Addendum relatif au traitement des données
Dernière mise à jour : 6 mars 2024
Le présent avenant sur le traitement des données (l'« Avenant ») est conclu entre le client qui accepte par voie électronique ou consent autrement au présent Avenant (le « Client ») et Bloks, Inc., une société canadienne (« Bloks ») (collectivement, les « Parties »); il énonce les modalités relatives à la confidentialité, à la protection et à la sécurité des Données à caractère personnel (au sens donné ci-après) liées aux services qui seront fournis par Bloks au Client.
Attendu que le Client ou ses employés, mandataires, consultants ou sous-traitants (collectivement, le « Personnel du Client ») fourniront à Bloks l'accès à des Données à caractère personnel dans le cadre de certains services rendus par Bloks pour le Client ou en son nom en vertu du Contrat principal;
Attendu que le Client exige que Bloks préserve et maintienne la confidentialité, la protection et la sécurité de ces Données à caractère personnel;
En conséquence, en contrepartie des engagements et conventions réciproques contenus dans le présent Avenant et dans le Contrat principal, ainsi que d'autres contreparties valables et de valeur, dont la suffisance est par les présentes reconnue, le Client et Bloks conviennent de ce qui suit :
I. Définitions
(A) « Loi applicable » signifie l'ensemble des lois et règlements applicables de l'Union européenne (« UE ») ou des États membres en lien avec la confidentialité, la protection et la sécurité des Données à caractère personnel, y compris, sans s'y limiter : le Règlement général sur la protection des données 2016/679 de l'UE (« RGPD »), entré en vigueur le 25 mai 2018, ainsi que les lois des États membres de l'UE complétant le RGPD; la Directive 2002/58/CE de l'UE (la « Directive vie privée et communications électroniques »), telle que remplacée à l'occasion, ainsi que les lois des États membres de l'UE mettant en œuvre la Directive vie privée et communications électroniques, y compris les lois encadrant l'utilisation des témoins (cookies) et d'autres moyens de suivi ainsi que les communications électroniques non sollicitées.
(B) « Responsable du traitement » signifie une personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel.
(C) « Sous-traitant » signifie une personne qui Traite des Données à caractère personnel pour le compte du Responsable du traitement.
(D) « Mesures de sécurité des données » signifie les mesures techniques et organisationnelles visant à garantir un niveau de sécurité des Données à caractère personnel adapté au risque du Traitement, y compris la protection des Données à caractère personnel contre la perte accidentelle ou illicite, l'utilisation abusive, l'accès non autorisé, la divulgation, la modification, la destruction et toute autre forme de Traitement illicite, y compris les mesures destinées à assurer la confidentialité des Données à caractère personnel.
(E) « Personne concernée » signifie une personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.
(F) « Instructions » signifie le présent Avenant ainsi que toute autre convention écrite ou documentation par laquelle le Responsable du traitement donne au Sous-traitant des instructions précises pour le Traitement des Données à caractère personnel.
(G) « Coûts liés à la notification » signifie les coûts internes et externes du Client et de ses sociétés affiliées associés à l'enquête, au traitement et à la réponse à une Violation de Données à caractère personnel, notamment, sans s'y limiter : (i) la préparation et l'envoi par la poste ou tout autre moyen de notifications ou d'autres communications aux clients, clients potentiels, employés, mandataires ou autres, selon ce que le Client juge raisonnablement approprié; (ii) la mise en place d'un centre d'appels ou d'autres procédures de communication en réponse à une telle Violation de Données à caractère personnel (par exemple, FAQ pour le service à la clientèle, points de discussion et formation); (iii) les services de relations publiques et autres services similaires de gestion de crise; (iv) les frais et dépenses juridiques, comptables, de conseil et d'experts médico-légaux liés à l'enquête et à la réponse du Client et de ses sociétés affiliées à une telle Violation de Données à caractère personnel; et (v) les coûts liés à des services de surveillance du crédit, de protection contre l'usurpation d'identité ou des services similaires commercialement raisonnables que le Client juge appropriés dans les circonstances.
(H) « Données à caractère personnel » signifie tout renseignement se rapportant à une personne physique identifiée ou identifiable Traité par Bloks conformément aux Instructions du Client en vertu du présent Avenant; une personne physique identifiable est une personne pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
(I) « Violation de Données à caractère personnel » signifie une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou autrement Traitées, ou l'accès non autorisé à de telles données.
(J) « Traiter », « Traité » ou « Traitement » signifie toute opération ou tout ensemble d'opérations effectuées sur des Données à caractère personnel, à l'aide ou non de procédés automatisés, comme la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
(K) « Sous-traitant ultérieur » signifie l'entité engagée par le Sous-traitant ou par tout autre Sous-traitant ultérieur pour Traiter des Données à caractère personnel pour le compte et sous l'autorité du Responsable du traitement.
II. Rôles et responsabilités des Parties
(A) Les Parties reconnaissent et conviennent que le Client agit à titre de Responsable du traitement et possède l'autorité exclusive pour déterminer les finalités et les moyens du Traitement des Données à caractère personnel Traitées en vertu du présent Avenant, et que Bloks agit à titre de Sous-traitant pour le compte et selon les Instructions du Client.
