Accord de traitement des données personnelles
Dernière mise à jour : le 27 février, 2024
1. Préambule
1.1 Le présent accord relatif au traitement des données personnelles (« ADP ») fait partie intégrante du contrat de service (« contrat de service ») conclu entre Learning Agents Inc., société canadienne, prestataire de service CanCred Factory (« prestataire de service »), dont le service est d’émettre et de gérer des badges numériques (« service ») et son client (« client ») concernant le service.
1.2 L’objectif de ce ADP est de convenir de la confidentialité et de la protection des données personnelles du client et / ou de ses employés, agents, sous-traitants et clients traités par le prestataire de service dans le cadre du service pour le compte du client conform/ment à ou en relation avec le contrat de service (« données personnelles du client »). Le prestataire de service s’est engagé à respecter le règlement général de l’Union européenne (« GDPR ») et le présent ADP intègre à l’accord de service les dispositions pertinentes du GDPR.
1.3 En cas de conflit entre les dispositions relatives au traitement des données à caractère personnel du client figurant dans le ADP et le contrat de service, les parties appliqueront les dispositions du présent ADP.
2. Définitions
2.1 Conformément au GDPR, les termes ci-dessous sont définis comme suit :
(a) Le « responsable du traitement » désigne le client, qui détermine les objectifs et les moyens / méthodes du traitement des données personnelles du client.
(b) Le « sous-traitant » désigne le prestataire de service, qui traite les données personnelles du client pour le compte du client, en vue de remplir ses obligations en vertu du contrat de service, du présent ADP et des instructions documentées du client.
(c) « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur les données personnelles du client ou des ensembles de données personnelles du client, que ce soit de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction des données. Les termes “traiter” et “traitées” ont la même signification que le terme “traitement”.
(d) « Données à caractère personnelles » désigne toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») traitée par le prestataire de service pour le compte du client. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques aux l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
(e) « Violation de données à caractère personnelles » désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal à des données personnelles du client transmises, stockées ou autrement traitées par le client et / ou le prestataire de service et / ou ses sous-processeurs.
3. Droits et obligations du prestataire de services
3.1 Désignation du contrôleur-processeur. Le client détermine l’objectif et les moyens / méthodes des activités de traitement des données personnelles du client effectuées par le fournisseur de services pour fournir des services dans le cadre du contrat de service et est considéré comme le contrôleur. Le prestataire de service traite les données personnelles du client pour le compte du client, sur la base du contrat de service, du présent ADP et des instructions écrites du client, et est considéré comme le processeur. Les données personnelles du client que le prestataire de service traite peuvent concerner les employés, agents, sous-traitants ou clients du client.
3.2 Conformité aux lois. (a) Le prestataire de service s’engage à respecter les lois en vigueur sur la protection des données et les ordonnances des autorités de protection des données en vigueur concernant les activités de traitement des données à caractère personnel, y compris le GDPR, et, si nécessaire, à modifier les termes du présent ADP pour les rendre conformes. (b) Le prestataire de service est obligé, en tenant compte de la nature du traitement des données à caractère personnel du client et de l’ampleur du traitement, d’aider le client à s’assurer que celui-ci se conforme à ses obligations légales. Les obligations légales du client peuvent inclure des obligations en matière de sécurité des données, la notification des violations de données à caractère personnel, les évaluations d’impact sur la protection des données et de consultations préalables avec les autorités de protection des données. Le prestataire de services n’est tenu d’aider le client que dans la mesure où les lois applicables obligent tout responsable du traitement des données à caractère personnel.
3.3 Motifs de traitement. Le prestataire de service est uniquement autorisé à traiter les données personnelles du client que sur la base du contrat de service, du présent ADP et conformément aux instructions écrites du client et uniquement dans la mesure et de la manière nécessaires pour fournir les services.
3.4 Conflit. Le prestataire de service informera immédiatement le client si, de l’avis du prestataire de service, une instruction du client peut enfreindre ou contredire toute législation applicable en matière de protection des données de l’UE ou du pays concerné au sein de l’UE. Si un tel conflit est détecté par le prestataire de service, celui-ci peut immédiatement refuser et cesser de fournir les services au client.
3.5 Enregistrements de traitement. Le prestataire de service conservera la description du service et les autres enregistrements des opérations de traitement du service prescrites par le GDPR pour les responsables du traitement de données à caractère personnel.
