne physique avec un degré de certitude raisonnable. |
Individual Right Request means a request from your Authorized Users or other individuals concerning the exercise of their rights available under Applicable Data Privacy Laws in relation to Personal Information, including the right of access, right to correct, right to restrict Processing, right to erasure (“right to be forgotten”), right to opt-out of the sale of personal information, right to data portability, right to object to the Processing and right not to be subject to an automated individual decision making. | Demande d’exercice de droit d’une personne désigne une demande de la part de vos Utilisateurs autorisés ou de toute autre personne physique concernant l’exercice des droits dont ils disposent en vertu des Lois applicables en matière de confidentialité des données et en lien avec les Informations personnelles, notamment le droit d’accès, le droit de rectification, le droit à la limitation du Traitement, le droit à l’effacement (« droit à l’oubli »), le droit de refuser la vente d’Informations personnelles, le droit à la portabilité des données, le droit d’opposition au Traitement et le droit de ne pas faire l’objet d’une prise de décision automatisée. |
Personal Information means information Processed by Blackboard on your behalf in connection with the provision of Products and Services pursuant to the Agreement that relates to, describes or is linked to an identified or identifiable individual or, where it is included in the definition of “personal information” or “personal data” under Applicable Data Privacy Laws, a juristic person. For clarity and without limitation, Personal Information may include: (i) in the United States, personal information contained in educational records, as defined by the Family Educational Rights and Privacy Act (“FERPA”), 20 U.S.C. § 1232(g), and/or “student data” or “covered information” as such terms are defined by applicable State student data privacy laws; and (ii) “personal information” or “personal data” as such terms are defined by the Applicable Data Privacy Laws in your jurisdiction. | Informations personnelles désigne les informations Traitées par Blackboard pour votre compte en lien avec la fourniture des Produits et Services conformément au Contrat, et qui se rapportent à une personne physique identifiée ou identifiable ou, si cela est compris dans la définition d’« informations personnelles » ou de « données à caractère personnel » en vertu des Lois applicables en matière de confidentialité des données, une personne morale, ou qui concernent ou décrivent une personne physique ou morale. À des fins de clarification et sans que cela soit limitatif, les Informations personnelles peuvent inclure : (i) aux États-Unis, les Informations personnelles contenues dans les dossiers scolaires tels que définis par la FERPA (Family Educational Rights and Privacy Act), article 1232(g) du Titre 20 du Code des États-Unis [20 U.S.C. § 1232(g)] ; et/ou les « données d’étudiant » ou « informations protégées » selon la définition de ces termes par les lois de confidentialité des données des étudiants par l’État applicable ; et (ii) les « informations personnelles » ou « données à caractère personnel » tels que ces termes sont définis par les Lois applicables en matière de confidentialité des données dans votre pays. |
Processing means any operation or set of operations which is performed on Personal Information such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure, or | Traitement désigne toute opération ou tout ensemble d’opérations appliquées aux Informations personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise |
destruction. For the avoidance of doubt Processing shall include all means, operations and activities performed on Personal Information that are defined as processing under GDPR. | à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. Afin d’éviter toute ambiguïté, le Traitement comprend l’ensemble des moyens, opérations et activités appliqués aux Informations personnelles définis comme des opérations de « traitement » dans le RGPD. |
Security Incident means a breach of security that results in the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Personal Information. | Incident de sécurité désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée d’Informations personnelles, ou l’accès non autorisé à de telles Informations. |
Service Providers (Sub-processors) means Blackboard affiliates and subsidiaries or third-party vendors which we engage in connection with the Agreement and which Process Personal Information on behalf of us and under our instructions. | Prestataires de services (Sous-traitants ultérieurs) désigne les sociétés affiliées et filiales de Blackboard, ou les prestataires tiers que nous engageons en lien avec le Contrat et qui Traitent des Informations personnelles pour notre compte et sur instruction de notre part. |
2. Roles and responsibilities of the parties | 2. Rôles et responsabilités des parties |
2.1 You are the controller of Personal Information. We are the processor (as defined in the GDPR) or service provider (as defined under CCPA) and Process Personal Information on your behalf and subject to your instructions. Unless otherwise expressly indicated, if you are subject to regulations in the United States, we Process Personal Information relating to students as a School Official performing an outsourced institutional function, pursuant to FERPA 34 CFR Part 99.31(a)(1). You (and/or your Authorized Users) are the owner of Personal Information: When we Process Personal Information on your behalf, you retain all right, title and interest to such Personal Information and Blackboard does not own, control, or license such information except as described in the Agreement. | 2.1 Vous êtes le responsable du traitement des Informations personnelles. Nous jouons le rôle de sous-traitant (tel que défini dans le RGPD) ou de prestataire de services (tel que défini dans la CCPA), et Traitons les Informations personnelles pour votre compte et conformément à vos instructions. Sauf indication contraire, si vous êtes soumis à la réglementation aux États-Unis, nous Traitons les Informations personnelles se rapportant aux étudiants en tant que Responsables scolaires exerçant une fonction institutionnelle externalisée conformément à l’article 99.31(a)(1) du Titre 34 du Code des règlementations fédérales – FERPA [FERPA 34 CFR Part 99.31(a)(1)]. Vous (et/ou vos Utilisateurs autorisés) êtes le propriétaire des Informations personnelles : Lorsque nous Traitons les Informations personnelles pour votre compte, vous conservez l’ensemble des droits, titres et intérêts rattachés à celles-ci, et Blackboard ne saurait en aucun cas posséder, contrôler ou concéder sous licence lesdites Informations, sauf dans la mesure indiquée dans le Contrat. |
2.2 To the extent Applicable Privacy Laws such as the GDPR require a description of the subject matter, scope, and purpose of the processing of Personal Information, including | 2.2 Étant donné que les Lois applicables en matière de confidentialité des données, telles que le RGPD, exigent une description de l’objet, de la portée et des finalités du |
the type of Personal Information and categories of data subjects, the descriptions set out in the Agreement and Annex A of this DPA apply. We and you have entered into the Agreement to benefit from our expertise in Processing Personal Information solely for the purposes set out herein and in the Agreement. We shall be allowed to exercise our own discretion in the selection and use of means as we consider necessary to pursue those purposes, subject to the requirements of this DPA and Applicable Data Privacy Laws. | Traitement des Informations personnelles, notamment le type d’Informations personnelles et les catégories de personnes concernées, les descriptions énoncées dans le Contrat et dans l’Annexe A au présent ATD s’appliquent. Nous avons conclu le Contrat avec vous afin que vous puissiez tirer parti de notre expertise en matière de Traitement d’Informations personnelles, et ce, uniquement aux fins énoncées aux présentes et dans le Contrat. Nous pouvons exercer un pouvoir discrétionnaire en ce qui concerne la sélection et l’utilisation des moyens que nous considérons comme nécessaires pour atteindre ces finalités, sous réserve des exigences du présent ATD et des Lois applicables en matière de confidentialité des données. |
3. Blackboard’s obligations | 3. Obligations de Blackboard |
(iii) maintaining and supporting our Products and Services; (iv) as otherwise permitted or required by applicable Law. We may also Process Personal Information as necessary to enforce our rights under the Agreement. | 3.1 Blackboard (ainsi que ses employés, sociétés affiliées et filiales) est susceptible de Traiter les Informations personnelles en qualité de prestataire de services, auquel cas il pourra conserver, utiliser, divulguer et autrement Traiter les Informations personnelles uniquement sur instructions de votre part et pour les finalités suivantes : (i) pour vous fournir les Produits et Services, y compris toute fonctionnalité activée par vos administrateurs système, (ii) pour mettre à jour et améliorer les fonctionnalités des Produits et Services ; (iii) pour maintenir et entretenir nos Produits et Services ; (iv) tel qu’autrement autorisé ou requis par le Droit applicable. Nous pouvons également Traiter les Informations personnelles de la façon nécessaire pour faire valoir nos droits en vertu du Contrat. |
3.2 The Agreement and the DPA along with your configuration of the Products and Services are your instructions to us in relation to the processing of Personal Information. We agree to follow such instructions with regard to the Processing of Personal Information. Our obligations under Sections 0 and this 0 shall be subject to Section 0. | 3.2 Le Contrat et l’ATD, ainsi que votre configuration des Produits et Services constituent les instructions que vous nous avez données en lien avec le Traitement des Informations personnelles. Nous acceptons de suivre lesdites instructions aux fins du Traitement des Informations personnelles. |
Nos obligations en vertu des articles 0 et du présent article 0 seront soumises à l’article 0. | |
