Addendum sur le traitement des données MyInsights

Dernière mise à jour :  29 avril 2025

Le présent addendum fait partie des conditions du système MyInsights, de l’accord-cadre MyInsights ou de tout autre accord écrit ou électronique entre nous (« la Société ») et le client qui intègre cet addendum par référence (l'« Accord ») pour l’utilisation du système, et énonce les conditions relatives à la confidentialité, à la confidentialité et à la sécurité des informations personnelles (telles que définies ci-dessous). En cas de conflit entre le présent addendum et l’Accord, le présent addendum prévaudra en ce qui concerne le Traitement des Informations personnelles. Tous les termes commençant par une majuscule utilisés, mais non définis dans le présent addendum, ont le sens qui leur est attribué dans l’Accord.

Les parties conviennent de ce qui suit :

« Affilié » désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec la partie concernée, où « Contrôle » désigne la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la gestion ou les politiques d’une autre société ou entité juridique, que ce soit : (i) par la propriété d’actions ou de titres avec droit de vote ; (ii) par la propriété d’une participation dans une société de personnes ou une participation ; (iii) par contrat ; ou (iv) autrement.

« Affiliés autorisés » désigne l’un des Affiliés du Client qui sont autorisés à utiliser le Système en vertu du Contrat.

« CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs, Cal. Civ. Code § 1798.100 et suivants, telle que modifiée par la loi californienne sur les droits à la vie privée, et ses règlements d’application.

« Responsable du traitement des données » désigne une personne qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Informations personnelles, y compris toute « entreprise » telle que ce terme est défini par le CCPA.

« Sous-traitant » désigne une personne qui traite des informations personnelles pour le compte du contrôleur de données, y compris tout « fournisseur de services » tel que ce terme est défini par le CCPA ou d’autres lois applicables en matière de protection de la vie privée.  

« Europe » désigne l’Union européenne, l’Espace économique européen, la Suisse et le Royaume-Uni.

« Demande d’une autorité gouvernementale » désigne toute citation à comparaître, mandat ou autre ordonnance, procédure, demande ou demande judiciaire, réglementaire, gouvernementale ou administrative (formelle ou informelle) d’une autorité gouvernementale ou quasi gouvernementale ou d’une autre autorité réglementaire (y compris les organismes d’application de la loi ou de renseignement) cherchant ou exigeant l’accès ou la divulgation de renseignements personnels.

« Incident de sécurité de l’information » désigne (i) toute destruction, perte, utilisation abusive, modification, accès non autorisé, divulgation ou acquisition de renseignements personnels ; ou (ii) toute « violation des mesures de sécurité » ou « incident de confidentialité » tel que défini conformément aux lois applicables en matière de protection de la vie privée.  L’incident de sécurité de l’information n’inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des informations personnelles, y compris les tentatives de connexion infructueuses, les pings, les balayages de port, les attaques par déni de service et autres attaques réseau sur les pare-feu ou les systèmes en réseau.

« Renseignements personnels » désigne toute donnée électronique fournie par ou pour le Client ou ses Sociétés affiliées autorisées aux Services Cloud, y compris les Données MyInsights, qui identifie, se rapporte à, décrit, peut être associée ou pourrait raisonnablement être liée, directement ou indirectement, à une personne ou à un ménage identifié, identifiable ou particulier, quel que soit le support dans lequel elle est contenue. 

« LPRPDE » désigne la Loi sur la protection des renseignements personnels et les documents électroniques (Canada), L.C. 2000, ch. 5, avec ses modifications successives, ainsi que ses règlements d’application.

« Traiter », « Traité » ou « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des Informations personnelles ou sur des ensembles d’Informations personnelles, que ce soit ou non par des moyens automatiques, telles que la création, la collecte, l’acquisition, l’obtention, la conservation, l’accès, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation, la transmission, l’alignement, la combinaison, la restriction, l’anonymisation, la suppression ou la destruction des données.

