Accord de traitement des donnés

ACCORD DE TRAITEMENT DES DONNÉS DE SUCCESSFINDER

Dernière modification: 22 septembre 2023

Cet Accord sur le traitement des données et ses annexes (l’ « ATD ») reflètent l’accord des Parties en ce qui concerne le traitement des Données à caractère personnel réalisé par SuccessFinder pour le compte du Client en lien avec les Services d’abonnement rendus par SuccessFinder conformément aux Modalités et conditions générales de SuccessFinder disponibles à : XXXXXX) ( ci-après, l’ « Entente»). Les termes qui ne sont pas autrement définis dans cet ATD ont la signification qui leur est donné dans l’Entente.

ATTENDU QUE le Client souhaite sous-traiter certains Services, qui incluent le traitement de Données à caractère personnel, à SuccessFinder, le « Sous-traitant des données » ou le « Prestataire de services ». Toute référence au Sous-Traitant de données ou au Prestataire de services dans cet ATD signifie SuccessFinder. Les Parties conviennent qu’en ce qui concerne toutes les Données à caractère personnel traitées dans le cadre de cet ATD, le Client est une « Personne exploitant une entreprise », un « Responsable du traitement», une « Entreprise » ou une « Organisation » tel que défini par les Lois sur la protection des données.

ATTENDU QUE les Parties cherchent à mettre en œuvre un accord de traitement des données conforme aux exigences des Lois sur la protection des données, selon le cas, en ce qui concerne le traitement des Données à caractère personnel.

ATTENDU QUE les Parties souhaitent préciser leurs droits et obligations respectifs.

CONSÉQUEMMENT, il est convenu comme suit :

1. Définitions

1.1. « Addendum pour le Royaume-Uni » désigne l’Addendum relatif aux transferts internationaux de données établi par le Commissaire à l’information du Royaume-Uni en vertu de la Section 119A(1) de la Loi sur la protection des données de 2018 actuellement disponible à l’adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, tel que modifié ou remplacé.

1.2. « Clauses contractuelles types » désignent les clauses contractuelles types annexées à la Décision de la Commission européenne (2021/914) du 4 juin 2021 actuellement disponibles sur la page https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32021D0914&qid=1691415730137, telles que modifiées ou remplacées.

1.3. « Données européennes » désigne les Données à caractère personnel régies par les Lois européennes sur la protection des données.

1.4. « Données à caractère personnel » incluent toutes les informations relatives à un individu identifié ou identifiable lorsque (i) ces données sont comprises dans les Données client et (ii) sont protégés de la même manière que les renseignements personnels, ou les informations personnellement identifiables en vertu des Lois sur la protection des données.

1.5. « Europe » désigne l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

1.6. « Incident lié aux Données à caractère personnel » signifie une violation de la sécurité conduisant à la destruction accidentelle ou illicite, à la perte, à l’altération, ou à la divulgation ou l’accès non autorisé aux Données à caractère personnel transmises, stockées, ou autrement traitées par SuccessFinder et/ou ses Sous-traitants ultérieurs dans le cadre de la fourniture des Services d’abonnement. Ce type de d’incident exclut les tentatives ou activités infructueuses qui n’ont pas pour conséquence d’altérer la sécurité des Données à caractère personnel, y compris les tentatives infructueuses de connexion, d’envoi de commandes ping, d’analyse de port, d’attaques par déni de service ou d’autres attaques réseau sur des pare-feu ou des systèmes réseau.

1.7. « Instructions » désigne toute instruction écrite et documentée, émise par un Responsable du traitement à l’intention d’un Sous-traitant, lui demandant d’effectuer une action spécifique ou générale en ce qui concerne les Données à caractère personnel.

1.8. « Lois européennes sur la protection des données » renvoient aux lois de protection des données applicables en Europe, notamment : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) le RGPD intégré à la législation nationale du Royaume-Uni en vertu de la Section 3 de l’European Union (Withdrawal) Act 2018 (« RGPD du Royaume-Uni ») ; et (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance (« Loi fédérale suisse sur la protection des données ») ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre.