3.3 Provided that we Process only the minimum amount of Personal Information necessary, and the output of the Processing is aggregated or De-identified Data (to which we implement appropriate technical safeguards and businesses processes to prevent the re- identification of individuals), you agree that we may Process Personal Information for additional lawful purposes, including: (i) evaluating, improving and/or developing our Products and Services; (ii) developing new Products and Services; and (iii) analytics and research. We may suggest supplemental educational tools or services to Authorized Users to the extent consistent with applicable Law; however, we will not use Personal Information for targeted advertising, without the consent of you or your Authorized Users. | 3.3 À condition que nous Traitions uniquement la quantité minimale d’Informations personnelles nécessaire et que les données obtenues à partir du Traitement soient des Données agrégées ou anonymisées (auxquelles nous appliquons les mesures de sécurité techniques et processus commerciaux appropriés afin d’empêcher la réidentification des personnes concernées), vous consentez à ce que nous Traitions les Informations personnelles pour des finalités licites supplémentaires, notamment : (i) l’évaluation, l’amélioration et/ou le développement de nos Produits et Services, (ii) le développement de nouveaux Produits et Services, et (iii) l’analyse et la recherche. Nous pouvons suggérer des outils ou services d’enseignement supplémentaires aux Utilisateurs autorisés dans la mesure permise par le Droit applicable. Cependant, nous n’utiliserons pas les Informations personnelles à des fins de publicité ciblées sans votre consentement ou celui de vos Utilisateurs autorisés. |
3.4 You acknowledge that where we Process personal information: (i) in the context of a direct relationship we have with an Authorized User in the course of providing or offering services to them; or (ii) with the consent of an Authorized User solely with respect to their own personal information, our Processing activities are outside the scope of this DPA. You agree to Blackboard’s fulfilment of any legally satisfactory request and consent by an Authorized User to download, export, save, maintain, or transfer their own personal information. | 3.4 Vous reconnaissez que si nous Traitons des Informations personnelles : (i) dans le cadre d’une relation directe entre nous et un Utilisateur autorisé dans le cadre de la fourniture ou de l’offre de services à celui-ci, ou (ii) avec le consentement d’un Utilisateur autorisé uniquement en ce qui concerne ses Informations personnelles, nos activités de Traitement ne sont pas couvertes par le présent ATD. Xxxx acceptez que Blackboard respecte toute demande et tout consentement satisfaisant d’un point de vue légal émanant d’un Utilisateur autorisé en vue de télécharger, exporter, enregistrer, maintenir ou transférer ses propres informations personnelles. |
3.5 In the unlikely event that applicable law or legal process requires us to Process Personal Information other than as instructed, we will | 3.5 Dans le cas peu probable où le droit applicable ou la procédure légale exigerait que nous Traitions les Informations personnelles d’une manière autre que celle |
notify you unless prohibited from so doing by applicable Law. | demandée, nous vous en informerons, sauf dans le cas où le droit applicable nous l’interdirait. |
3.6 We agree to uphold our responsibilities under Applicable Data Privacy Laws and to supervise and train our employees accordingly. We will ensure that such persons with access to Personal Information have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. | 3.6 Nous acceptons d’assumer nos responsabilités en vertu des Lois applicables en matière de confidentialité des données, et de superviser et de former nos employés en conséquence. Nous veillerons à ce que les personnes ayant accès aux Informations personnelles s’engagent à respecter leur confidentialité ou soient légalement soumises à une obligation de confidentialité. |
3.7 If we receive a request for disclosure of Personal Information by a law enforcement authority or other organization or body, we will: | 3.7 Si nous recevons une demande de divulgation d’Informations personnelles par une autorité d’application de la loi ou une autre organisation ou un autre organisme, nous : |
(a) refer the requesting authority to you where legally permissible; | (a) vous transmettrons la demande de l’autorité lorsque la loi l’autorise ; |
(b) promptly notify you prior to the compelled disclosure unless legally prohibited; | (b) vous notifierons rapidement avant la divulgation forcée, sauf si la loi l’interdit ; |
(c) if we are prohibited from notifying you, use our best efforts to obtain a waiver of the prohibition and otherwise take reasonable steps to notify you after the prohibition expires; | (c) s’il nous est interdit de vous informer, nous nous efforcerons d’obtenir une renonciation à l’interdiction et prendrons des mesures raisonnables pour vous informer après l’expiration de l’interdiction ; |
(d) ensure that the request is legally binding and valid; | (d) nous assurerons que la demande est juridiquement contraignante et valable ; |
(e) try to challenge the request and seek interim measures where we believe a request is invalid or unlawful, with a view to suspending the effects of the request until the competent judicial authority has decided on its merits; and | (e) essayerons de contester la demande et de rechercher des mesures provisoires lorsque nous estimons qu’une demande est invalide ou illégale, en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait décidé de son bien-fondé ; et |
(f) interpret requests narrowly and provide only the minimum amount of information permissible to comply with the request. | (f) interpréterons les demandes de manière restrictive et fournirons uniquement la quantité minimale d’informations autorisées pour répondre à la demande. |
4. Your obligations | 4. Vos obligations |
4.1 You warrant your collection and sharing of Personal Information with us shall comply with Applicable Data Privacy Laws. | 4.1 Vous garantissez que votre collecte des Informations personnelles et le fait que vous les partagiez avec nous sont conformes aux Lois applicables en matière de confidentialité des données. |
4.2 Vous garantissez que vous donnerez uniquement des instructions licites. Si nous pensons que l’une quelconque des instructions que vous avez données est contraire au droit applicable et/ou à l’ATD, nous vous en informerons. En outre, nous sommes autorisés à suspendre l’exécution de l’instruction en question jusqu’à ce que vous la confirmiez par écrit. Nous avons le droit de refuser de donner suite à une instruction (même si elle a été confirmée par écrit) si nous pensons que notre responsabilité pourrait être engagée en vertu du droit applicable si nous la respections. | |
4.3 You represent and warrant that: | 4.3 Xxxx déclarez et garantissez que : |
(a) you have the authority to provide Personal Information to Blackboard, or to permit Blackboard to collect directly, for its use in accordance with the Agreement; and | (a) vous avez l’autorité nécessaire pour fournir des Informations personnelles à Blackboard ou pour l’autoriser à collecter directement de telles Informations aux fins de leur utilisation conformément au Contrat ; et que |
(b) you have obtained and provided all required consents and/or disclosures to Authorized Users regarding Blackboard’s collection, access, and Processing of Personal Information under this Agreement, including to the extent applicable, to permit Blackboard to collect Personal Information directly from students | (b) vous avez obtenu et fourni tous les consentements et/ou divulgations requis aux Utilisateurs autorisés à propos de la collecte, de l’accès et du Traitement d’Informations personnelles par Blackboard en vertu du présent Contrat, y compris, dans la mesure applicable, pour autoriser Blackboard à collecter des |
under age thirteen (13) as permitted under the Children’s Online Privacy and Protection Act (“COPPA”). | Informations personnelles directement auprès des élèves de moins de treize (13) ans, comme le permet la Loi sur la protection et la vie privée des enfants sur Internet (Children’s Online Privacy and Protection Act, « COPPA »). |
4.4 To the extent necessary to provide you with the Products and Services, you authorize us, our affiliates, and subsidiaries to Process Personal Information and you will facilitate a reasonable method for us to obtain such information, for example via secure transfer from and/or authorized access to your student information systems. | 4.4 Dans la mesure nécessaire à la fourniture des Produits et Services, vous nous autorisez, ainsi que nos sociétés affiliées et filiales, à Traiter les Informations personnelles, et vous devrez faciliter toute modalité raisonnable d’obtention par nos soins desdites informations, par exemple via un transfert sécurisé à partir de vos systèmes d’information des étudiants et/ou l’accès autorisé à ceux-ci. |
4.5 Where Blackboard discloses our employees’ or contractors’ Personal Information to you or a Blackboard employee/contractor provides their Personal Information directly to you, which you Process to manage your use of the Products and Services, you will Process that Personal Information in accordance with your data privacy policies and Applicable Data Privacy Laws. We will only make such disclosures where lawful for the purposes of managing your use of the Products and Services. | 4.5 Si Blackboard vous communique les Informations personnelles de ses employés ou sous-traitants, ou si un employé/sous- traitant de Blackboard vous communique directement ses Informations personnelles, et si vous les Traitez aux fins de la gestion de votre utilisation des Produits et Services, vous serez tenus de Traiter lesdites Informations personnelles conformément à vos politiques de confidentialité des données et aux Lois applicables en la matière. Nous procéderons uniquement à de telles divulgations si elles sont légitimes aux fins de la gestion de votre utilisation des Produits et Services. |
5. Cooperation | 5. Coopération |
5.1 We will, to the extent legally permitted, promptly notify you if we receive an Individual Right Request or redirect such a request to you. Our response to an individual Right Request will be limited to explaining to the individual that the Individual Right Request needs to be addressed to you. | 5.1 Dans la mesure permise par le droit applicable, nous vous informerons rapidement si nous recevons une Demande d’exercice de droit d’une personne concernée ou nous redirigerons la demande vers vous. Notre réponse à toute Demande d’exercice de droit d’une personne concernée se limitera au fait d’expliquer à la personne à l’origine de la Demande qu’elle doit s’adresser à vous. |
5.2 If you do not have the ability to address an Individual Right Request directly through our | 5.2 Si vous n’êtes pas en mesure de traiter une Demande d’exercice de droit d’une personne |