« Lois sur la protection de la vie privée » désigne les lois, les règles, les règlements, les directives et les exigences gouvernementales qui s’appliquent au Traitement des renseignements personnels conformément à l’Accord, y compris, le cas échéant, la CCPA, la LPRPDE et les Lois provinciales sur la protection de la vie privée.

« Lois provinciales sur la protection des renseignements personnels » désigne la Personal Information Protection Act, SA 2003, c P-6.5 (Alberta), la Personal Information Protection Act, SBC 2003, c 63 (Colombie-Britannique), et la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 (Québec), chacune avec ses modifications successives et ses règlements d’application.

« Vendre » et « Partager » ont le sens attribué à ces termes dans la Loi sur la protection de la vie privée applicable.

« Sous-traitant ultérieur » désigne un tiers autorisé en tant qu’autre Sous-traitant des données en vertu du présent addendum à avoir accès aux Informations personnelles et à les traiter pour fournir des parties du Système.

            (a.)                Le Client a le pouvoir exclusif de déterminer les finalités et les moyens du Traitement des Informations personnelles. La Société ne traitera les Informations personnelles qu’au nom et au profit du Client, et dans le seul but de s’acquitter de ses obligations en vertu de l’Accord et des instructions écrites documentées du Client, ou comme autrement requis ou autorisé en vertu de la loi applicable. La Société ne traitera pas les Informations personnelles à d’autres fins ou en dehors de la relation commerciale directe entre le Client et la Société. Sauf dans les cas autorisés par les Lois sur la protection de la vie privée, la Société ne doit pas combiner les Renseignements personnels avec d’autres renseignements personnels qu’elle reçoit d’un tiers ou qu’elle recueille indépendamment de l’Accord.

            (b.)                Les Parties prévoient que le Client agira en tant que Responsable du traitement des données et que la Société agira en tant que Sous-traitant des données en ce qui concerne le Traitement des informations personnelles dans le cadre de l’Accord, tel que décrit actuellement à l’Annexe 1 du présent addendum.  Le Client doit fournir tous les avis requis à toutes les personnes concernées et obtenir tous les consentements requis de celles-ci avant de fournir des Informations personnelles concernant ces personnes à la Société (y compris tous les avis et consentements requis pour que la Société puisse traiter les Informations personnelles conformément à l’Accord et au présent addenda), conformément aux Lois sur la protection de la vie privée et à toute directive applicable émise ou publiée par toute autorité gouvernementale ou réglementaire compétente (y compris toute autorité de surveillance compétente ou commissaire à la protection de la vie privée) ; (ii) conserver des registres appropriés des avis et consentements décrits ci-dessus, et fournir rapidement la preuve de ces avis et consentements à la Société à la demande de la Société ; et (iii) prendre toutes les mesures raisonnables pour s’assurer que les Informations personnelles fournies à la Société par le Client sont exactes, à jour et limitées aux seules Informations personnelles minimales requises par la Société aux fins de l’exécution de l’Accord. 

            (c.)                Toutes les Informations personnelles seront, à tout moment, et resteront la propriété exclusive du Client et la Société n’aura ni n’obtiendra aucun droit sur celles-ci, sauf disposition contraire dans l’Accord. 

            (d.)                Le Client conclut le présent addendum en son nom et, dans la mesure requise par les Lois applicables en matière de protection de la vie privée, au nom et pour le compte de ses Sociétés affiliées autorisées, si et dans la mesure où la Société traite des Informations personnelles pour lesquelles ces Sociétés affiliées autorisées sont qualifiées en tant que Contrôleur de données. Pour éviter toute ambiguïté, un Affilié autorisé n’est pas et ne devient pas partie à l’Accord. Tout accès et toute utilisation du système par des affiliés autorisés doivent être conformes aux conditions de l’accord et toute violation des conditions de l’accord par un affilié autorisé sera considérée comme une violation par le client. Le Client reste responsable de la coordination de toutes les communications avec la Société en vertu du présent addendum et a le droit d’effectuer et de recevoir toute communication relative au présent addendum au nom de ses Affiliés autorisés.