1.9. « Lois sur la protection des données » désignent l’ensemble de la législation mondiale applicable en matière de protection des données et de la vie privée qui s’impose à la partie gérant le traitement des Données à caractère personnel en question dans le cadre du présent ATD, y compris, mais sans s’y limiter, la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, Loi sur la protection des renseignements personnels et les documents électroniques, L.C., 2000, ch. 5, les Lois européennes sur la protection des données; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre.

1.10. « Personne concernée » est un individu auquel se rapportent les Données à caractère personnel.

1.11. « Responsable du traitement » est la personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel.

1.12. « Sous-traitant » désigne une personne physique ou morale, une autorité publique ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement ou de l’Organisation.

1.13. « Sous-traitant ultérieur » désigne un Sous-traitant engagé par SuccessFinder pour aider à remplir les obligations de SuccessFinder en ce qui concerne la fourniture des Services d’abonnement en vertu de l’Entente. Les Sous-traitants ultérieurs peuvent comprendre des Entités de son groupe ; ils excluent les salariés ou consultants de SuccessFinder.

1.14. « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées sur des Données à caractère personnel, par exemple la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction de données. Les termes « Traitement(s) » et « traité(e)(s) » seront interprétés en conséquence.

En cas de conflit ou de différence, le présent ATD prévaudra sur les termes l’Entente uniquement pour les points concernés.

2. Obligations du Client

2.1. Conformité avec les Lois. Dans le cadre de l’Entente et lors de son utilisation des Services, le Client est responsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données à caractère personnel qu’il assure et des Instructions qu’il donne à SuccessFinder. En particulier, mais sans préjudice du caractère général de ce qui précède, le Client reconnaît et accepte qu’il est seul responsable : (a) de l’exactitude, de la qualité et de la légalité des Donnée à caractère personnel et des moyens par lesquels il a acquis les Données à caractère personnel; (b) du respect de toutes les exigences de transparence et de conformité nécessaires en vertu des Lois sur la protection des données applicables pour la collecte et l’utilisation des Données à caractère personnel, y compris l’obtention de tous les consentements et autorisations nécessaires; (c) de vérifier qu’il est habilité à transférer les Données à caractère personnel à SuccessFinder, ou de les mettre à sa disposition, à des fins de Traitement conformément aux termes de l’Entente (y compris du présent ATD) ; et (d) de s’assurer que les Instructions qu’il transmet à SuccessFinder concernant le Traitement des Données à caractère personnel sont conformes aux Lois applicables, y compris aux Lois sur la protection des données. Le Client s’engage à informer SuccessFinder dans les meilleurs délais s’il n’est pas en mesure de respecter ses responsabilités en vertu de la présente section « Conformité avec la loi » ou des Lois sur la protection des données applicables.

2.2. Instructions. Les Parties conviennent que l’Entente (y compris le présent ATD), ainsi que l’utilisation par le Client des Services d’abonnement conformément à l’Entente et à tout Énoncé des travaux, forment les Instructions complètes que le Client donne à SuccessFinder en ce qui concerne le Traitement des Données à caractère personnel, dans la mesure où le Client peut donner, durant la Durée de l’abonnement, des instructions supplémentaires cohérentes avec l’Entente ainsi que la nature et l’utilisation légitime des Services d’abonnement.

3. Obligations de SuccessFinder

3.1. Respect des Instructions. SuccessFinder s’engage à traiter les Données à caractère personnel uniquement aux fins décrites dans le présent ATD (sous réserve permission accordée par l’article 13.2 de l’Entente) ou comme convenu autrement dans le cadre des Instructions légales du Client, sauf si et dans la mesure où les Lois applicables l’exigent. Le Client reconnaît et accepte que si le Client partage ou autorise un tiers ou une partie liée à recevoir ou à afficher des Données client directement dans l’application ou via l’utilisation de toute intégration d’applications, le traitement ultérieur par ce tiers ou cette partie liée n’est pas couvert par le présent ATD.