Products and Services, we will upon your request assist you in responding to the Individual Right Request for the fulfilment of your obligation under Applicable Data Privacy Laws. | concernée directement à partir de nos Produits et Services, nous vous aiderons, sur demande, à répondre à la Demande aux fins du respect de vos obligations en vertu des Lois applicables en matière de confidentialité des données. |
5.3 Unless legally prohibited, we will make available to you any information you request and otherwise reasonably assist you as necessary to demonstrate compliance with your obligations under Applicable Data Privacy Laws in relation to Personal Information (including obligations under Art. 35 and 36 GDPR). | 5.3 Sauf dans le cas où cela serait interdit par le droit applicable, nous mettrons à votre disposition toutes les informations que vous demandez et nous vous apporterons autrement toute l’assistance nécessaire pour prouver le respect de vos obligations en vertu des Lois applicables en matière de confidentialité des données en lien avec les Informations personnelles (y compris vos obligations en vertu des articles 35 et 36 du RGPD). |
6. Third Party Access (Sub-processors) | 6. Accès par des tiers (Sous-traitants ultérieurs) |
6.1 We shall not sell, disclose, release or otherwise transfer Personal Information to any third party without consent from you or an Authorized User, except where such disclosure is permitted (i) to a Sub-processor that Processes Personal Information on our behalf in support of Blackboard’s Processing of Personal Information in accordance with Section 0 or 0, (ii) to a third party as reasonably necessary to comply with any applicable law, regulation, or public authority, (iii) to respond or participate in judicial process or to protect the safety of Blackboard or our users, or (iv) as otherwise permitted by Applicable Privacy Laws. | 6.1 Nous ne saurions en aucun cas vendre, communiquer, publier ou autrement transférer les Informations personnelles à de quelconques tiers sans votre consentement ou celui d’un Utilisateur autorisé, sauf dans le cas où ladite divulgation serait autorisée (i) à l’attention d’un Sous-traitant ultérieur Traitant les Informations personnelles pour notre compte et afin d’appuyer Blackboard dans le cadre de ses activités de Traitement en vertu des articles 0 ou 0, (ii) à un tiers si cela est raisonnablement nécessaire aux fins du respect de la loi ou la réglementation applicable, ou d’une demande émise par une autorité publique, (iii) pour répondre ou prendre part à une procédure judiciaire ou pour préserver la sécurité de Blackboard ou de nos utilisateurs, ou (iv) tel qu’autrement permis par les Lois applicables en matière de confidentialité des données. |
6.2 The list of Blackboard’s current Sub- processors is available at xxxxx://xxxx.xxxxxxxxxx.xxx/xxxxxxxxxxxxx. Subject to Section 6.3, you hereby give us a | 6.2 La liste des Sous-traitants ultérieurs actuels de Blackboard est disponible sur xxxxx://xxxx.xxxxxxxxxx.xxx/xxxxxxxxxxxxx. Sous réserve de l’article 6.3, vous nous autorisez par les présentes à engager les |
general authorization to engage the Sub- processors listed here. | Sous-traitants ultérieurs dont la liste figure à l’adresse ci-dessus. |
6.3 We shall: | 6.3 Nous devons : |
(a) inform you of any intended changes concerning the addition or replacement of Sub-processors at the link in Section 0 above (in combination with our email notification mechanism available at the link) thirty (30) days prior to any changes; and | (a) vous informer de toute modification prévue liée à l’ajout ou au remplacement de Sous-traitants ultérieurs, dont la liste est accessible depuis le lien fourni à l’article 0 ci- dessus (en sus de notre mécanisme de notification par e-mail disponible audit lien) trente (30) jours avant toute modification ; et |
(b) give you the opportunity to raise reasonable objections to such changes within twenty (20) calendar days of such notification. We may add or replace a Sub-processor immediately if it is necessary to ensure business continuity and recovery in case of emergency, except as prohibited by Applicable Data Privacy Laws. | (b) vous donner la possibilité de soulever toute objection raisonnable à de telles modifications dans un délai de vingt (20) jours calendaires à compter de ladite notification. Nous pouvons ajouter ou remplacer un Sous-traitant ultérieur immédiatement si cela est nécessaire pour garantir la continuité des opérations et la reprise après sinistre, sauf si cela est interdit par les Lois applicables en matière de confidentialité des données. |
6.4 With regard to our Sub-processors we will: | 6.4 En ce qui concerne nos Sous-traitants ultérieurs, nous : |
(a) conduct due diligence on the data privacy and security measures of new Sub-processors before providing access to Personal Information; | (a) effectuerons des vérifications préalables (due diligence) des mesures de protection des données et de sécurité mises en place par nos nouveaux Sous-traitants ultérieurs avant de leur donner accès à des Informations personnelles ; |
(b) enter into a written agreement which requires at least the same level of protection for Personal Information and individuals as set out in this DPA before providing access to Personal Information; | (b) conclurons un contrat écrit imposant au minimum le même niveau de protection des Informations personnelles et des personnes concernées que celui énoncé dans le présent ATD avant de leur donner accès à des Informations personnelles ; |
(c) restrict the Sub-processor’s access to Personal Information only to what is necessary to fulfil our contractual obligations or as otherwise permitted under the Agreement or under Applicable Data Privacy Laws; and | (c) limiterons l’accès des Sous-traitants ultérieurs aux Informations personnelles à ce qui est strictement nécessaire pour respecter nos obligations contractuelles ou tel qu’autrement permis en vertu du Contrat ou des Lois applicables en matière de confidentialité des données ; et |
(d) remain liable for any processing of Personal Information carried out by Sub-processors to the same extent we would be liable if performing the Services ourselves. | (d) restons responsables de tout traitement des Informations personnelles effectué par nos Sous- traitants ultérieurs, comme si nous avions fourni ces Services nous- mêmes. |
7. Customer-Requested Third-Party Access | 7. Accès par des tiers demandé par le Client |
7.1 You acknowledge that in the provision of some of our Products and Services such as third-party integrations, we, as authorized and instructed by you (or by your Authorized User who is eligible to provide such authorization under applicable law), may disclose Personal Information to and otherwise interact with a third party that acts on your behalf and under your instruction (“Third Party Data Processor”). You agree that if and to the extent such disclosures occur, between you and us, you are responsible for (i) meeting any requirements under Applicable Data Privacy Laws and the consequences of disclosing the Personal Information to the Third-Party Data Processor, and (ii) for entering into separate contractual arrangements with such Third-Party Data Processors binding them to comply with obligations in accordance with Applicable Data Privacy Laws. For the avoidance of doubt, such Third-Party Data Processors are not our Sub-processors. | 7.1 Vous reconnaissez que, dans le cadre de la fourniture de certains de nos Produits et Services (par exemple en cas d’intégration tierce), nous sommes susceptibles, sur autorisation et instruction de votre part (ou de la part de vos Utilisateurs autorisés éligibles pour donner une telle autorisation en vertu du droit applicable), de divulguer des Informations personnelles à des tiers agissant pour votre compte et sur instruction de votre part (chacun, un « Sous-traitant tiers ») et d’interagir autrement avec de tels tiers. Vous reconnaissez que si et dans la mesure où de telles divulgations surviennent, entre vous et nous, vous êtes tenu (i) de répondre aux exigences énoncées dans les Lois applicables en matière de confidentialité des données et vous êtes responsable des conséquences de la divulgation d’Informations personnelles aux Sous-traitants tiers, et (ii) de conclure des contrats distincts avec lesdits Sous-traitants tiers les contraignant à respecter certaines obligations, conformément aux Lois applicables en matière de confidentialité des données. Afin d’éviter toute ambiguïté, lesdits Sous-traitants tiers ne sont pas nos Sous- traitants ultérieurs. |
8. Personal Information Hosting and Access | 8. Hébergement des Informations personnelles et accès |
8.1 Generally, Blackboard has a regional hosting model. For example, in the United States, all Personal Information is hosted on servers in the United States. For the delivery of the Products and Services, support, development, maintenance and similar purposes, your Personal Information may be Processed outside of the country in which it was originally collected. | 8.1 De manière générale, Blackboard utilise un modèle d’hébergement régional. Par exemple, aux États-Unis, toutes les Informations personnelles sont hébergées sur des serveurs aux États-Unis. Aux fins de la fourniture des Produits et Services, de l’assistance, du développement, de maintenance et pour toutes finalités similaires, vos Informations personnelles peuvent être Traitées en dehors du pays dans lequel elles ont initialement été collectées. |
8.2 If your Products and Services are not hosted regionally, you acknowledge and agree that to deliver the Products and Services and for support, development, maintenance and similar purposes, Personal Information may be Processed in countries other than the country in which it was collected. However, we will not Process Personal Information outside of the country it was collected unless such access meets the requirements under Applicable Data Privacy Laws. For sake of clarity, regardless of where we Process Personal Information, all Processing will be carried out in accordance with this DPA. | 8.2 Si vos Produits et Services ne sont pas hébergés au niveau régional, vous acceptez et reconnaissez qu’aux fins de la fourniture des Produits et Services ainsi qu’à des fins d’assistance, de développement, de maintenance et autres finalités similaires, les Informations personnelles peuvent être Traitées dans des pays autres que celui dans lequel elles ont été collectées. Cependant, nous Traiterons les Informations personnelles en dehors du pays dans lequel elles ont été collectées uniquement si ledit accès répond aux exigences énoncées dans les Lois applicables en matière de confidentialité des données. Dans un souci de clarté, quel que soit l’endroit où nous Traitons les Informations personnelles, toutes les activités de Traitement seront exercées conformément au présent ATD. |
