EN FR

Accord de traitement des données personnelles

Dernière mise à jour : le 25 février, 2019

1. Préambule

1.1 Le présent accord de traitement des données personnelles (« ADP ») fait partie intégrante du contrat de service (« contrat de service ») conclu entre Learning Agents Inc., société canadienne (« prestataire du service »), prestataire du service CanCred Factory , qui est un service émettant et gérant des identifiants numériques (« service ») et son client (« client ») concernant le service.

1.2 Le présent ADP a pour objectif (i) de convenir de la confidentialité et de la protection des données des données personnelles du client et / ou de ses employés, agents, sous-traitants et clients traités par le prestataire du service dans le cadre du service pour le compte du client. Client en vertu ou en relation avec le Contrat de service (« Données personnelles du client »). Le prestataire du service s’est engagé à respecter le règlement général de l’Union européenne (« GDPR ») et le présent ADP incorpore à l’accord de service les dispositions pertinentes du GDPR.

1.3 Si les conditions concernant le traitement des données personnelles du client de la DPA et le contrat de service sont en conflit, les parties appliqueront les conditions de la présente ADP.

2. Définitions

2.1 Conformément au GDPR, les termes ci-dessous sont définis comme suit:

(a) « Contrôleur » désigne le client, qui détermine les objectifs et les moyens / méthodes du traitement des données personnelles du client.

(b) « Processeur » désigne le prestataire du service, qui traite les données personnelles du client pour le compte du client, en vue de remplir ses obligations en vertu du contrat de service, du présent ADP et des instructions documentées du client.

(c) « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur les données personnelles du client ou des ensembles de données personnelles du client, que ce soit de manière automatisée ou non, telle que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification de données. , récupération, consultation, utilisation, divulgation par transmission, diffusion ou toute autre mise à disposition, alignement ou combinaison, restriction, suppression ou destruction. Les mots « traiter » et « traité » auront le même sens que « traitement ».

(d) « Données personnelles » désigne toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») traitée par le prestataire du service pour le compte du client. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques aux facteurs physique, physiologique, physique et physique. identité génétique, mentale, économique, culturelle ou sociale de cette personne physique.

(e) « Violation de données personnelles »: une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal à des données personnelles du client transmises, stockées ou autrement traitées par le client et / ou le prestataire du service et / ou ses sous-processeurs.

3. Rights and Obligations of the Service Provider

3.1 Désignation du contrôleur-processeur. Le client détermine l’objectif et les moyens / méthodes des activités de traitement des données personnelles du client effectuées par le fournisseur de services pour la fourniture des services dans le cadre du contrat de service. Il est considéré comme le contrôleur. Le prestataire du service traite les données personnelles du client pour le compte du client, sur la base du contrat de service, du présent ADP et des instructions écrites du client, et est considéré comme le processeur. Les données personnelles du client que le prestataire du service traite peuvent concerner les employés, agents, sous-traitants ou clients du client.

3.2 Conformité aux lois. (a) Le prestataire du service s’engage à respecter les lois en vigueur sur la protection des données et les ordonnances des autorités de protection des données en vigueur concernant les activités de traitement des données à caractère personnel, y compris le GDPR, et, si nécessaire, à modifier les termes du présent ADP pour les rendre conformes. (b) Le prestataire du service est obligé, en tenant compte de la nature du traitement des données à caractère personnel du client et de l’ampleur du traitement, d’aider le client à s’assurer que celui-ci se conforme à ses obligations légales. Les obligations légales du Client peuvent inclure des obligations en matière de sécurité des données, de notification des violations de données à caractère personnel, d’études d’impact sur la protection des données et de consultations préalables avec les autorités de protection des données. Le prestataire du service est tenu d’assister le client uniquement dans la mesure où la législation en vigueur oblige tout responsable du traitement de données à caractère personnel.

3.3 Motifs de traitement. Le prestataire du service est uniquement autorisé à traiter les données personnelles du client sur la base du contrat de service, du présent ADP et conformément aux instructions écrites du client et uniquement dans la mesure et de la manière nécessaires pour fournir les services.

3.4 Conflit. Le prestataire du service informera immédiatement le client si, à son avis, une instruction du client peut enfreindre ou contredire toute législation applicable en matière de protection des données de l’UE ou du pays concerné dans l’UE. Si un tel conflit est détecté par le prestataire du service, celui-ci peut immédiatement refuser et cesser de fournir les services au client.

