Addendum sur le traitement des données MyInsights®

Dernière mise à jour :  20 novembre 2025

Cet addendum fait partie des Conditions du système MyInsights®, de l’Accord-cadre MyInsights ou d’un autre accord écrit ou électronique entre nous (« la Société ») et le Client, qui intègre cet addendum par référence (le « Contrat ») pour l’utilisation du Système, et énonce les termes relatifs à la confidentialité, à la sécurité des informations personnelles (telles que définies ci-dessous). En cas de conflit entre cet addendum et l’Accord, cet addendum prévaudrait en ce qui concerne le traitement des informations personnelles. Tous les termes en majuscules utilisés, mais non définis dans cet addendum, ont les significations attribuées à ces termes dans l’Accord.

Les parties s’entendent comme suit :

« Affilié » désigne toute entité qui contrôle, est contrôlée ou est sous un contrôle commun avec la partie concernée, où « Contrôle » désigne la possession, directe ou indirectement, du pouvoir de diriger ou d’entraîner la direction ou les politiques d’une autre société ou entité juridique, que ce soit : (i) par la propriété d’actions ou de titres avec droit de vote ; (ii) par la propriété d’une société de personnes ou d’une participation à l’adhésion ; (iii) par contrat ; ou (iv) autrement.

« Affiliés autorisés » désigne tout affilié du client autorisé à utiliser le Système en vertu de l’Accord.

« CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs, le Code civil de Californie § 1798.100 et suivants, tel que modifié par la loi californienne sur les droits à la vie privée, ainsi que ses règlements d’application.

« Responsable des données » désigne une personne qui, seule ou conjointement, détermine les finalités et les moyens du traitement des informations personnelles, y compris toute « entreprise » telle que définie par la CCPA.

« Traiteur de données » désigne une personne qui traite des informations personnelles au nom du Responsable de Traiteur, y compris tout « fournisseur de services » tel que ce terme est défini par la CCPA ou d’autres lois applicables sur la confidentialité.  

« Europe » signifie l’Union européenne, l’Espace économique européen, la Suisse et le Royaume-Uni.

« Demande d’autorité gouvernementale » désigne toute assignation, mandat ou autre ordonnance judiciaire, réglementaire, gouvernementale ou administrative, procédure, demande ou demande (formelle ou informelle) par une autorité gouvernementale ou quasi-gouvernementale ou autre autorité régulatrice (y compris les forces de l’ordre ou les agences de renseignement) cherchant ou exigeant l’accès ou la divulgation de renseignements personnels.

« Incident de sécurité de l’information » signifie (i) toute destruction, perte, mauvaise utilisation, modification, accès non autorisé à, divulgation ou acquisition de toute information personnelle ; ou (ii) toute « violation des garanties de sécurité » ou « incident de confidentialité » tel que défini conformément aux lois applicables sur la vie privée.  L’incident de sécurité de l’information n’inclut pas les tentatives ou activités infructueuses qui ne compromettent pas la sécurité des informations personnelles, y compris les tentatives de connexion infructueuses, les pings, les scans de ports, les attaques par déni de service et d’autres attaques réseau contre des pare-feux ou systèmes en réseau.

« Informations personnelles » désigne toute donnée électronique fournie par ou pour le Client ou ses affiliés autorisés aux services cloud, y compris les données MyInsights, qui identifie, se rapporte, décrit, peut être associée à, ou pourrait raisonnablement être relée, directement ou indirectement, à un individu ou un ménage identifié, identifiable ou particulier, quel que soit le support dans lequel elle est contenue. 

« ARTEDA » désigne la Loi sur la protection des renseignements personnels et les documents électroniques (Canada), S.C. 2000, chapitre 5, telle que modifiée de temps à autre, ainsi que les règlements qui y sont attachés.

« Traiter », « Traité » ou « Traiter » désigne toute opération ou ensemble d’opérations réalisées sur des informations personnelles ou sur des ensembles d’informations personnelles, que ce soit par des moyens automatiques, tels que la création, la collecte, l’obtention, la conservation, l’accès, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation, la transmission, l’alignement, la combinaison, la restriction, l’anonymisation, la suppression ou la destruction des données.