9. Personal Information Transfers | 9. Transferts d’Informations personnelles |
9.1 We will comply with all requirements regarding transfers of Personal Information directly applicable to us which do not require your cooperation. If applicable requirements regarding transfers of Personal Information require your cooperation, we will take such steps with you as required or permitted to comply with these requirements. | 9.1 Nous nous conformerons à toutes les exigences concernant les transferts d’Informations personnelles qui nous sont directement applicables et qui ne nécessitent pas votre coopération. Si les exigences applicables concernant les transferts d’Informations personnelles nécessitent votre coopération, nous prendrons avec vous les mesures nécessaires ou autorisées pour nous conformer à ces exigences. |
9.2 If you are located in the EEA or the UK, we will not transfer Personal Information to any country outside the EEA or the UK which has not been the subject of a adequacy decision unless we have ensured that such a transfer adequately protects Personal Information and is made pursuant to an appropriate legal transfer mechanism, such as the standard contractual clauses approved by the European Commission (“SCCs”), Binding Corporate Rules, or any other legal transfer mechanism. | 9.2 Si vous êtes établi au sein de l’EEE ou du R- U, nous ne transférerons pas les Informations personnelles vers un quelconque pays hors de l’EEE ou du R-U ne faisant pas l’objet d’une décision d’adéquation, sauf dans le cas où nous nous serions assurés que les Informations personnelles sont dûment protégées dans le cadre dudit transfert et que celui-ci respecte un mécanisme juridique de transfert, tel que les clauses contractuelles types approuvées par la Commission européenne (les « CCT »), les Règles d’entreprise contraignantes ou tout autre mécanisme juridique de transfert. |
9.3 Notwithstanding the provisions of paragraph 9.2 above, you agree that Personal Information may need to be transferred to Blackboard group companies outside the EEA and the UK, in order for one or more of those entities to assist with our provision of Products and Services to you. In respect of such transfers, Blackboard has implemented an intra-group data transfer agreement incorporating the EU Commission’s standard contractual clauses (module 3, processor-to- processor), and in respect of transfers which are subject to UK GDPR, an appropriate UK addendum to the standard contractual clauses, and has implemented supplementary measures to help ensure that personal information is adequately protected when transferred. | 9.3 Nonobstant les stipulations du paragraphe 9.2 ci-dessus, vous reconnaissez qu’il est possible que les Informations personnelles doivent être transférées à des sociétés du groupe Blackboard établies hors de l’EEE ou du R-U, afin qu’une ou plusieurs de ces sociétés nous aident à vous fournir les Produits et Services. En ce qui concerne ces transferts, Blackboard a mis en œuvre un accord de transfert de données intra-groupe intégrant les clauses contractuelles types (CCT) de la Commission européenne (module 3, de sous-traitant à sous-traitant), et en ce qui concerne les transferts qui sont soumis au RGPD du Royaume-Uni, un addendum britannique approprié aux clauses contractuelles types, et a mis en œuvre des mesures supplémentaires pour aider à garantir que les informations personnelles sont protégées de manière adéquate lorsqu’elles sont transférées. |
9.4 To the extent that the SCCs are declared invalid (by, for example, a competent court or authority), we will implement an alternative legal transfer mechanism. | 9.4 Dans la mesure où les CCT sont déclarées invalides (par exemple, par une autorité ou un tribunal compétent), nous mettrons en place un autre mécanisme juridique de transfert. |
10. Security | 10. Sécurité |
10.1 Annex B describes our technical and organizational security measures. The security measures are subject to technological advancements and further development. We are permitted to implement suitable alternative | 10.1 L’Annexe B décrit nos mesures de sécurité techniques et organisationnelles. Les mesures de sécurité sont soumises aux avancées technologiques et aux évolutions ultérieures. Nous sommes autorisés à mettre en place |
measures, as long as the alternative measures do not materially decrease the level of security applied to the Personal Information and meet the requirements of Applicable Data Privacy Laws. | d’autres mesures adéquates, dès lors qu’elles ne réduisent pas significativement le niveau de sécurité appliqué aux Informations personnelles et qu’elles répondent aux exigences énoncées dans les Lois applicables en matière de confidentialité des données. |
10.2 We will regularly audit and assess our compliance with the technical and organizational security measures. | 10.2 Nous auditerons et évaluerons régulièrement notre respect des mesures de sécurité techniques et organisationnelles. |
10.3 You are responsible for the appropriate use of the security features and other features of our Products and Services by you and your Authorized Users, including the granting of access entitlements. You are responsible for determining whether our Products and Services (including any test and staging environments) and the related security measures are sufficient for the intended Processing of Personal Information before using these Products and Services. We will provide you with any information that is reasonably required to make this determination. | 10.3 Vous êtes responsable de l’utilisation appropriée des fonctions de sécurité et autres fonctionnalités de nos Produits et Services par vous et vos Utilisateurs autorisés, y compris l’octroi de droits d’accès. Avant de les utiliser, vous êtes tenu de déterminer si nos Produits et Services (y compris tous environnements de test et de simulation) et les mesures de sécurité liées sont suffisants aux fins des activités de Traitement des Informations personnelles prévues. Nous vous fournirons toutes les informations raisonnablement nécessaires pour que vous puissiez le déterminer. |
11. Security Incident | 11. Incident de sécurité |
11.1 Blackboard maintains a documented security incident response plan which is regularly tested. | 11.1 Blackboard a en place un plan d’intervention dûment documenté en cas d’incident de sécurité, qui est testé régulièrement. |
11.2 Upon becoming aware of a Security Incident, we will (i) promptly investigate such Security Incident in accordance with our security incident response plan, (ii) take all measures and actions as are reasonably necessary to remedy or mitigate the effects of such Security Incident, and (iii) notify you promptly and without undue delay (and in any event within the time period required by applicable law) in writing upon confirmation of a Security Incident involving the unauthorized access, acquisition or disclosure of Personal Information that compromises the security, confidentiality or integrity of the Personal Information or as otherwise required by | 11.2 Si nous prenons connaissance d’un Incident de sécurité, (i) nous enquêterons immédiatement sur celui-ci, conformément à notre plan d’intervention en cas d’incident de sécurité, (ii) nous prendrons toutes les mesures raisonnablement nécessaires pour le résoudre ou en limiter les effets, et (iii) nous vous informerons aussi rapidement que possible et sans retard injustifié (et, dans tous les cas, dans le délai exigé par le droit applicable) par écrit en cas de confirmation de l’Incident de sécurité impliquant l’accès, l’acquisition ou la divulgation non autorisés d’Informations personnelles qui compromet la sécurité, la confidentialité ou l’intégrité des Informations personnelles ou tel qu’autrement |
Applicable Data Privacy Laws (“Confirmed Security Incident”). | exigé par les Lois applicables en matière de confidentialité des données (un « Incident de sécurité confirmé »). |
11.3 In the event of a Confirmed Security Incident, we will: | 11.3 En cas d’Incident de sécurité confirmé, nous : |
(a) provide timely cooperation and assistance as you may require to fulfil your Security Incident reporting obligations under Applicable Data Privacy Laws. | (a) coopérerons avec vous et vous fournirons l’assistance dont vous pourriez avoir besoin pour respecter vos obligations de signalement en lien avec l’Incident de sécurité en vertu des Lois applicables en matière de confidentialité des données. |
(b) assist you in relation to any Security Incident notifications you may be required to make under applicable law. To the extent such information is available and required by law, the notification under Section 11.2 shall include the following: | (b) nous vous aiderons en lien avec toutes les notifications concernant l’Incident de sécurité que vous pourriez être tenu d’envoyer en vertu du droit applicable. Si les informations en question sont disponibles et si cela est requis par le droit applicable, la notification en vertu de l’article 11.2 inclura les éléments suivants : |
(i) a general description of the Security Incident, including the nature and date of the Security Incident; | (i) une description générale de l’Incident de sécurité, y compris la nature et la date de l’Incident de sécurité ; |
(ii) the categories and approximate number of individuals concerned; | (ii) les catégories et le nombre approximatif de personnes concernées ; |
(iii) the categories and approximate number of Personal Information records concerned; | (iii) les catégories et le nombre approximatif de dossiers concernés contenant des Informations personnelles ; |
(iv) the likely consequences of the Security Incident; | (iv) les conséquences potentielles de l’Incident de sécurité ; |
(v) the measures used to protect the Personal Information; | (v) les mesures utilisées pour protéger les Informations personnelles ; |
(vi) the measures we have taken or propose to take to address the Security Incident, including, where appropriate, measures to mitigate its possible adverse effects; and | (vi) les mesures que nous avons prises ou que nous proposons de prendre pour résoudre l’Incident de sécurité, y compris, le cas échéant, les mesures visant à en atténuer les effets indésirables potentiels ; et |
(vii) the name and contact details of our relevant point of contact with regard to the Security Incident. | (vii) le nom et les coordonnées de notre interlocuteur en ce qui concerne l’Incident de sécurité. |
(c) Upon request, provide reasonably requested information about the status of any Blackboard remediation and restoration activities and keep you informed about all material developments in connection with the Security Incident. | (c) Sur demande, nous vous fournirons toutes les informations raisonnablement demandées concernant le statut des activités de correction et de restauration de Blackboard, et nous vous tiendrons informé de toutes les évolutions importantes concernant l’Incident de sécurité. |