3.5 Enregistrements de traitement. Le prestataire du service conservera la description du service et les autres enregistrements des opérations de traitement du service prescrites par le GDPR pour les responsables du traitement de données à caractère personnel.

3.6 Suppression / retour des données. Après l’expiration ou la résiliation du contrat de service, le prestataire du service retournera ou supprimera toutes les données personnelles du client, conformément aux instructions du client et / ou du contrat de service, et supprimera tous les doublons, sauf si la législation en vigueur exige la conservation des données personnelles du client.

3.7 Sous-traitants. (a) Le prestataire du service peut faire appel à des sous-traitants (« sous-traitants ») pour traiter les données personnelles du client. (b) Le prestataire du service est responsable des actions de ses sous-processeurs. (c) Le prestataire du service conclura avec les sous-traitants des contrats de service écrits concernant le traitement des données personnelles du client, en vertu desquels ils seront tenus (i) de respecter les lois applicables en matière de protection des données, y compris le GDPR, et (ii) de respecter les mêmes obligations en matière de protection des données que celles définies par la présente ADP. (d) Le client autorise le fournisseur de services à désigner (et à permettre à chaque sous-traitant nommé conformément à la présente section) des sous-processeurs conformément à la présente section. (e) Le fournisseur de services peut continuer à utiliser les sous-processeurs déjà engagés par le fournisseur de services à la date d’entrée en vigueur du présent ADP s’ils respectent les exigences du sous-paragraphe (b) de cette section. (f) Le prestataire du service informera au préalable le client de l’identité des sous-processeurs qu’il compte utiliser pour traiter les données personnelles du client conformément au contrat de service. (g) Le client est autorisé à s’opposer à l’utilisation d’un nouveau sous-traitant pour des motifs raisonnables en notifiant par écrit au prestataire du service ses raisons objectives de s’y opposer dans les trente (30) jours ouvrables suivant la réception de la notification de l’entrepreneur. Si le client s’oppose à un nouveau sous-processeur, le prestataire du service déploiera des efforts raisonnables pour mettre à la disposition du client une modification des services afin d’éviter le traitement des données personnelles du client par le nouveau sous-processeur faisant l’objet de l’opposition. Si les parties ne parviennent pas à un accord concernant l’utilisation d’un nouveau sous-traitant, le client est en droit de résilier le contrat de service avec un préavis de trente (30) jours, dans la mesure où le changement de sous-processeur affecte le traitement des données personnelles du client conformément au contrat de service.

3.8 Requêtes des personnes concernées. Le prestataire du service transmettra immédiatement toutes les demandes de la personne concernée aux fins d’exercer son droit (a) d’accès, (b) de corriger, (c) d’effacer, (d) de restreindre, (e) à la portabilité des données, (f) s’opposer au traitement ou (g) ne pas faire l’objet d’une prise de décision automatisée (« requêtes des personnes concernées ») au client. Il incombe au client de garantir une réponse à ces demandes de données. Dans la mesure où le Client, dans son utilisation des Services, n’a pas la capacité de répondre à la demande d’un sujet de données, le prestataire du service fournit au Client une assistance et une coopération raisonnables lui permettant de répondre à cette demande afin de mettre en œuvre les moyens techniques et techniques appropriés mesures organisationnelles pour répondre aux demandes de la personne concernée, en tenant compte de la nature du traitement.

3.9 Coopération et assistance en matière de sécurité. Tenant compte de la nature, de la portée, du contexte et des objectifs du traitement, le prestataire du service fournira une coopération et une assistance raisonnables afin de satisfaire à l’obligation incombant au client, en vertu du RGPD, de mettre en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure où cette obligation concerne les services.

3.10 Évaluation de l’impact sur la protection des données et consultation préalable. À la demande du client, le prestataire du service fournira au client une coopération et une assistance raisonnables lui permettant de s’acquitter de l’obligation qui lui incombe, en vertu du GDPR, de réaliser une évaluation de l’impact sur la protection des données liée à l’utilisation des services par le client avoir accès aux informations pertinentes. À la demande du client, le prestataire du service fournira une coopération et une assistance raisonnables au client lors de ses consultations préalables avec l’autorité de protection des données compétente.

3.9 Communication avec les autorités de protection des données. prestataire du service adressera toutes les demandes des autorités de protection des données directement au client. Il ne sera pas autorisé à représenter le client ni à agir pour le compte de celui-ci auprès des autorités de protection des données supervisant le client.