3.6 Suppression / retour des données. Après l’expiration ou la résiliation du contrat de service, le prestataire de service restituera ou supprimera toutes les données personnelles du client, conformément aux instructions du client et / ou du contrat de service, et supprimera tous les doublons, sauf si la législation en vigueur exige la conservation des données personnelles du client.
3.7 Sous-traitants. (a) Le prestataire de service peut faire appel à des sous-traitants (sous-traitants) pour traiter les données personnelles du client. (b) Le prestataire de service est responsable des actions de ses sous-traitants. (c) Le prestataire de service conclura avec les sous-traitants des contrats de service écrits concernant le traitement des données personnelles du client, en vertu desquels ils seront tenus (i) de respecter les lois applicables en matière de protection des données, y compris le GDPR, et (ii) de respecter les mêmes obligations en matière de protection des données que celles définies par la présente ADP. (d) Le client autorise le fournisseur de services à nommer (et à permettre à chaque sous-traitant nommé conformément à la présente section) des sous-traitants secondaires conformément au présent article. (e) Le fournisseur de services peut continuer à utiliser les sous-traitants déjà engagés par le fournisseur de services à la date d’entrée en vigueur du présent ADP s’ils respectent les exigences du sous-paragraphe (b) du présent article. (f) Le prestataire de service informera au préalable le client de l’identité des sous-traitants qu’il compte utiliser pour traiter les données personnelles du client conformément au contrat de service. (g) Le client est autorisé à s’opposer à l’utilisation d’un nouveau sous-traitant pour des motifs raisonnables en notifiant par écrit au prestataire de service ses raisons objectives de s’y opposer dans un délai de trente (30) jours ouvrables suivant la réception de l’avis du contractant. Si le client s’oppose à un nouveau sous-traitants, le prestataire de service fera des efforts raisonnables pour mettre à la disposition du client une modification des services afin d’éviter le traitement des données personnelles du client par le nouveau sous-traitants faisant l’objet de l’opposition. Si les parties ne parviennent pas à un accord concernant l’utilisation d’un nouveau sous-traitant, le client est en droit de résilier le contrat de service avec un préavis de trente (30) jours, dans la mesure où le changement de sous-traitants affecte le traitement des données personnelles du client conformément au contrat de service.
3.8 Demandes des personnes concernées. Le prestataire de service transmettra immédiatement toutes les demandes de personnes concernées aux fins d’exercer son droit (a) d’accès, (b) de corriger, (c) d’effacer, (d) de restreindre, (e) à la portabilité des données, (f) de s’opposer au traitement ou (g) de ne pas faire l’objet d’une prise de décision automatisée (« requêtes des personnes concernées ») au client. Il incombe au client de veiller à ce qu’une réponse soit apportée à ces demandes de la personne concernée. Dans la mesure où le client, dans son utilisation des services, n’a pas la capacité de répondre à la demande d’une personne concernée, le prestataire de service fournit au client une assistance et une coopération raisonnables lui permettant de répondre à cette demande afin de mettre en œuvre les moyens techniques et organisationnelles appropriés pour répondre aux demandes de la personne concernée, en tenant compte de la nature du traitement.
3.9 Coopération et assistance en matière de sécurité. Compte tenu de la nature, de la portée, du contexte et des objectifs du traitement, le prestataire de service fournira une coopération et une assistance raisonnables afin de satisfaire à l’obligation incombant au client, en vertu du GDPR, de mettre en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure où cette obligation est liée aux services.
3.10 Analyse de l’impact de la protection des données et consultation préalable. À la demande du client, le prestataire de service fournira au client une coopération et une assistance raisonnables lui permettant de s’acquitter de l’obligation qui lui incombe, en vertu du GDPR, de réaliser une évaluation de l’impact sur la protection des données liée à l’utilisation des services par le client dans la mesure où ce dernier n’a pas accès aux informations pertinentes par d’autres moyens.. À la demande du client, le prestataire de service fournira une coopération et une assistance raisonnables au client dans le cadre de la consultation préalable avec l’autorité compétente en matière de protection des données.
3.11 Communication avec les autorités de protection des données. Ŀe prestataire de service adressera toutes les demandes des autorités de protection des données directement au client. Le prestataire de service ne sera pas autorisé à représenter le client ni à agir pour le compte de celui-ci auprès des autorités de protection des données qui supervisent le client.
3.12 Données anonymes. Conformément au contrat de service, le prestataire de service est autorisé à collecter des données anonymes et statistiques sur l’utilisation des services qui n’identifient pas le client ou d’autres personnes concernées par les données, et ne les utilise que pour analyser et développer les services.