3.2. Conflits. Si SuccessFinder détermine qu’elle ne peut pas traiter les Données à caractère personnel conformément aux Instructions du Client en raison d’une exigence d’une Loi applicable, elle (i) en informera rapidement le Client, et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et la protection des Données à caractère personnel concernées) jusqu’à ce que le Client lui transmette de nouvelles Instructions que SuccessFinder pourra appliquer. Si cette disposition est invoquée, SuccessFinder ne sera pas responsable envers le Client en vertu de l’Entente de tout défaut d’exécution des Services d’abonnement jusqu’à ce que le Client donne de nouvelles Instructions légales concernant le Traitement.

3.3. Coopération. À la demande du Client, SuccessFinder fournira au Client la coopération et l’assistance raisonnables nécessaires pour remplir l’obligation du Client (le cas échéant) en vertu des Lois sur la protection des données d’effectuer une évaluation des facteurs relatifs à la vie privée ou toute autre évaluation similaire liée à l’utilisation des Services par le Client, dans la mesure où le Client n’a pas autrement accès aux informations pertinentes.

3.4. Mesures de sécurité. SuccessFinder met en œuvre et maintient des mesures techniques, administratives et organisationnelles appropriées pour protéger les Données à caractère personnel contre toute violation, telles que décrites à l’Annexe 2 du présent ATD (« Mesures de sécurité »). Nonobstant toute disposition contraire, SuccessFinder peut modifier ou mettre à jour les Mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n’entraîne pas une dégradation de la protection offerte par les Mesures de sécurité.

3.5. Personnel de SuccessFinder. SuccessFinder s’assure que son personnel et ses agents (« Personnel ») participant au Traitement des Données à caractère personnel soit informé de la nature confidentielle des Données à caractère personnel, aient reçu une formation concernant la sécurité de l’information et la protection de la vie privée, et aient signé des accords de confidentialité écrits. SuccessFinder s’assure que ces obligations de confidentialité survivent à la fin de l’engagement du Personnel. SuccessFinder s’assure que l’accès de SuccessFinder aux Données à caractère personnel soit limité au Personnel qui fournit des Services conformément à l’Entente et selon la base du strict nécessaire.

3.6. Gestion et notification des Incidents liés aux Données à caractère personnel. SuccessFinder maintient un plan écrit d’intervention en cas d’Incident lié aux Données à caractère personnel et informe le Client dans les meilleurs délais après avoir eu connaissance d’une Incident lié aux Données à caractère personnel. Dans la mesure où SuccessFinder en a connaissance, SuccessFinder fournit aux Clients des informations sur l’Incident lié aux Données à caractère personnel, y compris la nature et les conséquences probables de l’Incident lié aux Données à caractère personnel, les mesures proposées pour atténuer l’Incident lié aux Données à caractère personnel, les catégories de Données à caractère personnel et un point de contact pour obtenir des informations supplémentaires. À la demande du Client, SuccessFinder fournira rapidement à ce dernier toute l’assistance raisonnable nécessaire pour lui permettre de signaler les Incident lié aux Données à caractère personnel aux autorités compétentes et/ou aux Personnes concernées, si les Lois sur la protection des données l’y obligent. SuccessFinder informera le Client conformément à l’article 17.1 de l’Entente.

3.7. Anonymisation des Données à caractère personnel. SuccessFinder anonymisera les Données à caractère personnel au plus tard dans les cent vingt (120) jours suivant (a) une demande écrite du Client à cet effet; ou (b) l’expiration ou la résiliation de l’Entente.

4. Demandes de Personnes concernées

Le Compte client sur la Plateforme fournit au Client un certain nombre de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données à caractère personnel et que le Client peut utiliser pour l’assister dans le cadre de ses obligations en vertu des Lois sur la protection des données, y compris les obligations du Client relatives aux demandes des Personnes concernées en vue d’exercer leurs droits en vertu des Lois sur la protection des données applicables (« Demandes des Personnes concernées »). Dans la mesure où le Client n’est pas en mesure d’adresser de manière indépendante une Demande de Personne concernée via le Compte client, alors, sur demande écrite du Client, SuccessFinder fournira une assistance raisonnable au Client pour répondre à toute Demande de Personne concernée ou aux demandes des autorités de protection des données relatives au Traitement des Données à caractère personnel en vertu de l’Entente. Si une Demande de Personne concernée ou une autre communication concernant le Traitement des Données à caractère personnel est adressée directement à SuccessFinder, SuccessFinder informera rapidement le Client et conseillera à la Personne concernée de soumettre sa demande au Client. Le Client sera seul responsable de répondre de manière substantielle à de telles Demandes de Personnes concernées ou à des communications impliquant des Données à caractère personnel.