3.10 Données anonymes. Conformément au contrat de service, le prestataire du service est autorisé à collecter des données anonymes et statistiques sur l’utilisation des services qui n’identifient pas le client ou d’autres personnes concernées par les données, et ne les utilise que pour analyser et développer les services.

4. Droits et obligations du client

4.1 Bases légales du traitement. En tant que contrôleur, le client est responsable de la licéité de ses activités de traitement et il s’appuie sur les bases légales appropriées et légales pour traiter les données à caractère personnel du client conformément au Contrat.

4.2 Enregistrements de traitement, notifications de personnes et de autorités de protection des données. Le client est responsable de la création et de la conservation des enregistrements du traitement requis par les responsables du traitement des données, ainsi que de l’information des personnes concernées et de la notification aux autorités de protection des données concernées.

4.3 Détermination des finalités et des moyens de traitement. Le client détermine l’objectif et les moyens / méthodes des activités de traitement des données à caractère personnel effectuées par le prestataire du service pour fournir les services dans le cadre du contrat de service. Il est considéré comme le responsable du traitement. L’objet, la durée, la nature, la portée, le contexte et les finalités du traitement, le type de données personnelles du client traité et les catégories de personnes concernées sont définis plus en détail dans le contrat de service et la politique de confidentialité du prestataire du service et en matière de cookies.

4.4 Conformité aux lois. (a) Le Client s’engage à respecter les lois en vigueur et les lois en vigueur en matière de protection des données et les ordres de l’autorité de protection des données relatifs à ses activités de traitement des données à caractère personnel du Client, y compris le GDPR.

5. Traitement en dehors de l’UE / EEE

5.1 Approbation écrite préalable. Le prestataire du service et ses sous-traitants ne traiteront pas de données à caractère personnel en dehors de la zone UE / Espace économique européen (« EEE ») sans l’autorisation écrite préalable du client.

5.2 Appropriate Safeguards. The Service Provider will maintain appropriate safeguards for the duration of this DPA with respect the transfer of Customer Personal Data outside of the EU/EEA. The Service Provider agrees to reasonably execute necessary additional terms with the Customer, as instructed by the Customer from time to time, to provide appropriate safeguards including as appropriate the standard data protection contractual clauses adopted and approved by the European Union’s European Commission concerning the transfer of Personal Data outside of the EU/EEA.

6. Audit

6.1 Droits d’audit du client. À la demande du client et dans la mesure raisonnablement requise, le prestataire du service mettra à la disposition du client les informations pertinentes nécessaires pour démontrer la conformité avec le GDPR. Le client ou un auditeur autorisé par le client (toutefois, pas un concurrent du prestataire du service est autorisé à vérifier que les activités de traitement du prestataire du service sont conformes au contrat de service, au présent ADP et aux instructions écrites du client. Les parties conviendront du moment de l’audit et d’autres détails à l’avance au moins 30 jours avant l’inspection. L’audit sera effectué de manière à éviter tout dommage ou toute perturbation des locaux, de l’équipement et des activités du prestataire du service ou de ses sous-traitants.

6.2 Accès. L’accès aux locaux du prestataire du service aux fins d’un tel audit est subordonné aux éléments suivants: (a) la production d’une preuve raisonnable de l’identité et de l’autorité des auditeurs; b) heures normales de bureau; c) le personnel d’audit s’est engagé à respecter la confidentialité en s’acquittant de ses obligations écrites; et (d) accéder uniquement aux informations strictement pertinentes pour les Services.

6.3 Dépenses. Le client sera responsable de ses propres dépenses et des dépenses du prestataire du service causées par l’audit. Si des défauts notables sont découverts au cours de l’audit, le prestataire du service sera responsable des frais occasionnés par l’audit.

7. Sécurité des données

7.1 Mesures techniques et organisationnelles. Le prestataire du service mettra en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles du client, en particulier des destructions, pertes, dommages, altérations, divulgations ou accès non autorisés, illégaux ou accidentels, en tenant compte de la nature, de la portée, du contexte et des fins de la traitement des données, ainsi que tous les risques de traitement affectant le client et les autres personnes concernées. Dans la mise en œuvre des mesures techniques et organisationnelles appropriées, le prestataire du service tiendra compte de l’état de la technique des options techniques et de leurs coûts pour assurer un niveau de sécurité adapté aux risques particuliers du traitement en cours et à la sensibilité du processus des données personnelles traitées.