« Lois sur la vie privée » désigne les lois, règles, règlements, directives et exigences gouvernementales applicables au traitement des informations personnelles conformément à l’Accord, y compris, le cas échéant, la CCPA, la PIPEDA et les lois provinciales sur la vie privée.

« Lois provinciales sur la protection des renseignements personnels » désigne la Loi sur la protection des renseignements personnels, SA 2003, c P-6.5 (Alberta), la Loi sur la protection des renseignements personnels, SBC 2003, c 63 (Colombie-Britannique), et la Loi relative à la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1 (Québec), chacune modifiée de temps à autre et accompagnée des règlements qui y découlent.

« Vendre » et « Partager » ont les significations attribuées à ces termes dans la loi applicable sur la vie privée.

« Sous-traiteur » désigne un tiers autorisé en tant qu’autre Traiteur de données en vertu de cet addendum à avoir accès à et à traiter des informations personnelles pour fournir des parties du Système.

            (a.)                Le client a l’autorité exclusive de déterminer les finalités pour lesquelles la société et ses sous-traitants peuvent traiter des informations personnelles. La société et ses sous-traiteurs doivent traiter les informations personnelles uniquement aux fins de (i) remplir les obligations de la société conformément à l’Accord et aux instructions écrites documentées du Client (y compris, sans s’y limiter, la fourniture du Système), ou (ii) selon les exigences ou l’autorisation contraires en vertu de la loi applicable ou de l’Accord (collectivement, les « Objectifs”). Sauf indication contraire des lois sur la vie privée, la société ne doit pas traiter les informations personnelles à d’autres fins ou en dehors de la relation commerciale directe entre le Client et la Société, ni combiner les informations personnelles avec d’autres informations personnelles reçues par la Société d’un tiers ou collectées indépendamment de l’Accord.  

            (b.)                Les parties anticipent que le Client agira en tant que Responsable des Données et que la Société agira en tant que Traiteur des Données concernant le traitement des informations personnelles en vertu de l’Accord, tel que décrit actuellement à l’Annexe 1 de cet addendum.  Le client doit fournir tous les avis requis à toutes les personnes concernées et obtenir tous les consentements requis avant de fournir, transférer, communiquer ou rendre accessible toute information personnelle concernant ces personnes à la société ou à ses sous-traitants (y compris tout avis et consentement requis pour que la société et ses sous-traitants puissent traiter légalement les informations personnelles aux fins et autrement conformément à l’accord et à cet addendum). chacun sous une ou plusieurs formes conformes à toutes les lois sur la vie privée et à toute directive applicable émise ou publiée par toute autorité gouvernementale ou réglementaire concernée (y compris toute autorité de supervision ou commissaire à la vie privée concernée) ; (ii) conserver les registres appropriés des avis et consentements décrits ci-dessus, et fournir rapidement des preuves de ces avis et consentements à la Société à la demande de la Société ; et (iii) prendre toutes les mesures raisonnables pour garantir que les informations personnelles sont exactes, à jour et limitées au minimum d’informations personnelles requises par la société pour l’exécution de ses obligations en vertu de l’Accord. 

            (c.)                Toute information personnelle serait, en tout temps, et restera, la propriété exclusive du Client et la société n’y aura ni n’obtiendra aucun droit en ce sens, sauf disposition contraire dans l’Accord. 

            (d.)                Le client inscrit cet addendum en son nom et, dans la mesure requise par les lois applicables sur la vie privée, au nom et au nom de ses affiliés autorisés, si et dans la mesure où l’entreprise traite des informations personnelles pour lesquelles ces affiliés autorisés sont qualifiés de responsable de traitement des données. Pour éviter tout doute, un affilié autorisé n’est pas et ne devient pas partie à l’Accord. Tout accès et utilisation du Système par les affiliés autorisés doivent respecter les termes de l’Accord et toute violation des termes par un Affilié Autorisé sera considérée comme une violation par le Client. Le client reste responsable de coordonner toutes les communications avec la Société dans le cadre de cet addendum et a le droit d’effectuer et recevoir toute communication liée à cet addendum au nom de ses affiliés autorisés.