5. Sous-Traitants ultérieurs

Le Client accepte que SuccessFinder puisse engager des Sous-traitants ultérieurs pour traiter les Données à caractère personnel en son nom. SuccessFinder retient actuellement les services, en tant que Sous-traitants ultérieurs, des tiers énumérés à l’annexe 3 du présent ATD. Lors de l’engagement de nouveaux Sous-traitants ultérieurs, SuccessFinder informera le Client d’une mise à jour de l’annexe 3 (notification à envoyer conformément à la section 17.1 de l’Entente) au moins dix (10) jours à l’avance.

Lorsque SuccessFinder fait appel à des Sous-traitants ultérieurs, SuccessFinder impose à ces derniers des conditions de protection des données qui assurent au moins le même niveau de protection des Données à caractère personnel que celles prévues dans le présent ATD (y compris, là où cela est nécessaire, les Clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces Sous-traitants ultérieurs. SuccessFinder demeure responsable du respect par chaque Sous-traitant ultérieur des obligations du présent ATD, et de tous les actes ou omissions des Sous-traitants ultérieurs qui font que SuccessFinder manque à l’une de ses obligations au titre dudit ATD.

6. Transfert de Données à caractère personnel

Le Client reconnaît et accepte que SuccessFinder puisse accéder aux Données à caractère personnel et les traiter de façon globale selon les besoins afin de fournir le Service d’abonnement conformément à l’Entente et plus particulièrement que lesdites données puissent être transférées à et traitées par SuccessFinder dans la province de Québec (Canada) et dans les autres sites où ses Sous-traitants ultérieurs opèrent. Si des Données à caractère personnel sont transférées en dehors de leur pays d’origine, chaque partie veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.

7. Preuve de conformité et Droits d’audit

SuccessFinder mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité avec le présent ATD. Le Client reconnaît que les Services d’abonnement sont hébergés par un Sous-traitant ultérieur d’hébergement de SuccessFinder qui maintiennent des programmes de sécurité validés de manière indépendante (y compris SOC 2 et ISO 27001) et que les systèmes de SuccessFinder sont audités chaque année dans le cadre de la conformité SOC 2 et régulièrement testés par des sociétés indépendantes de tests d’intrusion. Sur demande, SuccessFinder fournira (à titre confidentiel) son rapport SOC 2 et un sommaire exécutif de son ou de ses rapports de test d’intrusion au Client afin que celui-ci puisse vérifier la conformité de SuccessFinder avec le présent ATD. Bien que les Parties aient généralement l’intention de s’appuyer sur ces certifications, résumés de rapports d’audit et/ou autres documents pour vérifier la conformité de SuccessFinder avec le présent ATD, à la suite d’un Incident lié aux Données à caractère personnel ou lorsqu’une autorité compétente de protection des données l’exige, le Client peut exiger, moyennant un préavis écrit préalable de trente (30) jours, qu’un tiers effectue une inspection des opérations et des installations de SuccessFinder (« Inspection ») à condition que (a) toute Inspection soit effectuée aux frais du Client, (b) les Parties conviennent mutuellement de la portée, le calendrier et la durée de l’Inspection, (c) l’Inspection n’aura pas d’impact déraisonnable sur les opérations régulières de SuccessFinder, (d) le Client n’aura accès à aucun fichier ou système qui pourrait entraîner l’exposition d’informations confidentielles d’autres clients de SuccessFinder et (e) l’inspection sera limitée aux opérations et aux installations sous le contrôle de SuccessFinder. Toutes les certifications, résumés de rapports d’audit et/ou autres documents pertinents fournis par SuccessFinder, ainsi que les conclusions de toute inspection, seront soumis aux dispositions de confidentialité de l’Entente.

8. Clauses additionnelles concernant le Traitement des Données européennes.

8.1. Portée. présente Section « Autres dispositions applicables aux Données européennes » concerne uniquement les Données européennes.