            (a.)                La Société ne doit pas partager, transférer, divulguer, mettre à disposition ou fournir de toute autre manière l’accès à des Informations personnelles à une tierce partie, sauf si cela est nécessaire pour la fourniture du Système au Client ou si cela est autrement autorisé par l’Accord ou requis par la loi applicable. Le Client fournit une autorisation générale à l’utilisation par la Société de Sous-traitants ultérieurs pour fournir des activités de traitement des Informations personnelles au nom de la Société.  La Société doit conclure un accord écrit avec chaque Sous-traitant ultérieur qui impose au Sous-traitant ultérieur des obligations essentiellement similaires à celles imposées à la Société en vertu du présent addendum. En cas de manquement du Sous-traitant ultérieur à ses obligations, la Société reste entièrement responsable vis-à-vis du Client de l’exécution de ces obligations du Sous-traitant ultérieur. Sur demande écrite, la Société fournira au Client une liste de ses Sous-traitants qui traitent les Informations personnelles. 

            (b.)                La Société ne doit pas vendre ou partager d’Informations personnelles, et les Parties aux présentes reconnaissent et conviennent que le Client ne vend ni ne partage d’Informations personnelles à la Société en relation avec le Système fourni par la Société au nom du Client conformément à l’Accord.

            (c.)                Le Client accepte que la Société puisse transférer, transmettre, divulguer ou traiter d’une autre manière les Informations personnelles partout dans le monde où la Société ou ses Sous-traitants ultérieurs maintiennent des opérations de traitement des données nécessaires pour fournir le Système au Client.  Pour éviter toute ambiguïté, Le Client reconnaît que la Société et ses Sous-traitants transfèrent et stockent les Données MyInsights, y compris les Informations personnelles, aux États-Unis.  Le Client doit prendre toutes les mesures requises en vertu des Lois sur la protection de la vie privée pour permettre à la Société et à ses Sous-traitants de traiter les Informations personnelles en dehors de la province et du pays où se trouvent le Client et les personnes concernées, y compris, sans s’y limiter, fournir tous les avis requis et effectuer toutes les évaluations requises concernant ces activités de traitement de données transfrontalières.  

            (d.)                Le Client reconnaît que son utilisation du Système est limitée au Canada, au Mexique et aux États-Unis.  Le Client déclare que la Société ne traitera pas d’Informations personnelles relatives à des personnes en Europe.  

            (e.)                La Société informera rapidement le Client par écrit de toute enquête, plainte ou demande concernant les Informations personnelles reçues de consommateurs, d’employés, d’agents, de consultants, d’entrepreneurs ou d’autres personnes, à moins que la loi applicable ne l’en empêche. Sous réserve de toutes les exigences applicables à la Société en vertu des lois applicables, y compris les Lois sur la protection de la vie privée, la Société répondra à ces demandes conformément aux instructions du Client. 

            (f.)                La Société et le Client doivent coopérer raisonnablement l’un avec l’autre si une personne demande l’accès, les mises à jour ou la suppression de ses Informations personnelles, demande la restriction ou s’oppose au Traitement de ses Informations personnelles, ou fait une demande de portabilité des données pour quelque raison que ce soit.  Le Client est responsable de tous les frais encourus par la Société en vertu de la présente section III(F).

            (g.)                La société doit mettre en œuvre et tenir à jour une procédure documentée pour examiner et répondre aux demandes des autorités gouvernementales. Cette procédure exige que la Société :

                                (i.)                  Dans toute la mesure permise par la loi, informer rapidement le Client, par écrit, d’une telle Demande d’une autorité gouvernementale et coopérer avec le Client pour répondre à une telle demande ;

                                (II.)                 Examiner toute demande d’une autorité gouvernementale pour déterminer si la demande est valide, juridiquement contraignante et légale et rejeter ou contester toute demande qui n’est pas valide, juridiquement contraignante et légale ; et

                                (iii.)                S’assurer que les renseignements personnels divulgués ou auxquels l’accès est fourni sont proportionnels et limités à la quantité minimale strictement nécessaire pour se conformer à la demande de l’autorité gouvernementale. La Société doit, dans toute la mesure permise par la loi applicable, supprimer toute information préalable à la divulgation ou à l’accès qui permettrait d’identifier directement une personne à partir des données divulguées ou auxquelles l’accès est fourni.