11.4 In the event of a Confirmed Security Incident, you will be responsible for the timing, content, and delivery of any legally required notification to your Authorized Users who are impacted by such Confirmed Security Incident and to any regulator or third party in accordance with applicable law. If, due to a Confirmed Security Incident which results from a breach of the data security obligations set forth in Annex B by Blackboard, its agents, or Sub-processors acting on its behalf, any third-party notification is required under applicable law, Blackboard shall, subject to the limitations of liability in the Agreement, reimburse you for all reasonable “Notification Related Costs.” Notification Related Costs are limited to internal and external costs associated with addressing and responding to the Confirmed Security Incident, including but not limited to: (a) preparation and mailing or other transmission of notifications required by applicable law; (b) | 11.4 En cas d’Incident de sécurité confirmé, vous serez responsable de la date, du contenu et de la remise de toute notification légalement requise à vos Utilisateurs autorisés qui sont touchés par un tel Incident de sécurité confirmé et à tout organisme de réglementation ou tiers conformément à la loi applicable. Si, en raison d’un Incident de sécurité confirmé entraînant une violation des obligations en matière de sécurité des données énoncées à l’Annexe B par Blackboard, ses agents ou tous Sous-traitants ultérieurs agissant pour son compte, il est nécessaire d’envoyer une notification à des tiers en vertu du droit applicable, Blackboard vous remboursera tous les « Frais raisonnables liés à la notification », sous réserve des limitations de responsabilité énoncées dans le Contrat. Les Frais liés à la notification sont limités aux frais internes et externes liés à la gestion de l’Incident de |
establishment of an adequate call center and other communications procedures in response to the Confirmed Security Incident; (c) costs for remediation measures such as credit monitoring or reporting services for affected individuals for at least twelve (12) months in relation to a Security Incident that involves social security numbers, or to the extent required by law. With respect to any Security Incident which does not result from a breach of the data security obligations set forth in Annex B by Blackboard, its agents, or Sub- processors acting on its behalf, any third-party notifications, if any, shall be at your expense. | sécurité confirmé et à l’intervention suivant celui-ci, y compris, notamment : (a) la préparation et l’envoi (ou toute autre forme de transmission) des notifications obligatoires en vertu du droit applicable ; (b) la création d’un centre d’appel ou la mise en place de toute autre procédure de communication en réponse à l’Incident de sécurité confirmé ; (c) les frais liés aux mesures correctives, telles que le contrôle du crédit ou des services de signalement, pour les personnes concernées pendant une durée minimale de douze (12) mois en lien avec tout Incident de sécurité concernant des numéros de sécurité sociale, ou dans la mesure exigée par le droit applicable. En ce qui concerne tout Incident de sécurité ne découlant pas d’une violation des obligations relatives à la sécurité des données énoncées à l’Annexe B par Blackboard, ses agents ou tous Sous-traitants ultérieurs agissant pour son compte, les notifications à l’attention de tiers (le cas échéant) seront à vos frais. |
11.5 Blackboard’s obligation to report or respond to a Confirmed Security Incident under this Section 11 is not and will not be construed as an acknowledgement by Blackboard of any fault or liability of Blackboard with respect to the Confirmed Security Incident. | 11.5 L’obligation de Blackboard de signaler ou d’intervenir en cas d’Incident de sécurité confirmé en vertu du présent article 11 ne constitue et ne saurait être interprétée comme constituant une reconnaissance, par Blackboard, de toute erreur ou responsabilité de Blackboard en lien avec l’Incident de sécurité confirmé. |
11.6 Unless prohibited by law, you will notify us before communicating the Confirmed Security Incident to a third party (whether to any regulators, Authorized Users, clients, or the public) and provide us with copies of any written documentation to be filed with the regulators and of any other notification you propose to make which references us, our security measures and/or role in the Confirmed Security Incident, whether or not by name. Subject to your obligations to comply with any mandatory notification deadlines under Applicable Data Privacy Laws, you will consult with us in good faith and take account of any clarifications or corrections we reasonably request to such notifications or | 11.6 Sauf dans le cas où cela serait interdit par le droit applicable, vous nous informerez avant de signaler l’Incident de sécurité confirmé à un tiers (qu’il s’agisse d’un organisme de réglementation, d’un Utilisateur autorisé, d’un client ou du public) et nous fournirez des copies de toute documentation écrite devant être déposée auprès des organismes de réglementation et de toute autre notification que vous envisagez d’envoyer et nous concernant nous, nos mesures de sécurité et/ou notre rôle dans l’Incident de sécurité concerné, que nous soyons directement nommés ou non. Sous réserve de vos obligations concernant le respect des délais de notification imposés par les Lois applicables en matière de confidentialité des |
communications and which are consistent with Applicable Data Privacy Laws. | données, vous nous consulterez de bonne foi et tiendrez compte de toutes les clarifications ou corrections que nous pourrions raisonnablement vous demander d’appliquer aux notifications ou communications concernées, dès lors que celles-ci sont conformes aux Lois applicables en matière de confidentialité des données. |
12. Audit | 12. Audit |
12.1 We will, by way of regular self-audits, verify that the Processing of Personal Information complies with Applicable Data Privacy Laws. | 12.1 Nous nous assurerons, dans le cadre d’auto- évaluations régulières, que le Traitement des Informations personnelles est conforme aux Lois applicables en matière de confidentialité des données. |
12.2 Subject to Section 0, we will allow for and contribute to audits, including inspections, conducted by you or another auditor mandated by you regarding our compliance with the DPA and Applicable Data Privacy Laws. | 12.2 Sous réserve de l’article 0, nous autoriserons les audits et y contribuerons, notamment les inspections, qu’ils soient effectués par vous ou un autre auditeur que vous aurez mandaté aux fins du contrôle de notre respect de l’AsTD et des Lois applicables en matière de confidentialité des données. |
12.3 To fulfil our obligations under 0, we will provide you, upon request, an overview of our privacy and security program, governance and controls including: | 12.3 Aux fins du respect de nos obligations en vertu de l’article 0, nous vous fournirons, sur demande, une présentation de notre programme, notre cadre de gouvernance et nos contrôles en matière de confidentialité et de sécurité, notamment : |
(a) overview of our privacy program and governance; | (a) une présentation de notre programme et de notre cadre de gouvernance en matière de confidentialité ; |
(b) overview of our security program and governance; | (b) une présentation de notre programme et de notre cadre de gouvernance en matière de sécurité ; |
(c) overview of security controls regarding a specific Product or Service (where available); | (c) une présentation des contrôles de sécurité pour un Produit ou Service particulier (le cas échéant) ; |
(d) summaries of any relevant self-audits; | (d) le résumé de toute auto-évaluation pertinente ; |
(e) summaries of any relevant third party assessments or reports (where available); | (e) le résumé de toute évaluation ou rapport pertinent effectué ou préparé par un tiers (le cas échéant) ; |
(f) relevant security reports and/or certifications of our data centers (where available); | (f) les rapports et/ou certificats de sécurité pertinents concernant nos centres de données (le cas échéant) ; |
(g) description of our processes for assistance with Individual Rights Requests; and | (g) la description de nos processus d’assistance en lien avec les Demandes d’exercice de droit des personnes concernées ; et |
(h) certified statement on the compliance with this DPA. | (h) une déclaration certifiée concernant le respect du présent ATD. |
12.4 If, after review of the documentation provided in accordance with Section 0, you require further information to meet your obligations under Applicable Data Privacy Laws, you may: | 12.4 Après examen des documents fournis conformément à l’article 0, si vous avez besoin d’informations supplémentaires pour respecter vos obligations en vertu des Lois applicables en matière de confidentialité des données, vous pourrez : |
(a) request further information with an explanation regarding what further information is required and why it is required; and | (a) demander des informations supplémentaires en expliquant quelles sont les informations requises et pourquoi elles le sont ; et |
(b) no more once per year, request an on-site audit where Applicable Data Privacy Laws grant you the right to conduct an on-site audit. | (b) au maximum une fois par an, demander un audit sur site si cela est permis par les Lois applicables en matière de confidentialité des données. |
12.5 Subject to Section 12.4(b), you will reimburse us for reasonable expenses for any time expended for any such on-site audit. Requests need to be made at least fourteen (14) days in advance in writing, and we will mutually agree upon the scope, timing, and duration of the on-site audit and the execution of an appropriate confidentiality agreement. | 12.5 Sous réserve de l’article 12.4(b), vous nous rembourserez des frais raisonnables pour le temps consacré à l’audit sur site en question. Les demandes doivent être adressées au moins quatorze (14) jours à l’avance par écrit, et nous conviendrons mutuellement de la portée, du moment et de la durée de l’audit sur site et de la signature d’un contrat de confidentialité approprié. |
12.6 Any information made available in accordance with this section 12 shall be deemed | 12.6 Toutes les informations communiquées conformément au présent article 12 seront |