8.2. Rôle des Parties. Lors du Traitement des Données européennes conformément aux Instructions du Client, les Parties reconnaissent et conviennent que le Client est le Responsable du traitement des Données européennes et que SuccessFinder est le Sous-traitant.

8.3. Accords avec les Sous-Traitants Ultérieurs. Aux fins de la Clause 9(c) des Clauses contractuelles types, le Client convient que SuccessFinder pourrait être empêché de divulguer les accords passés avec les Sous-traitants ultérieurs, mais qu’elle mettra en œuvre tous les efforts nécessaires afin d’exiger de tout Sous-traitant ultérieur engagé qu’il autorise la divulgation de l’accord le concernant au Client, et qu’elle fournira, à titre confidentiel, toutes les informations qu’elle pourra raisonnablement divulguer

8.4. Mécanismes de transferts

8.4.1. SuccessFinder s’engage à ne transférer aucune Donnée européenne vers un pays ou un destinataire qui n’est pas reconnu comme assurant un niveau de protection adéquat des Données à caractère personnel (au sens des Lois européennes sur la protection des données applicables), sauf s’il prend au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme auxdites Lois. Ces mesures peuvent inclure (sans limitation) le transfert des données à un destinataire couvert par un cadre adapté ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les cours compétentes comme offrant un niveau de protection approprié pour les Données à caractère personnel, à un destinataire qui a obtenu l’autorisation de règles d’entreprise contraignantes conformément aux Lois européennes sur la protection des données, ou à un destinataire qui a exécuté des Clauses contractuelles types appropriées dans chaque cas adoptées ou approuvées conformément aux Lois européennes sur la protection des données applicables.

8.4.2. Le Client reconnaît que, dans le cadre de l’exécution des Services d’abonnement, SuccessFinder est un destinataire de Données européennes dans la province de Québec (Canada). En vertu des Sous-sections (C) et (D), les Parties conviennent que les Clauses contractuelles types seront intégrées par référence et feront partie de l’Entente comme suit :

(a) Transferts de l’Espace économique européen. Concernant les Données européennes soumises au RGPD, (i) le Client est l’«exportateur de données », et SuccessFinder est l’« importateur de données » ; (ii) les termes du Module Deux s’appliquent dans la mesure où le Client est un Responsable du traitement des Données européennes, et les termes du Module Trois s’appliquent dans la mesure où le Client est un Sous-traitant des Données européennes ; (iii) dans la Clause 7, la clause d’amarrage facultatif s’applique ; (iv) dans la Clause 9, l’Option 2 s’applique et les modifications apportées à la liste des Sous-traitants ultérieurs seront communiquées conformément à la section « Sous-traitants ultérieurs » du présent ATD sur le traitement des données au moins dix (10) jours à l’avance ; (v) dans la Clause 11, la langue facultative est supprimée ; (vi) dans la Clause 17 et la Clause 18, les Parties acceptent que la loi applicable et le lieu de résolution des conflits relatifs aux Clauses contractuelles types seront ceux de la République d’Irlande, et les conflits éventuels seront résolus par les tribunaux irlandais (sans référence aux conflits de principes de droit) ; (vi) les Annexes aux Clauses contractuelles types seront considérées comme complétées avec les informations définies dans les Annexes au présent ATD sur le traitement des données ; et (viii) si, et dans la mesure où, les Clauses contractuelles types sont en conflit avec une disposition du présent ATD sur le traitement des données, les Clauses contractuelles types prévaudront dans la mesure de ce conflit.

(b) Transferts du Royaume-Uni. Concernant les Données européennes soumises au RGPD du Royaume-Uni, les Clauses contractuelles types de l’UE s’appliqueront conformément à la sous-section (a) et aux modifications suivantes : (i) les Clauses contractuelles types seront modifiées et interprétées conformément à l’Addendum pour le Royaume-Uni, qui sera intégré par référence et fera partie intégrante de l’ATD ; (ii) les Tableaux 1, 2 et 3 de l’Addendum pour le Royaume-Uni seront considérés comme complétés avec les informations définies dans les Annexes au présent ATD sur le traitement des données, et le Tableau 4 sera considéré comme complété en sélectionnant l’option « Aucune partie » ; et (iii) tout conflit entre les termes des Clauses contractuelles types et de l’Addendum pour le Royaume-Uni sera résolu conformément aux termes de la Section 10 et de la Section 11 de l’Addendum pour le Royaume-Uni.