            (h.)                Sous réserve de toute restriction légale, le Client doit coopérer raisonnablement avec la Société pour répondre à toute demande d’une autorité gouvernementale ou à toute autre demande, réclamation, action, plainte, enquête ou audit d’un tiers concernant le Traitement des Informations personnelles dans le cadre de l’Accord (« Action en justice »), y compris, mais sans s’y limiter, toute action en justice intentée par toute personne dont les informations personnelles sont traitées par la Société dans le cadre de l’Accord et/ou par toute autorité de surveillance ou commissaire à la protection de la vie privée pertinent.

            (i.)                La Société doit mettre en œuvre et maintenir des mesures physiques, techniques, administratives et organisationnelles appropriées pour protéger les Informations personnelles contre les incidents de sécurité de l’information et pour préserver la sécurité et la confidentialité des Informations personnelles traitées par la Société. Les mesures physiques, techniques, administratives et organisationnelles sont soumises au progrès et au développement techniques, et la Société peut mettre à jour ou modifier ces mesures de temps à autre, à condition que les mises à jour et les modifications n’entraînent pas de dégradation matérielle de la sécurité des services fournis par la Société au Client. 

            (a.)                Chaque Partie doit se conformer à toutes les Lois sur la protection de la vie privée en ce qui concerne le Traitement des Informations personnelles conformément à l’Accord. La Société informera rapidement le Client si, de l’avis de la Société, une instruction du Client enfreint les Lois applicables en matière de protection de la vie privée. 

            (b.)                La Société certifie qu’elle comprend et respectera les exigences et les restrictions énoncées dans le présent addendum. 

            (c.)                À la demande du Client, la Société fournira l’assistance raisonnable nécessaire pour remplir l’obligation du Client en vertu des Lois sur la protection de la vie privée de réaliser une analyse d’impact sur la protection des données et toute consultation réglementaire connexe liée à l’utilisation du Système par le Client, dans la mesure où le Client n’a pas autrement accès aux informations pertinentes et que ces informations sont à la disposition de la Société. Nonobstant toute disposition contraire dans l’Accord, la Société fournira cette assistance aux frais du Client.

            (d.)                La Société doit prendre des mesures raisonnables pour assurer la fiabilité de tout employé, agent ou entrepreneur de la Société qui peut avoir accès aux Informations personnelles, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.

            (e.)                La Société informera rapidement le Client par écrit de tout Incident de sécurité de l’information dont la Société aura connaissance. La Société fera des efforts raisonnables pour identifier la cause de cet Incident de sécurité de l’information, et prendra les mesures que la Société jugera nécessaires et raisonnables pour remédier à la cause de cet Incident de sécurité de l’information.  dans la mesure où la réparation est sous le contrôle raisonnable de la Société.  Les obligations prévues aux présentes ne s’appliquent pas aux incidents causés par le Client ou ses Sociétés affiliées autorisées. 

Dans la mesure où la suppression ou le retour des Informations personnelles n’est pas spécifié dans le Contrat, la Société, dès réception de la demande écrite du Client, supprimera ou rendra, comme déterminé à la seule discrétion de la Société, les Informations personnelles dans un délai raisonnable à confirmer par la Société.  Nonobstant la phrase précédente, la Société et ses Sous-traitants ultérieurs peuvent conserver toutes les Informations personnelles (i) nécessaires au respect de toute obligation légale ou réglementaire applicable à la Société ou tout Sous-traitant ultérieur, y compris les Informations personnelles faisant l’objet d’une conservation de documents établie dans le cadre d’une enquête ou d’un litige civil ou pénal ; (ii) contenus dans le stockage informatique d’archivage ou de sauvegarde de la Société ou d’un Sous-traitant ultérieur que la Société ou le Sous-traitant ultérieur, le cas échéant, protégera contre tout traitement ultérieur et finira par être supprimé conformément aux politiques de suppression de la Société ou du Sous-traitant ultérieur ; ou (iii) autrement autorisé en vertu de l’Accord.  