            (a.)                La société ne doit pas partager, transférer, divulguer, communiquer, mettre à disposition ou fournir un accès à des informations personnelles à un tiers partie, sauf si nécessaire pour la fourniture du Système au Client, tel que dirigé ou convenu par le Client, ou autrement permis par l’Accord ou exigé par la loi applicable. Le client accepte l’engagement par la société de sous-traitants pour fournir le Système, et sait que ces sous-traitants peuvent recevoir, avoir accès et traiter des informations personnelles au nom de la société.  La société conclura un accord écrit avec chaque sous-traiteur qui impose des obligations substantiellement similaires à celles imposées à la société dans le cadre de cet addendum. Sur demande écrite, la société doit fournir au client une liste de ses sous-traitants qui traitent les informations personnelles. 

            (b.)                La société ne doit pas vendre ni partager d’informations personnelles, et les parties ici reconnaissent et acceptent que le client ne vend ni ne partage d’informations personnelles à la société en lien avec le système fourni par la société au nom du client conformément à l’accord.

            (c.)               Le client accepte que la société et ses sous-traitants puissent transférer, transmettre, divulguer, communiquer, stocker ou traiter d’autres informations personnelles partout dans le monde où la société ou ses sous-traitants entretiennent des opérations de traitement des données.  Pour éviter tout doute, le client reconnaît que la société et ses sous-traiteurs transfèrent, communiquer, stocker et traiter autrement les données MyInsights, y compris toute information personnelle, aux États-Unis.  Le client doit prendre toutes les mesures requises en vertu des lois sur la vie privée pour permettre à l’entreprise et à ses sous-traitants de traiter des informations personnelles en dehors de la province et du pays où se trouvent le client et les personnes concernées, y compris, sans limitation, en fournissant les avis requis et en effectuant les évaluations requises concernant ces données transfrontalières Activités de traitement.  Sans limiter ce qui précède, le client doit, dans la mesure requise par les lois sur la vie privée, s’assurer que toutes les personnes à qui se rapportent les renseignements personnels sont informés que leurs renseignements personnels seront transférés et stockés à l’extérieur du Canada (et, s’ils se trouvent au Québec, seront communiqués à l’extérieur du Québec) et pourront être consultés par des tribunaux étrangers, les forces de l’ordre et les autorités de sécurité nationale.

            (d.)                Le client reconnaît que son utilisation du Système est limitée au Canada, au Mexique et aux États-Unis.  Le client déclare que la société ne traitera pas les informations personnelles relatives à des individus en Europe.  

            (e.)                La société doit informer rapidement le client par écrit de toute demande, plainte ou information concernant les informations personnelles reçues de consommateurs, employés, agents, consultants, contractuels ou autres, sauf restriction en vertu de la loi applicable. Sous réserve de toute exigence applicable à la société en vertu des lois applicables, y compris les lois sur la vie privée, le client doit répondre à ces demandes. 

            (f.)                La société et le client doivent raisonnablement coopérer si une personne demande l’accès, les mises à jour ou la suppression de ses informations personnelles, demande la restriction ou s’oppose au traitement de ses informations personnelles, ou effectue une demande de portabilité des données pour quelque raison que ce soit.  Le client est responsable de toutes les dépenses que la Société encourra en vertu de la présente section III(F).

            (g.)                La société doit mettre en œuvre et maintenir une procédure documentée pour examiner et répondre aux demandes des autorités gouvernementales. Cette procédure exigera que la société :

                                (1.)                  Dans la mesure maximale autorisée par la loi, informer rapidement le client par écrit de toute demande de cette autorité gouvernementale et coopérer avec le client pour répondre à cette demande ;

                                (2.)                 Examiner toute demande d’autorité gouvernementale afin de déterminer si la demande est valide, juridiquement contraignante et légale, et rejeter ou contester toute demande qui n’est pas valide, juridiquement contraignante et légale ; et

                                (3.)                Veillez à ce que les informations personnelles divulguées ou auxquelles l’accès est fourni soient proportionnées et limitées au minimum strictement nécessaire pour se conformer à la demande de l’autorité gouvernementale. La société doit, dans la mesure maximale permise par la loi applicable, supprimer toute information avant divulgation ou accès qui permettrait à une personne d’être directement identifiée à partir des données divulguées ou auxquelles un accès est accordé.