4. Droits et obligations du client
4.1 Bases légales du traitement. En tant que responsable du traitement, le client est tenu de s’assurer que ses activités de traitement sont licites et il s’appuie sur les bases juridiques appropriées et licites pour traiter les données à caractère personnel du client conformément au contrat.
4.2 Dossiers de traitement, notifications de personnes et de l’autorité de protection des données. Le client est responsable de la création et de la conservation des enregistrements du traitement requis par les responsables du traitement des données, ainsi que de l’information des personnes concernées et de la notification aux autorités de protection des données concernées.
4.3 Détermination des finalités et des moyens de traitement. Le client détermine l’objectif et les moyens / méthodes des activités de traitement des données à caractère personnel effectuées par le prestataire de service pour fournir les services dans le cadre du contrat de service. Il est considéré comme le responsable du traitement. L’objet, la durée, la nature, la portée, le contexte et les finalités du traitement, le type de données personnelles du client traité et les catégories de personnes concernées sont définis plus en détail dans le contrat de service et la politique de confidentialité du prestataire de service et en matière de cookies.
4.4 Conformité aux lois. (a) Le client s’engage à respecter la législation en vigueur sur la protection des données et les ordonnances des autorités de protection des données concernant ses activités de traitement des données personnelles du client, y compris le GDPR.
5. Traitement en dehors de l’UE / EEE
5.1 Approbation écrite préalable. Le prestataire de service et ses sous-traitants ne traiteront pas de données à caractère personnel en dehors de la zone UE / Espace économique européen (« EEE ») sans l’autorisation écrite préalable du client.
5.2 Garanties appropriées. Le prestataire de services maintiendra des garanties appropriées pendant la durée de ce ADP en ce qui concerne le transfert des données personnelles du client en dehors de l’UE/EEE. Le prestataire de services accepte d’exécuter raisonnablement les conditions supplémentaires nécessaires avec le client, selon les instructions de ce dernier, afin de fournir des garanties appropriées, y compris, le cas échéant, les clauses contractuelles types de protection des données adoptées et approuvées par la Commission européenne de l’Union européenne concernant le transfert de données à caractère personnel en dehors de l’Union européenne/de l’EEE.
6. Audit
6.1 Droits d’audit du client. À la demande du client et dans la mesure où cela est raisonnablement exigé, le prestataire de service mettra à la disposition du client les informations pertinentes nécessaires pour démontrer la conformité au GDPR. Le client ou un auditeur autorisé par le client (qui ne doit toutefois pas être un concurrent du prestataire de service) est autorisé à vérifier que les activités de traitement du prestataire de service sont conformes au contrat de service, au présent ADP et aux instructions écrites du client. Les parties conviendront du moment de l’audit et d’autres détails au moins 30 jours avant l’inspection. L’audit sera effectué de manière à éviter tout dommage ou toute perturbation des locaux, de l’équipement et des activités du prestataire de service ou de ses sous-traitants.
6.2 Accès. L’accès aux locaux du prestataire de service aux fins d’un tel audit est soumis : (a) à la production d’une preuve raisonnable de l’identité et de l’autorité des auditeurs; b) aux heures normales de bureau; c) au fait que le personnel de l’audit s’est engagé à respecter la confidentialité en s’acquittant de ses obligations écrites de confidentialité; et (d) accéder uniquement aux informations strictement pertinentes pour les services.
6.3 Dépenses. Le client sera responsable de ses propres dépenses et des dépenses du prestataire de service causées par l’audit. Si des défauts notables sont découverts au cours de l’audit, le prestataire de service sera responsable des frais occasionnés par l’audit.
7. Sécurité des données
7.1 Mesures techniques et organisationnelles. Le prestataire de service mettra en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles du client, en particulier des destructions, pertes, dommages, altérations, divulgations ou accès non autorisés, illégaux ou accidentels, en tenant compte de la nature, de la portée, du contexte et des fins de la traitement des données, ainsi que tous les risques de traitement affectant le client et les autres personnes concernées. Dans la mise en œuvre des mesures techniques et organisationnelles appropriées, le prestataire de service tiendra compte de l’état de la technique des options techniques et de leurs coûts pour assurer un niveau de sécurité adapté aux risques particuliers du traitement en cours et à la sensibilité du processus des données personnelles traitées.