(c) Transfert de la Suisse. Concernant les Données européennes soumises à la Loi fédérale suisse sur la protection des données, les Clauses contractuelles types de l’UE s’appliqueront conformément à la sous-section (a) et aux modifications suivantes : (i) les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la Loi fédérale suisse sur la protection des données ; (ii) les références à l’« UE », à l’« Union européenne » ou à la « législation d’un État membre » seront interprétées comme des références à la Loi fédérale suisse sur la protection des données ; et (iii) les références à l’« Autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacées par le « Commissaire à l’information et à la protection des données de la Suisse » et les « tribunaux suisses compétents ».

8.4.3. Si, pour quelque raison que ce soit, SuccessFinder ne peut remplir ses obligations découlant des Clauses contractuelles types ou enfreint toute garantie découlant de ces dernières ou l’Addendum pour le Royaume-Uni (le cas échéant) et que le Client prévoit de suspendre le transfert de Données européennes à SuccessFinder ou de résilier les Clauses contractuelles types ou l’Addendum pour le Royaume-Uni, le Client accepte d’en informer SuccessFinder avec un préavis raisonnable, afin que SuccessFinder puisse remédier à sa non-conformité, et de coopérer de manière raisonnable avec SuccessFinder afin de déterminer quelles protections, le cas échéant, pourraient être mises en œuvre afin de remédier à sa non-conformité. Si SuccessFinder n’a pas remédié, ou ne peut remédier, à sa non-conformité, le Client pourra alors suspendre ou résilier la partie affectée du Service d’abonnement, sans responsabilité envers l’une ou l’autre des Parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).

9. Dispositions générales

9.1. Modifications. Nonobstant toute autre disposition contraire de cet ATD et sous réserve des sections « Respect des Instructions » ou « Sécurité » du présent ATD, SuccessFinder se réserve le droit d’apporter des mises à jour et des modifications au présent ATD. SuccessFinder en informera le Client par courriel ou via une notification à même le Compte client.

9.2. Dissociation. Si certaines dispositions du présent ATD sont jugées non valides ou inapplicables, la validité et l’applicabilité des autres dispositions dudit ATD ne sont pas remises en cause.

9.3. Limite de responsabilité. La responsabilité de SuccessFinder découlant du présent ATD (et de tout autre accord de ce type conclu entre les Parties) et des Clauses contractuelles types (le cas échéant) ou s’y rapportant, qu’elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans la section « Limitation de responsabilité » de l’Entente (article 16.2). En aucun cas la responsabilité de l’une ou l’autre des Parties ne sera limitée en ce qui concerne les droits de protection des données de tout individu en vertu du présent ATD (y compris les Clauses contractuelles types) ou autrement.

9.4. Lois régissant le présent ATD. Le présent ATD est régi et interprété conformément aux lois de la province de Québec et des lois fédérales du Canada s’y appliquant, sauf disposition contraire des Lois sur la protection des données.

Annex 1 – Détails concernant le Traitement

A. LISTE DES PARTIES

1. Exportateur de Données

Name : Le Client, tel que défini dans l’Entente

Adresse : l’adresse du Client, telle qu’indiquée à l’Entente

Nom, rôle et coordonnées de la personne à contacter : les coordonnées du Client, telles qu’indiquées à l’Entente et/ou dans le Compte client

Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données à caractère personnel en lien avec l’utilisation des Services de SuccessFinder par le Client, conformément à l’Entente.

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement

2. Importateur de Données

Name : SuccessFinder Inc.

Adresse : 1010 Sherbrooke Ouest, Bureau 1900A, Montréal (Québec) H3A 2R7

Nom, rôle et coordonnées de la personne à contacter : Marie-Christine Lemerise, Responsable de la protection des renseignements personnels,

co*************@su***********.com

Rôle (responsable du traitement/sous-traitant) : Sous-traitant

B. DESCRIPTION DU TRANFERT

1. Catégories de personnes concernées par le transfert de Données à caractère personnel :

Employés, consultants ou employés ou consultants potentiels du Client et de toute autre personne à la demande du Client. Dans la mesure où le Client est un partenaire distributeur ou un praticien indépendant certifié de SuccessFinder, les catégories de personnes concernées incluent également les employés, consultants ou employés ou consultants potentiels des clients finaux du Client.