7.2 Obligations du client. Le client informera le prestataire du service de toutes les circonstances concernant les données personnelles du client, telles que les évaluations des risques et le traitement de catégories particulières de données personnelles sensibles affectant les mesures techniques et organisationnelles à mettre en œuvre par le prestataire du service conformément au présent ADP.

7.3 Accès limité et confidentialité. Les données personnelles du client ne seront mises à la disposition que du personnel du prestataire du service ou des sous-processeurs qui ont besoin d’accéder à ces données personnelles pour l’exécution des services. Le prestataire du service veillera à ce que son personnel et ses sous-traitants se soient engagés à préserver la confidentialité des données personnelles du client en signant les accords de non-divulgation écrits appropriés.

8. Violations de données personnelles

8.1 Notification. Si le prestataire du service découvre, reçoit la notification ou soupçonne une violation de données personnelles par le prestataire du service et / ou ses sous-traitants, il en informera le client sans délai indu après avoir pris connaissance de la violation des données personnelles.

8.2 *Fourniture d’informations. Le prestataire du service déploiera des efforts raisonnables pour identifier la cause de cette violation de données à caractère personnel et prendra les mesures qu’il jugera nécessaires et raisonnables afin de remédier à la cause d’une telle violation de données à caractère personnel dans la mesure où la correction est dans la contrôle raisonnable de ce dernier. À la demande du client, le prestataire du service fournira au client, dans les meilleurs délais, toutes les informations utiles concernant la violation des données personnelles. Dans la mesure où les informations en question sont disponibles pour le prestataire du service, celui-ci décrira les éléments suivants au client:

(a) la description de la violation de données à caractère personnel,

(b) le nombre de personnes concernées affectées, ainsi que le type et le nombre de données à caractère personnel concernées,

(c) une description des conséquences probables de la violation de données à caractère personnel, et

(d) une description des mesures correctives ou d’atténuation que le prestataire du service a mises en œuvre ou mettra en œuvre afin de prévenir les violations de données à caractère personnel à l’avenir.

8.3 Documentation. Le prestataire du service documentera et rapportera les résultats (i) des résultats d’une enquête sur une violation de données personnelles, (ii) les effets de la violation de données personnelles et (iii) les mesures de réparation mises en œuvre pour le client.

8.4 Notification d’une violation de données personnelles. Le client est responsable des notifications nécessaires adressées aux personnes concernées et aux autorités de protection des données compétentes. À la demande du client, le prestataire de services fournira au client une coopération et une assistance raisonnables lui permettant d’honorer son obligation, en vertu du GDPR, de notifier une violation de données à caractère personnel à l’autorité de protection des données concernée et de communiquer sur le contact une donnée dans la mesure où cette obligation concerne les Services.

9. Autres dispositions

9.1 Dommages. Si des dommages matériels ou immatériels sont causés à une personne concernée par une violation des données à caractère personnel, le prestataire du service ne sera responsable des dommages que dans la mesure où il ne s’est pas explicitement conformé aux obligations des responsables du traitement des données à caractère personnel dans le GDPR ou cet ADP, sauf si le prestataire du service prouve qu’il n’est en aucun cas responsable de l’événement ayant causé les dommages.

9.2 Responsabilité proportionnelle. Si le client et le prestataire du service sont responsables de tout dommage causé par le traitement d’une personne concernée par les données, chaque partie sera tenue responsable de l’intégralité du dommage afin d’assurer une réparation efficace de la personne concernée. La partie qui a payé l’indemnisation intégrale du préjudice subi a le droit de réclamer à l’autre partie impliquée dans le même traitement la partie de l’indemnité correspondant à sa part de responsabilité du préjudice correspondant à la responsabilité du préjudice confirmé en la décision finale d’une autorité de protection des données ou d’un tribunal.

9.3 Notification de changement. Le fournisseur de services informera le client par écrit de toutes les modifications susceptibles d’avoir une incidence sur sa capacité à respecter le présent ADP et les instructions écrites du client.

9.4 Amendements. Les parties doivent accepter toutes les modifications apportées à cette écriture de ADP.

9.5 Effet. Cet ADP entrera en vigueur dès que le client aura accepté le contrat de service. Le ADP restera en vigueur (i) tant que le contrat de service est en vigueur ou (ii) les parties ont des obligations concernant le traitement réciproque des données à caractère personnel du client.

9.6 Survie. Les obligations qui, de par leur nature, sont censées survivre à l’expiration ou à la résiliation duprésent ADP resteront en vigueur après l’expiration ou la résiliation du present ADP.

Up