            (h.)                Sous réserve de toute restriction légale, le client doit raisonnablement coopérer avec la Société et ses affiliés pour répondre à toute demande d’autorité gouvernementale ou toute autre demande, revendication, action, plainte, enquête ou audit d’un tiers concernant le traitement des informations personnelles en lien avec l’Accord (« Action juridique »"), y compris, mais sans s’y limiter, toute action juridique de ce type intentée par toute personne dont les informations personnelles sont traitées par la société ou ses sous-traitants en lien avec l’Accord et/ou toute autorité de supervision ou commissaire à la vie privée pertinente.

            (i.)                La société doit mettre en œuvre et maintenir des mesures appropriées, physiques, techniques, administratives et organisationnelles afin de protéger les informations personnelles contre les incidents de sécurité de l’information et de préserver la sécurité et la confidentialité des informations personnelles traitées par la société. Les mesures physiques, techniques, administratives et organisationnelles sont soumises à des progrès et développements techniques, et la Société peut mettre à jour ou modifier ces mesures de temps à autre, à condition que les mises à jour et modifications ne dégradent pas matériellement la sécurité des informations personnelles. 

            (a.)               Chaque partie doit se conformer à toutes les lois sur la vie privée relatives au traitement des informations personnelles conformément à l’Accord. La société doit informer rapidement le client si, selon l’avis de la société, une instruction du client enfreint les lois applicables sur la confidentialité. Néanmoins ce qui précède, le Client est seul responsable d’évaluer et de confirmer que sa configuration, son utilisation et sa réception du Système (ainsi que par ses affiliés autorisés) (ainsi que le traitement des informations personnelles nécessaires à la fourniture du Système) respectent les obligations du client et de ses affiliés autorisés en vertu des lois sur la vie privée à tous égards.

            (b.)                La société certifie qu’elle comprend et respectera les exigences et restrictions énoncées dans cet addendum. 

            (c.)                À la demande du Client, la Société doit fournir une assistance raisonnable nécessaire pour remplir l’obligation du Client en vertu des lois sur la vie privée de réaliser une évaluation de l’impact sur la vie privée ou la protection des données et toute consultation réglementaire liée à l’utilisation du Système par le Client, dans la mesure où le Client n’a pas accès aux informations pertinentes et que ces informations sont disponibles pour Compagnie. En nonobstant tout ce qui est contraire dans l’Accord, la société doit fournir cette assistance aux frais du client.

            (d.)                La société doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou contractant de la société qui pourrait avoir accès aux informations personnelles, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.

            (e.)                La société doit informer rapidement par écrit le client de tout incident de sécurité de l’information dont la société aura connaissance.  La société doit faire des efforts raisonnables pour identifier la cause de cet incident de sécurité de l’information et prendre les mesures que la société jugera nécessaires et raisonnables pour remédier à la cause de cet incident de sécurité de l’information dans la mesure où cette réparation est dans la mesure Contrôle raisonnable de la société.  Les obligations qui sont présentes ne s’appliquent pas aux incidents causés par le Client ou ses affiliés autorisés. 

Dans la mesure où la suppression ou le retour d’informations personnelles n’est pas spécifié dans l’Accord, la Société supprimera ou retournera, à la réception de la demande écrite du Client, des informations personnelles dans un délai raisonnable à confirmer par la Société.  Nonobstant la phrase précédente, la Société et ses sous-traitants peuvent conserver toute Information Personnelle (i) requise pour le respect de toute obligation légale ou réglementaire applicable à la Société ou tout sous-traiteur, y compris les informations personnelles soumis à une retenue de conservation de documents établie dans le cadre de toute enquête, audit ou contentieux civil, réglementaire ou pénal ; (ii) contenu dans le stockage informatique d’archives ou de sauvegarde de la Société ou de tout sous-traiteur, cette société ou sous-traiteur, selon le cas, sera éventuellement supprimé conformément aux politiques de suppression de la société ou du sous-processeur ; ou (iii) autrement autorisé par l’Accord.  