2. Catégories de Données à caractère personnel transférées :

Participants
Prénom
Nom
Adresse courriel
Identifiants d’authentification à utiliser pour accéder à l’application du participant
Réponses à choix force aux items du questionnaire de l’évaluation SuccessFinder
Données de résultats c’est-à-dire des scores sur les différents traits et préférences mesurés par SuccessFinder).

Utlisateurs de compte client
Prénom
Nom
Adresse courriel
Identifiants d’authentification à utiliser pour accéder au Compte client
Informations concernant les tendances, l’utilisation et les activités au sein du Compte client

Si les Utilisateurs du Compte client sont formés ou certifiés sur l’utilisation de la Plateforme et des Application souscrites : les renseignements concernant la progression et le statut de l’Utilisateur à l’issue des modules de formation et résultats finaux/score.

3. Fréquence du transfert: De façon continue

4. Nature du traitement : Les Données à caractère personnel seront traitées conformément aux termes de l’Entente (y compris ceux du présent ATD) et peuvent faire l’objet des activités de Traitement suivantes :

Stockage et autres Traitements nécessaires pour fournir, maintenir en conditions opérationnelles et améliorer les Services fournis au Client ; et/ou
Divulgation conformément aux Conditions (y compris au présent ATD) et/ou comme l’exigent les lois applicables.

5. Durée de rétention des Données à caractère personnel : Sous réserve des dispositions de la section « Anonymisation des Données à caractère personnel» du présent ATD, SuccessFinder traitera les Données à caractère personnel pendant la durée de l’Entente ou jusqu’à ce que le Client demande leur anonymisation.

C. Autorité de contrôle compétente :

Aux fins des Clauses contractuelles types, l’autorité de contrôle agissant en tant qu’autorité de contrôle compétente sera désignée conformément aux termes du RGPD.

Annexe 2 – Mesures de sécurité

Généralités

SuccessFinder a adopté pour sa Plateforme des mesures de contrôle et des pratiques en matière de sécurité qui visent à protéger la confidentialité, l’intégrité et la disponibilité des Données clients ainsi que les Données clients elles-mêmes contre toute activité de traitement non autorisée comme leur perte ou leur destruction illégale. SuccessFinder s’emploie continuellement à renforcer et à améliorer ces mesures de contrôle et ces pratiques.

Les pratiques de sécurité de SuccessFinder établissent et régissent les aspects de la sécurité qui s’appliquent à sa Plateforme. Les membres du personnel de SuccessFinder (dont les employés, les contractuels et les employés temporaires) sont assujettis aux mesures de sécurité de l’information de SuccessFinder et à toute politique supplémentaire qui régit leur emploi ou les services qu’ils fournissent à SuccessFinder.

SuccessFinder met en œuvre une stratégie de défense et de sécurité à plusieurs volets dans laquelle sont intégrées des pratiques et des procédures de sécurité relatives au réseau, au système d’exploitation, à la base de données et au logiciel pour assurer des contrôles, une gouvernance et une surveillance internes rigoureux.

Conformité

SuccessFinder détient une certification SOC 2 relativement aux principes d’un service de confiance en matière de sécurité et de disponibilité.

Sensibilisation à la sécurité et formation

Le personnel de SuccessFinder susceptible d’avoir accès aux Données clients est assujetti à des ententes de confidentialité. Le personnel de SuccessFinder est tenu de suivre périodiquement une formation sur la sensibilisation à la sécurité de l’information.

Destruction sécuritaire

Des politiques et des procédures sont mises en œuvre pour assurer la confidentialité, l’intégrité et l’accessibilité des Données clients, ainsi que pour les protéger contre la divulgation, la modification inappropriée ou la destruction.