7.2 Obligations du client. Le client informera le prestataire de service de toutes les circonstances concernant les données personnelles du client, telles que les évaluations des risques et le traitement de catégories particulières de données personnelles sensibles qui affectent les mesures techniques et organisationnelles à mettre en œuvre par le prestataire de service conformément au présent ADP.
7.3 Accès limité et confidentialité. Les données personnelles du client ne seront mises à la disposition que du personnel du prestataire de service ou des sous-traitants qui ont besoin d’accéder à ces données personnelles pour l’exécution des services. Le prestataire de service veillera à ce que son personnel et ses sous-traitants se soient engagés à respecter la confidentialité des données personnelles du client en signant les accords de non-divulgation écrits appropriés.
8. Violations de données à caractère personnelles
8.1 Notification. Si le prestataire de service découvre, reçoit la notification ou soupçonne une violation de données personnelles par le prestataire de service et / ou ses sous-traitants, il en informera le client sans délai indu après avoir pris connaissance de la violation des données personnelles.
8.2 Fourniture d’informations. Le prestataire de service déploiera des efforts raisonnables pour identifier la cause de cette violation de données à caractère personnel et prendra les mesures qu’il juge nécessaires et raisonnables pour remédier à la cause de la violation de données à caractère personnel, dans la mesure où le prestataire de services peut raisonnablement y remédier. À la demande du client, le prestataire de service fournira au client, dans les meilleurs délais, toutes les informations utiles concernant la violation des données personnelles. Dans la mesure où les informations en question sont disponibles pour le prestataire de service, celui-ci décrira les éléments suivants au client :
(a) la description de la violation de données à caractère personnel,
(b) le nombre de personnes concernées, ainsi que le type et le nombre de données à caractère personnel concernées,
(c) une description des conséquences probables de la violation de données à caractère personnel, et
(d) une description des mesures correctives ou d’atténuation que le prestataire de service a mises en œuvre ou mettra en œuvre afin de prévenir les violations de données à caractère personnel à l’avenir.
8.3 Documentation. Le prestataire de service documentera et communiquera les résultats (i) les résultats d’une enquête sur une violation de données personnelles, (ii) les effets de la violation de données personnelles et (iii) les mesures de réparation mises en œuvre pour le client.
8.4 Notification d’une violation de données à caractère personnelles. Le client est responsable des notifications nécessaires adressées aux personnes concernées et aux autorités de protection des données compétentes en matière de protection des données. À la demande du client, le prestataire de services fournira au client une coopération et une assistance raisonnables lui permettant d’honorer son obligation, en vertu du GDPR, de notifier une violation de données à caractère personnel à l’autorité de protection des données concernée et de communiquer sur une violation de données à caractère personnel à la personne concernée, dans la mesure où cette obligation est liée aux services.
9. Autres dispositions
9.1 Dommages. Si des dommages matériels ou immatériels sont causés à une personne concernée par une violation des données à caractère personnel, le prestataire de service ne sera responsable des dommages que dans la mesure où il ne s’est pas explicitement conformé aux obligations des responsables du traitement des données à caractère personnel dans le GDPR ou cet ADP, sauf si le prestataire de service prouve qu’il n’est en aucun cas responsable de l’événement ayant causé les dommages.
9.2 Responsabilité proportionnelle. Lorsque le client et le prestataire de service sont tous deux responsables d’un dommage causé par le traitement à une personne concernée, chaque partie sera tenue responsable de l’intégralité du dommage afin d’assurer une réparation efficace de la personne concernée. La partie qui a payé l’indemnisation intégrale du préjudice subi a le droit de réclamer à l’autre partie impliquée dans le même traitement la partie de l’indemnité correspondant à sa part de responsabilité du préjudice correspondant à la responsabilité du préjudice confirmé dans la décision finale d’une autorité de protection des données ou d’un tribunal.
9.3 Notification des modifications. Le fournisseur de service informera le client par écrit de toutes les modifications susceptibles d’avoir une incidence sur sa capacité à respecter le présent ADP et les instructions écrites du client.
9.4 Amendements. Les parties doivent convenir de toutes les modifications apportées à la présente DPA.
9.5 Effet. Le présent ADP entrera en vigueur dès que le client aura accepté le contrat de service. L’ADP restera en vigueur (i) tant que le contrat de service est en vigueur ou (ii) les parties ont des obligations concernant le traitement réciproque des données à caractère personnel du client.
9.6 Survie. Les obligations qui, de par leur nature, sont censées survivre à l’expiration ou à la résiliation du présent ADP resteront en vigueur après l’expiration ou la résiliation du present ADP.