Sur demande écrite du Client, au plus une fois par an et sous réserve des obligations en toute confiance énoncées dans le Contrat, la Société doit fournir au Client ou à son auditeur mandaté les certifications les plus récentes, les rapports d’audit sommaires ou les deux, que la Société a obtenus pour démontrer la conformité au présent addenda. Si le Client a besoin d’informations supplémentaires pour se conformer à ses obligations légales en vertu des Lois sur la protection de la vie privée, le Client doit soumettre à la Société une demande écrite de ces informations afin de permettre à la Société de fournir ces informations aux frais du Client.

Le présent addendum ne survivra à la résiliation ou à l’expiration de l’Accord que dans la mesure où la Société conserve des informations personnelles.

            (a)                  Pour éviter toute ambiguïté, toute réclamation ou tout recours que le Client peut avoir à l’encontre de la Société ou d’un Sous-traitant ultérieur découlant du présent addendum ou en relation avec celui-ci sera soumis à toute disposition de limitation de responsabilité (y compris tout plafond financier global convenu) qui s’applique en vertu du Contrat.  Le Client doit indemniser la Société et ses Sous-traitants ultérieurs pour toute pénalité réglementaire encourue par la Société ou tout Sous-traitant ultérieur en relation avec les Informations personnelles qui découle de, ou en relation avec le non-respect par le Client de ses obligations en vertu du présent addendum ou de toute Loi sur la protection de la vie privée applicable.  Le Client reconnaît en outre que toute pénalité réglementaire encourue par la Société en relation avec les Informations personnelles qui découle de : ou en relation avec le non-respect par le Client de ses obligations en vertu du présent addendum ou de toute loi applicable en matière de protection de la vie privée, sera prise en compte et réduira la responsabilité de la Société en vertu de l’Accord comme s’il s’agissait d’une responsabilité envers le Client en vertu de l’Accord.

            (b)                  Le Client et la Société reconnaissent que les lois relatives à la confidentialité et à la protection des données, y compris les Lois sur la protection de la vie privée, évoluent et qu’une modification de l’Accord ou du présent addenda peut être nécessaire pour assurer la conformité à ces développements.  Les parties conviennent de prendre les mesures nécessaires pour mettre en œuvre le normes et exigences de toute loi applicable en matière de protection de la vie privée, y compris négocier de bonne foi pour modifier l’accord ou le présent addenda si nécessaire pour se conformer à ces lois.

            c)                  Les parties ont expressément demandé que le présent addendum et tous les documents y afférents soient rédigés en anglais seulement. Les parties ont expressément exigé que le présent avenant relatif au traitement des renseignements personnels ainsi que tout document s’y rattachant soient rédigés en anglais seulement. 

Cette pièce 1 fait partie de l’addenda et doit être remplie par les parties.

a)                    Objet et durée des activités de traitement : Les Parties reconnaissent que la Société peut traiter les Informations personnelles pour le compte du Client dans le but de fournir le Système dans le cadre du Contrat. La durée du Traitement est égale à la durée du Contrat. 

a.                    Personnes concernées : Les renseignements personnels concernent les catégories de personnes suivantes :

-          Employés et sous-traitants du client.

b.                    Catégories d’informations personnelles : Le Client peut soumettre des Informations personnelles aux Services Cloud, dont l’étendue est déterminée et contrôlée par le Client, et qui peuvent inclure les catégories suivantes d’Informations personnelles :

-          Prénom et nom de famille

-          Titre/Poste/Rôle de l’utilisateur

-          Coordonnées (par exemple, entreprise, adresse e-mail, numéro de téléphone, adresse professionnelle physique)

-          Données de géolocalisation

-          Autres informations personnelles que les utilisateurs autorisés du client saisissent manuellement dans les services cloud.

c.                    Catégories spéciales d’informations personnelles (le cas échéant) : Aucun.