Contrôles de l’accès aux données et au système

SuccessFinder applique, entre autres, les mesures de contrôle suivantes : authentification par mots de passe et/ou authentification à facteurs multiples, processus documentés de gestion des autorisations et du changement et protocole des accès. Les connexions aux éléments d’infrastructure qu’utilise la Plateforme de SuccessFinder sont enregistrées et l’accès logique est limité et protégé.

L’accès de SuccessFinder aux Données clients est réservé au personnel autorisé qui en a besoin. De plus, SuccessFinder prévoit un mécanisme permettant au Client de contrôler l’accès aux Données clients par les utilisateurs du Client.

Mesures de protection relative à la sécurité matérielle

Les mesures de protection matérielle du centre de données qui héberge la Plateforme de SuccessFinder, notamment les Données clients hébergées, relèvent d’une plateforme fournie sous forme de service par un tiers fournisseur que retient SuccessFinder et ne relèvent pas de SuccessFinder.

Cryptage des utilisateurs pour les connexions externes

L’accès du Client à la Plateforme de SuccessFinder utilise un protocole de communication sécurisé que fournit SuccessFinder. Si l’accès s’effectue au moyen d’une connexion activée par le protocole de sécurité de la couche transport (protocole TLS), cette connexion fait l’objet d’une négociation prévoyant un cryptage d’au moins128 bits. Le protocole TLS est mis en œuvre ou configuré pour la Plateforme de SuccessFinder.

Séparation des données

Les Données clients sont logiquement séparées du contenu des autres clients hébergés dans les environnements de la Plateforme de SuccessFinder.

Politiques internes de SuccessFinder en matière de sécurité de l’information

Les politiques de SuccessFinder en matière de sécurité de l’information établissent et régissent les aspects de la sécurité qui s’appliquent à la Plateforme de SuccessFinder et à son utilisation par le Client. Les membres du personnel de SuccessFinder sont assujettis aux politiques de l’entreprise en matière de sécurité de l’information et à toute politique supplémentaire qui régit leur emploi ou les services qu’ils fournissent à SuccessFinder.

Les renseignements pertinents contenus dans ces politiques sont accessibles dans les rapports SOC 2 qui sont remis aux Clients.

Examens externes

SuccessFinder retient les services de tiers pour effectuer des examens indépendants de la sécurité de sa Plateforme dans les domaines suivants :

rapport SOC 2 (fondé sur le Statement on Standards for Attestation Engagements [SSAE] n^o18);
test d’intrusion annuel par un fournisseur indépendant.

Surveillance

SuccessFinder utilise divers outils logiciels pour surveiller la disponibilité et le rendement de sa Plateforme. Ceux-ci comprennent :

les changements apportés aux systèmes;
l’examen de l’accès privilégié aux systèmes de SuccessFinder;
l’exploration statique et la vérification de dépendance.

Annexe 3 – Sous-Traitants Ultérieurs

Pour l’aider à fournir les Services d’abonnement et dans ses activités de Traitement, SuccessFinder retient les services de Sous-traitants ultérieurs. Avant que SuccessFinder n’engage un Sous-traitant ultérieur, SuccessFinder effectue une vérification préalable des pratiques de protection des données du Sous-traitant ultérieur afin de garantir qu’il fournit le niveau de protection requis pour les Données à caractère personnel. Veuillez consulter ci-dessous la liste des Sous-traitants ultérieurs de SuccessFinder :

Nom	Jurisdiction	Services
Google Cloud Platform	Canada	Hébergement de la Plateforme et des Données Client
SendGrid (par Twillio, Inc.)	États-Unis	Service de livraison des invitations à compléter l’évaluation destinées aux Participants. Envoie de notifications aux Utilisateurs de Compte clients relativement aux activités dans le Compte client
ChurnZero, Inc.	États-Unis	Plateforme de gestion de l’engagement et du succès des Clients
Docebo Inc.	Canada	Formation/certification (Système de gestion de l’apprentissage)
Microsoft (Power BI, Office 365 incluant Share Point et Teams)	Canada	Productivité et collaboration au bureau Outil de visualisation des données (Power BI)
Microsoft Dynamics	Canada	Gestion des relations clients (CRM)
CookieYes	Royaume-Uni	Gestion des consentements aux témoins de connexion