Sur demande écrite du Client, au maximum une fois par an et sous réserve des obligations confiantes énoncées dans l’Accord, la Société doit fournir au Client ou à son auditeur mandaté les certifications les plus récentes, les rapports d’audit sommaires ou les deux, que la Société a obtenus pour démontrer la conformité à cet addendum. Si des informations supplémentaires sont nécessaires pour que le client se conforme à ses obligations légales en vertu des lois sur la vie privée, le client doit soumettre par écrit à la société une demande de telles informations.  Toute information fournie par la société en réponse à une telle demande devra être fournie aux frais du client.

Cet addendum ne survivra à toute résiliation ou expiration de l’Accord que dans la mesure où la société conserve des informations personnelles.

            (a)                Pour éviter tout doute, toute réclamation ou recours que le client pourrait avoir contre la société ou tout sous-traitant découlant de ce nouvel addendum ou en lien avec ce supplément sera soumis à toute clause de limitation de responsabilité (y compris tout plafond financier global convenu) applicable en vertu de l’accord.  Le client doit indemniser et tenir la société et ses sous-traiteurs sans responsabilité contre et contre toutes les pertes, dommages, responsabilités, amendes, pénalités réglementaires, coûts ou dépenses (y compris frais juridiques et déboursements) encourus par la Société ou tout sous-traiteur qui surviennent en raison du non-respect par le client ou un affilié autorisé de ses obligations en vertu de cet addendum ou de toute loi applicable sur la confidentialité.  Le client reconnaît en outre que toute perte, les dommages, responsabilités, amendes, pénalités réglementaires, coûts ou dépenses engagés par la Société résultant du non-respect par le client ou tout affilié autorisé à ses obligations en vertu de cet addendum ou de toute loi applicable sur la vie privée compteront et réduiront la responsabilité de la société en vertu de l’Accord comme s’il s’agissait d’une responsabilité envers le Client en vertu de l’Accord.

            (b)                  Le Client et la Société reconnaissent que les lois relatives à la vie privée et à la protection des données, y compris les lois sur la vie privée, évoluent et qu’une modification de l’Accord ou de cet addendum peut être nécessaire pour garantir la conformité à ces développements.  Les parties s’engagent à prendre les mesures nécessaires pour mettre en œuvre les normes et exigences applicables à la vie privée Des lois, y compris la négociation de bonne foi pour modifier l’Accord ou ce document annexe selon les besoins pour se conformer à ces lois.

            (c)                  Les parties ont expressément demandé que cet addendum et tous les documents associés soient rédigés uniquement en anglais. Les parties ont expressément exigé que le présent avenant relatif au traitement des renseignements personnels ainsi que tout document s’y rattachant soient rédigés en anglais seulement. 

Cette pièce 1 fait partie de l’addendum et doit être complétée par les parties.

a)                   Objet et durée des activités de traitement : Les parties reconnaissent et conviennent que la société et ses sous-traiteurs peuvent traiter des informations personnelles au nom du client dans le but de fournir le Système en vertu de l’Accord et pour d’autres fins décrites dans ce supplément. La durée du traitement est égale à celle de l’Accord, sous réserve de la section V de l’avenant. 

a.                    Personnes concernées : Les informations personnelles concernent les catégories suivantes :

-          Les employés et les entrepreneurs du client.

b.                    Catégories d’informations personnelles : Le client peut soumettre des informations personnelles aux services cloud, dont l’étendue est déterminée et contrôlée par le client, et qui peut inclure les catégories suivantes d’informations personnelles :

-        Prénom et nom de famille

-        Titre/Position/Rôle de l’utilisateur

-        Informations de contact professionnelles (par exemple entreprise, adresse e-mail, numéro de téléphone, adresse physique professionnelle)

-        Données de géolocalisation (par exemple, la localisation des employés et des entrepreneurs du client lors de l’utilisation de véhicules dans les locaux du client)

-        Tâches et activités, ainsi que dates, heures et durées associées, lors de l’utilisation des véhicules.

-        Autres informations personnelles : les utilisateurs autorisés des clients saisissent manuellement dans les services cloud.

c.                    Catégories particulières d’informations personnelles (si applicable) : Aucun.