Confidential Information. Upon request, you will provide us with a copy of any audit reports produced in relation to audits conducted under this section, unless prohibited by applicable law. You will promptly notify us regarding any possible non-compliance discovered during the course of an audit, and we will use commercially reasonable efforts to address any confirmed non-compliance as soon as practicable. | considérées comme des Informations confidentielles. Sur demande, vous nous fournirez une copie de tous les rapports d’audit produits en relation avec les audits effectués en vertu de la présente section, sauf si la loi applicable l’interdit. Vous êtes tenus de nous informer dans les meilleurs délais de tout cas de non-respect potentiel découvert dans le cadre d’un audit, et nous déploierons des efforts raisonnables sur le plan commercial pour le traiter aussi rapidement que possible. |
13. Deletion or return of Personal Information | 13. Suppression ou restitution des Informations personnelles |
13.1 Upon expiration or termination of the Products or Services, or such earlier time upon request, we will delete the relevant Personal Information in our possession, custody or control within a reasonable time and procure the deletion of all copies of Personal Information processed or maintained by any Sub-processors. At your request and your expense, we will return such Personal Information to you before deleting it, provided that a request for the return of Personal Information is submitted to Blackboard in writing at least thirty (30) days prior to the date of termination. If no such request for the return of Personal Information is received, Blackboard may, but shall have no obligation to, maintain or return Personal Information more than 10 days after the termination of the Products or Services. We will certify the deletion of Personal Information upon request. | 13.1 Au moment de l’expiration ou de la résiliation des Produits ou Services, ou plus tôt sur demande, nous effacerons les Informations personnelles pertinentes en notre possession, sous notre garde ou sous notre contrôle dans un délai raisonnable, et nous veillerons à ce que toutes les copies des Informations personnelles traitées ou conservées par nos Sous-traitants ultérieurs soient également effacées. Sur demande de votre part et à vos frais, nous vous restituerons lesdites Informations personnelles avant de les effacer, à condition qu’une demande de restitution soit envoyée à Blackboard par écrit au moins trente (30) jours avant la date de résiliation. Si aucune demande de restitution des Informations personnelles n’est reçue, Blackboard pourra, sans y être tenue, conserver ou restituer les Informations personnelles plus de dix (10) jours après la résiliation des Produits ou Services. Nous confirmerons l’effacement des Informations personnelles sur demande. |
13.2 Notwithstanding the foregoing, we may retain Personal Information to the extent: (i) required by applicable laws; (ii) required as part of our automated backup and recovery processes so long as the backup and recovery storage system is inaccessible to the public, processing is limited to back-up and recovery purposes and governed by the protection of this DPA; (iii) an Authorized User has | 13.2 Nonobstant ce qui précède, nous sommes susceptibles de conserver des Informations personnelles si : (i) le droit applicable l’exige ; (ii) cela est nécessaire dans le cadre de nos processus automatisés de sauvegarde et de récupération, à condition que le système de stockage de sauvegarde et de récupération soit inaccessible au public, le traitement est limité aux fins de sauvegarde et de |
downloaded, saved, transferred or otherwise maintained their own personal information in a personal account in accordance with Section 4.3; and/or (iv) it is aggregated or De- Identified Data and Blackboard has implemented technical safeguards and business processes to prohibit the reidentification of the information with an individual. If you request deletion of Personal Information in archival and back-up-files, you shall bear the costs including costs for business interruptions associated with such request. | récupération et régi par la protection du présent ATD ; (iii) un Utilisateur autorisé a téléchargé, enregistré, transféré ou autrement conservé ses propres informations personnelles sur un compte personnel conformément à l’article 4.3 ; et/ou (iv) lesdites Informations sont des Données agrégées ou anonymisées et Blackboard a mis en place des mesures de protection techniques et des processus commerciaux pour empêcher la réidentification d’une personne concernée à partir des informations. Si vous demandez l’effacement d’Informations personnelles dans des dossiers d’archive et de sauvegarde, les frais liés seront à votre charge, y compris les coûts liés à l’interruption des activités en raison de cette demande. |
14. Final provisions | 14. Stipulations finales |
14.1 Unless specifically stipulated to the contrary by the Parties, the duration of this DPA will be coterminous with the term of the Agreement. Our obligations under the DPA will continue to apply as long as we Process Personal Information. | 14.1 Sauf indication contraire des Parties, la durée du présent ATD coïncidera avec celle du Contrat. Nos obligations en vertu de l’ATD continueront à s’appliquer tant que nous Traiterons des Informations personnelles. |
14.2 This DPA is incorporated into and made a part of the Agreement by this reference and replaces any arrangements agreed earlier between the parties in respect of the Processing of Personal Information related to the Agreement. In the event of a conflict between this DPA and any other provision of the Agreement between you and us, this DPA will prevail; provided that if you and we have agreed in an Order Form to any terms that are different from this DPA, the terms in such Order Form will prevail. Notwithstanding the foregoing, in the event of a conflict between: (a) the DPA; (b) any provision of the Agreement; or (c) the Order Form, and the SCCs, the SCCs shall prevail. | 14.2 Le présent ATD est intégré au Contrat par la présente référence, et il annule et remplace tous accords antérieurs entre les parties concernant le Traitement des Informations personnelles en lien avec le Contrat. En cas de contradiction entre le présent ATD et toute autre stipulation du Contrat conclu entre vous et nous, le présent ATD prévaudra ; étant entendu que si vous et nous avons convenu, dans un Bon de commande, de toutes conditions autres que celles énoncées dans le présent ATD, les conditions dudit Bon de commande prévaudront. Nonobstant ce qui précède, en cas de contradiction entre : (a) l’ATD ; (b) toute stipulation du Contrat ; ou (c) le Bon de commande, et les CCT, les CCT prévaudront. |
14.3 Notwithstanding any notice requirements in the Agreement, we may update this DPA from time to time to better reflect changes to the law, new regulatory requirements or | 14.3 Nonobstant toute exigence énoncée dans le Contrat en matière de notification, nous sommes susceptibles de mettre le présent ATD à jour périodiquement pour mieux tenir |
improvement to the Products and Services. The updated Terms shall be posted here: xxxx://xxxxxxxxxx.xxxxxxxxxx.xxx/xxxxx/xxxx- processing-addendum.aspx. If any update to the DPA constitutes a material change to the ways in which we Process Personal Information, or materially affects your use of the Products and Services or your rights herein, we will provide you with reasonable notice prior to the changes taking effect. Your continued use of the Service thereafter shall constitute acceptance to be bound by the updated DPA. | compte des changements apportés au droit applicable, des nouvelles exigences réglementaires ou des améliorations des Produits et Services. Les Conditions mises à jour seront publiées ici : xxxx://xxxxxxxxxx.xxxxxxxxxx.xxx/xxxxx/xxxx- processing-addendum.aspx. Si une mise à jour de l’ATD change sensiblement la façon dont nous Traitons les Informations personnelles ou a un impact significatif sur votre utilisation des Produits et Services ou sur vos droits en vertu des présentes, nous vous adresserons un préavis raisonnable avant que les modifications entrent en vigueur. Si vous continuez à utiliser le Service après cela, nous considérerons que vous acceptez d’être lié par l’ATD ainsi mis à jour. |
Annex A – Details of Processing | Annexe A – Détails du traitement |
This Annex A describes the Processing of Personal Information as required under some Applicable Data Privacy Laws such as GDPR. | La présente Xxxxxx A décrit le Traitement des Informations personnelles tel qu’exigé par certaines Lois applicables en matière de confidentialité des données, telles que le RGPD. |
The details of the Processing depend on your use of our Products and Services but will typically be as follows: | Les détails du Traitement dépendent de votre utilisation de nos Produits et Services, mais seront habituellement les suivants : |
Categories of Personal Information | Catégories d’Informations personnelles |
• Name or unique identifiers | • Nom ou identifiants uniques |
• Personal contact information and information about role at institution | • Coordonnées personnelles et informations concernant le rôle au sein de l’établissement |
• Date of birth, gender, , parent/student relationships | • Date de naissance, sexe, relations parent/étudiant |
• Course and degree information such as grade level, teachers, classes/sections/courses, grades, assignments, tests, books, attendance, homework, degree type | • Informations relatives aux cours et diplômes, telles que le niveau, les enseignants, les cours/sections, les notes, les devoirs, les examens, les livres, la présence, les tâches, le type de diplôme |
• Access credentials such as usernames and passwords, profile settings, language information | • Identifiants d’accès, tels que les noms d’utilisateur et mots de passe, les paramètres de profil, les informations relatives à la langue |
• Information related to the devices accessing our Products and Services, service or browsing history, location data, information | • Informations relatives aux appareils utilisés pour accéder à nos Produits et Services, historique d’entretien ou de navigation, |
provided by social networks, Authorized User or Customer correspondence | données de localisation, informations fournies par les réseaux sociaux, correspondances des Utilisateurs autorisés et du Client |
• | • |
• Personal information contained in content generated and/or provided by an Authorized User such as submitted papers, assignments, blog and discussion posts, contributions to online collaboration such as chats and audio/video conferencing | • Informations personnelles figurant dans le contenu généré et/ou fourni par tout Utilisateur autorisé, par exemple dans les dissertations et devoirs remis, dans des publications sur les blogs et dans des discussions, dans les contributions aux outils de collaboration en ligne tels que les messageries instantanées et les outils d’audioconférence/visioconférence |
• For Community Engagement products: Special indicators (e.g., free lunch eligibility), health data, academic or extracurricular activities, conduct or behavioral data, student transportation data | • Pour les produits d’engagement communautaire : Indicateurs spéciaux (p. ex., éligibilité au déjeuner gratuit), données de santé, activités académiques ou extrascolaires, données de conduite ou comportementales, données sur le transport des étudiants |
• If the definition of Personal Information under Applicable Data Privacy Laws such as POPIA includes information about juristic persons: Company registration information, contact details of authorized representatives, registered address, applicable tax numbers, financial information, relevant registrations, and other information which may be relevant to our engagement with you | • Si la définition des Informations personnelles en vertu des Lois applicables en matière de confidentialité des données, telles que la POPIA, inclut des informations relatives aux personnes morales : Informations liées à l’immatriculation de la société, coordonnées des représentants autorisés, adresse du siège social, numéros fiscaux applicables, informations financières, enregistrements pertinents et autres informations susceptibles d’être pertinentes dans le cadre de notre relation avec vous |
Special Categories of Personal Information (if any) | Catégories particulières d’Informations personnelles (le cas échéant) |
Our Products and Services are generally not intended to Process Special Categories of Personal Information. Any Processing of Special Categories of Personal Information is determined and controlled by you in compliance with Applicable Data Privacy Laws. | En règle générale, nos Produits et Services n’ont pas vocation à Traiter des Catégories particulières d’Informations personnelles. Vous contrôlez et décidez de tout Traitement de Catégories particulières d’Informations personnelles, conformément aux Lois applicables en matière de confidentialité des données. |
Special Categories of Personal Information may include: (a) Personal Information revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership; (b) genetic data and biometric data Processed for the purpose of uniquely identifying an individual; and (c) | Les Catégories particulières d’Informations personnelles peuvent inclure : (a) des Informations personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, ou l’appartenance syndicale ; (b) des données génétiques et biométriques Traitées aux fins |
data concerning health or data concerning an individual's sex life or sexual orientation. | d’identifier une personne physique de manière unique ; et (c) des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. |
Categories of Data Subject | Catégories de Personnes concernées |
Customer’s representatives (such as employees, contractors, consultants, and agents) and Customer’s Authorized Users (such as students, prospective students, parents, teachers, and administrators), guest users invited by Customer or its Authorized Users. | Les représentants du Client (tels que les employés, sous-traitants, consultants et agents) et les Utilisateurs autorisés du Client (tels que les étudiants, étudiants potentiels, parents, enseignants et administrateurs), ainsi que les utilisateurs invités par le Client ou ses Utilisateurs autorisés. |
Purpose and nature of Processing | Finalité et nature du traitement |
As a provider of education technology solutions, we Process Personal Information provided by you or your Authorized End Users on your behalf and under your instructions within the scope of the Agreement. Processing operations may include storage and other Processing necessary to provide our Products and Services and otherwise perform our obligations as described in Section 3. | En tant que fournisseur de solutions d’enseignement technologiques, nous Traitons les Informations personnelles que vous ou vos Utilisateurs finaux autorisés nous communiquez, conformément à vos instructions et au périmètre du Contrat. Les opérations de Traitement peuvent inclure la conservation et toute autre forme de Traitement nécessaire pour fournir nos Produits et Services et pour que nous remplissions nos obligations énoncées à l’article 3. |
Xxxxx X – Security measures | Annexe B – Mesures de sécurité |
We use the following appropriate technical and organizational measures to protect Personal Information which have to meet, at a minimum, the level required by applicable law: | Nous utilisons les mesures techniques et organisationnelles appropriées suivantes pour protéger les Informations personnelles et qui doivent, au minimum, respecter le niveau de sécurité imposé par le droit applicable : |
Management controls | Contrôles de gestion |
• We maintain a comprehensive information security program with an appropriate governance structure (including a dedicated Information Security team) and written security policies to oversee and manage risks related to the confidentiality, availability, and integrity of Personal Information. | • Nous avons en place un programme complet de sécurité des informations qui comprend une structure de gouvernance appropriée (y compris une équipe dédiée à la Sécurité des informations) et des politiques de sécurité écrites dans le but de contrôler et de gérer les risques liés à la confidentialité, la disponibilité et l’intégrité des Informations personnelles. |
• We align our information security program and measures with industry best practices, such as the International Organization for Standardization | • Notre programme et nos mesures de sécurité des informations sont conformes aux meilleures pratiques du secteur, et notamment à la |
(ISO)/International Electrotechnical Commission (IEC) 27001, Open Web Application Security Project (OWASP), and National Institute of Standards and Technology (NIST) 800 frameworks. These controls are distilled and incorporated into an internal compliance framework that is applicable to all Products and Services. | norme 27001 de l’Organisation internationale de normalisation (ISO)/de la Commission électrotechnique internationale (IEC), au Open Web Application Security Project (OWASP) et à la norme 800 du National Institute of Standards and Technology (NIST). Ces contrôles sont distillés et intégrés à un cadre de conformité interne qui s’applique à l’ensemble de nos Produits et Services. |
• We use internal resources and third-party contractors to perform audits and vulnerability assessments and provide guidance on best practices for select systems containing Personal Information. System assessments and network audits are performed regularly. Issues identified during audits are prioritized and remediated as part of ongoing security monitoring using a risk management methodology. | • Nous faisons appel à des ressources internes et à des prestataires tiers afin qu’ils effectuent des audits et des évaluations de la vulnérabilité, et qu’ils donnent des conseils concernant les meilleures pratiques pour certains systèmes contenant des Informations personnelles. Des évaluations système et audits du réseau sont régulièrement effectués. Les problèmes identifiés lors des audits sont prioritaires et sont résolus dans le cadre du contrôle continu de la sécurité, en appliquant une méthodologie de gestion des risques. |
• Our employees receive security and data privacy training when they start and annually thereafter. Awareness campaigns are used to raise awareness about information security risks and our information security policies and procedures. Select staff, such as developers, receive additional security training tailored to their job role. Completion of training is tracked. | • Une formation à la sécurité et à la confidentialité des données est dispensée à nos employés lorsqu’ils prennent leurs fonctions, et annuellement après cela. Des campagnes de sensibilisation sont menées pour sensibiliser aux risques en matière de sécurité des informations et à nos politiques et procédures en la matière. Certains membres du personnel, tels que les développeurs, doivent suivre une formation supplémentaire à la sécurité adaptée à leurs fonctions. Nous contrôlons le suivi des formations. |
• New employees undergo background checks prior to onboarding, where permitted by applicable law, and sign a confidentiality agreement. | • Lorsque le droit applicable le permet, les nouveaux employés sont soumis à des contrôles des antécédents avant d’être recrutés et signent un accord de confidentialité. |
• Employees are required to comply with internal policies on the acceptable use of corporate IT assets. These policies address requirements on clean desk and secure workspaces, protecting system resources and electronic communications, protecting information, and general use of technology assets. Our employees are made aware that non-compliance with these policies can lead to disciplinary action, up to and including termination of employment/contract. | • Les employés sont tenus de respecter les politiques internes concernant l’utilisation acceptable des ressources informatiques de l’entreprise. Ces politiques énoncent les exigences en matière de rangement des bureaux et de sécurité des espaces de travail, de protection des ressources informatiques et des communications électroniques, de protection des informations et d’utilisation générales des ressources technologiques. Nous indiquons à nos employés que le non-respect de ces politiques peut entraîner la prise de mesures |
disciplinaires, pouvant aller jusqu’au licenciement (inclus). | |
• We maintain a vendor risk management program to manage the security and integrity of our supply chain. Our procurement process for third party service providers that have access to confidential information (including Personal Information) includes a vendor security and privacy assessment review and a contract review by our Legal team. | • Nous avons en place un programme de gestion des risques concernant les prestataires afin de gérer la sécurité et l’intégrité de notre chaîne d’approvisionnement. Notre processus de recrutement des prestataires de services tiers ayant accès à des informations confidentielles (y compris aux Informations personnelles) comprend une évaluation du prestataire en matière de sécurité et de protection de la vie privée, ainsi qu’une étude du contrat par notre Équipe juridique. |
• We have a documented security incident response process for responding to, documenting, and mitigating Security Incidents and notifying our clients, authorities or other parties as required. The process is reviewed and tested regularly. | • Nous avons mis en place un processus documenté d’intervention en cas d’incident de sécurité pour réagir face aux Incidents de sécurité, les documenter et en limiter l’impact, et pour informer nos clients, les autorités ou d’autres parties lorsque cela est nécessaire. Le processus est revu et testé régulièrement. |
Admission control | Contrôle des admissions |
• We employ appropriate physical safeguards to prevent unauthorized persons from gaining access to the premises where Personal Information is collected, processed, and used. Such premises may only be entered by us and/or our agents. | • Nous avons recours à des mesures physiques appropriées pour empêcher les personnes non autorisées d’accéder aux locaux où les Informations personnelles sont collectées, traitées et utilisées. Seuls nous et/ou nos agents pouvons accéder auxdits locaux. |
• We and our service providers implement physical security controls for the data centers used to store Personal Information. These controls are commensurate with industry best practices and local regulations, which include 24x7x365 video monitoring, guards, secured ingress/egress, badged access, sign-in/sign-out logs, restricted access, and other best practices. | • Nous et nos prestataires de services mettons en place des contrôles de sécurité physiques dans les centres de données utilisés pour conserver les Informations personnelles. Ces contrôles sont conformes aux meilleures pratiques du secteur et à la réglementation locale, et comprennent une vidéosurveillance 24 h/24, 7 j/7 et 365 par an, des gardes, des entrées/sorties sécurisées, un accès par badge, des feuilles de contrôle des entrées et sorties, un accès restreint et d’autres pratiques exemplaires. |
• We use appropriate measures to secure buildings, such as using access cards or fobs for employee access. | • Nous utilisons des mesures appropriées pour sécuriser les bâtiments, par exemple l’utilisation de cartes ou badges d’accès pour les employés. |
• We use appropriate measures to ensure that Personal Information held in hardcopy are kept securely e.g. in locked rooms or filing cabinet. Generally, steps are taken to ensure that access to hardcopy Personal Information is limited in the same way it would be on an electronic IT system i.e. access is limited to those individuals where it is necessary for them to have access in order for them to perform their job role. | • Nous utilisons des mesures appropriées pour veiller à ce que la sécurité des Informations personnelles conservées au format physique soit assurée, p. ex. dans des pièces ou armoires fermées à clé. De manière générale, des mesures sont prises pour garantir que l’accès aux Informations personnelles au format physique soit limité comme il le serait dans un système informatique électronique, c.-à-d. que l’accès est limité aux personnes qui ont besoin d’accéder aux Informations aux fins de l’exercice de leurs fonctions. |
Entry control | Contrôle des entrées |
• We use appropriate measures to prevent unauthorized parties from accessing or using our systems containing Personal Information. | • Nous utilisons des mesures appropriées pour empêcher les parties non autorisées d’accéder ou d’utiliser nos systèmes contenant des Informations personnelles. |
• We require authentication and authorization to gain access to systems that Process Personal Information (i.e., require users to enter a user id and password before they are permitted access to such systems). | • Une authentification et une autorisation sont nécessaires pour accéder aux systèmes qui Traitent des Informations personnelles (c.-à-d. que les utilisateurs doivent saisir un identifiant utilisateur et un mot de passe avant de pouvoir accéder auxdits systèmes). |
• We have procedures in place to permit only authorized persons to access Personal Information internally or externally by using authentication procedures (e.g., by means of appropriate passwords), except as otherwise enabled by you. | • Nous avons mis en place des procédures pour permettre uniquement aux personnes autorisées d’accéder aux Informations personnelles, aussi bien en interne qu’en externe, grâce à des procédures d’authentification (p. ex., au moyen des mots de passe appropriés), sauf dans le cas où vous donneriez des autorisations différentes. |
Access control | Contrôle des accès |
• We employ appropriate measures to prevent individuals accessing Personal Information unless they hold a specific access authorization. | • Nous utilisons des mesures appropriées pour empêcher les personnes d’accéder aux Informations personnelles, sauf si elles y ont été spécifiquement autorisées. |
• We only permit access to Personal Information which the employee (or agent) needs for his/her job role or the purpose they are given access to our systems for (i.e., we implement measures to ensure least privilege access to systems that Process Personal Information). System administration and | • Les employés (ou agents) peuvent uniquement accéder aux Informations personnelles dont ils ont besoin aux fins de l’exercice de leurs fonctions ou pour atteindre la finalité pour laquelle ils ont obtenu le droit d’accéder à nos systèmes (c.-à-d. que nous mettons en place des mesures pour garantir un accès sur la base du moindre privilège aux |
privileged access is controlled and enforced on a need-to-know basis and is reviewed regularly. | systèmes qui Traitent les Informations personnelles). L’administration système et les privilèges d’accès sont contrôlés et appliqués sur la base du besoin d’en connaître et sont revus régulièrement. |
• We have in place appropriate procedures for controlling the allocation and revocation of access rights to Personal Information. For example, having in place appropriate procedures for revoking employee access to systems that Process Personal Information when they leave their job or change role. Unnecessary and default user accounts and passwords are disabled on servers. | • Nous avons mis en place des procédures appropriées pour contrôler l’attribution et la révocation des droits d’accès aux Informations personnelles. Par exemple, nous avons mis en place des procédures adéquates pour révoquer l’accès des employés aux systèmes qui Traitent des Informations personnelles lorsqu’ils quittent leur poste ou changent de fonctions. Les comptes et mots de passe utilisateur inutiles et par défaut sont désactivés sur les serveurs. |
• Our systems containing Personal Information are protected by user identifiers, passwords, and role- based access rights. Special access rights are produced for the purposes of technical maintenance which do not allow access to Personal Information. | • Nos systèmes qui contiennent des Informations personnelles sont protégés par des identifiants, des mots de passe et des droits d’accès en fonction du poste occupé. Des droits d’accès particuliers sont fournis aux fins de la maintenance technique, et ne permettent pas d’accéder aux Informations personnelles. |
• We implement methods to provide audit logging to establish accountability by monitoring network devices, servers, and applications. Where applicable, aberrant activity generates alerts for investigation and/or action. | • Nous mettons en place des méthodes pour obtenir des journaux d’audit afin de déterminer qui sont les personnes responsables en contrôlant les périphériques réseau, les serveurs et les applications. Le cas échéant, toute activité anormale génère une alerte afin qu’une enquête soit ouverte et/ou que des mesures soient prises. |
• All employees must use multi-factor authentication for remote access to IT assets within the corporate network. | • Tous les employés doivent utiliser l’authentification multi-facteurs pour accéder à distance aux ressources informatiques disponibles sur le réseau de l’entreprise. |
• We take appropriate administrative safeguards to protect our services against external attacks, including, for example, deploying firewalls and using services to provide 24x7x365 security monitoring of our data centers to protect and defend against external security threats. | • Nous prenons des mesures administratives appropriées pour protéger nos services contre toutes attaques externes, par exemple en mettant en place des pare-feu et en utilisant des services nous permettant de contrôler la sécurité de nos centres de données 24 h/24, 7 j/7 et 365 jours par an afin de les protéger et de nous défendre contre les menaces externes en matière de sécurité. |
Transmission control | Contrôle des transmissions |
• We encrypt Personal Information while in transit over the internet to preserve its confidentiality and integrity. | • Nous chiffrons les Informations personnelles lorsqu’elles sont transmises par Internet afin de protéger leur confidentialité et leur intégrité. |
Input control | Contrôle des saisies |
• We maintain logging and auditing systems to monitor activity related to the input of Personal Information. | • Nous avons en place des systèmes d’enregistrement et d’audit afin de contrôler les activités liées à la saisie d’Informations personnelles. |
Order control | Contrôle des commandes |
• We ensure that all requests from you with respect to Personal Information are processed strictly in compliance with your instructions through the use of clear and unambiguous contract terms; comprehensive Statements of Work; appropriately designed policies and processes, and training. | • Nous veillons à ce que toutes vos demandes liées aux Informations personnelles soient traitées en respectant strictement vos instructions, grâce à l’utilisation de conditions contractuelles claires et sans ambiguïtés, à des Énoncés des travaux complets, à des politiques et processus dûment conçus, et à des formations. |
Availability control | Contrôle de la disponibilité |
• We protect Personal Information in our possession against unintentional destruction or loss by implementing appropriate management, operations, and technical controls such as firewalls; monitoring; and backup procedures. | • Nous protégeons les Informations personnelles en notre possession contre toute destruction fortuite ou toute perte en mettant en place les contrôles de gestion, contrôles opérationnels et contrôles techniques appropriés, tels que des pare-feux, une surveillance et des procédures de sauvegarde. |
• Example measures that may also be taken include mirroring of storage media, uninterruptible power supply (UPS); remote storage; and disaster recovery plans. | • Les mesures susceptibles d’être prises comprennent, par exemple, la copie des supports de stockage, l’utilisation d’une alimentation électrique ininterrompue, le stockage à distance et des plans de reprise après sinistre. |