(B) Les Données à caractère personnel demeureront en tout temps la propriété exclusive du Client et Bloks n'acquerra ni n'obtiendra aucun droit à leur égard.
III. Obligations de Bloks
Bloks s'engage et garantit ce qui suit :
(A) Traiter les Données à caractère personnel qui lui sont divulguées par le Client uniquement pour le compte et conformément aux Instructions du Responsable du traitement et à l'Annexe 1 du présent Avenant, à moins que la Loi applicable n'exige autrement, auquel cas Bloks informera le Client de cette exigence légale avant de Traiter les Données à caractère personnel, sauf si une telle information est interdite par la loi pour des motifs importants d'intérêt public. Bloks informera immédiatement le Client si, de l'avis de Bloks, une Instruction fournie contrevient à la Loi applicable.
(B) Tenir strictement confidentiels (i) l'existence et les modalités du Contrat principal (y compris le présent Avenant) ainsi que de tout contrat connexe, et (ii) toutes les Données à caractère personnel.
(C) Veiller à ce que toute personne autorisée par Bloks à Traiter des Données à caractère personnel dans le cadre des Services se voie accorder l'accès à ces Données à caractère personnel uniquement en fonction du besoin de connaître, soit assujettie à une obligation de confidentialité contractuelle ou légale dûment exécutoire, et ne Traite des Données à caractère personnel que conformément aux Instructions du Responsable du traitement.
(D) Ne pas transférer de Données à caractère personnel à l'extérieur du pays à partir duquel le Client ou son Personnel les a originalement transmises à Bloks, ou à partir duquel Bloks y a autrement accédé ou les a autrement obtenues, ou — si elles ont été originalement transmises à un endroit situé à l'intérieur de l'Espace économique européen (« EEE ») ou en Suisse — à l'extérieur de l'EEE ou de la Suisse, aux fins de Traitement, sans le consentement écrit explicite du Client (un tel consentement étant réputé accordé à l'égard des territoires énumérés à l'Annexe 1). Bloks conclura toute convention écrite nécessaire (selon l'évaluation raisonnable du Client) afin de se conformer à la Loi applicable concernant tout transfert transfrontalier de Données à caractère personnel, qu'il soit destiné à Bloks ou en provienne.
(E) Informer le Client rapidement et sans retard injustifié de toute demande formelle de Personnes concernées exerçant leurs droits d'accès, de rectification ou d'effacement de leurs Données à caractère personnel, leur droit à la limitation du Traitement ou à l'opposition au Traitement, ainsi que leur droit à la portabilité des données, et ne pas répondre à de telles demandes, sauf instruction écrite du Client à cet effet. Compte tenu de la nature du Traitement des Données à caractère personnel, Bloks aidera le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de ses obligations relatives à la réponse aux demandes des Personnes concernées exerçant leurs droits à l'égard de leurs Données à caractère personnel.
(F) Aviser immédiatement le Client par écrit de toute assignation à comparaître ou autre ordonnance judiciaire ou administrative émise par une autorité gouvernementale, ou de toute procédure visant l'accès aux Données à caractère personnel ou leur divulgation. Le Client aura le droit d'assurer la défense d'une telle action à la place et au nom de Bloks. Le Client peut, s'il le souhaite, demander une ordonnance de protection. Bloks coopérera raisonnablement avec le Client dans le cadre de cette défense.
(G) Apporter une assistance raisonnable au Client, aux frais de celui-ci, dans le respect de ses obligations en vertu de la Loi applicable.
(H) Tenir un registre interne des activités de Traitement, dont des copies seront fournies au Client par Bloks, ou aux autorités de contrôle, sur demande. Ce registre doit contenir au moins : (i) le nom et les coordonnées de Bloks; (ii) les catégories d'activités de Traitement effectuées en vertu du présent Avenant; (iii) les renseignements sur les transferts de données vers un pays tiers ou un tiers, le cas échéant; et (iv) une description générale des Mesures de sécurité des données mises en œuvre pour protéger les Données à caractère personnel Traitées en vertu du présent Avenant.
IV. Sous-traitance ultérieure
(A) Bloks ne pourra partager, transférer, divulguer, mettre à disposition ou autrement permettre l'accès à toute Donnée à caractère personnel à un tiers, ni céder l'un de ses droits ou obligations en lien avec les Données à caractère personnel, à moins que le Client ne l'ait autorisé par écrit. Lorsque Bloks, avec le consentement du Client, donne accès à des Données à caractère personnel à un tiers, Bloks conclura un contrat écrit avec chacun de ces tiers imposant à celui-ci des obligations identiques à celles imposées à Bloks en vertu du présent Avenant. Bloks ne fera appel qu'à des tiers capables de protéger adéquatement la confidentialité, la protection et la sécurité des Données à caractère personnel.
V. Conformité aux Lois applicables
(A) Bloks se conformera à l'ensemble des Lois applicables.
(B) Bloks déclare et garantit qu'aucune Loi applicable, exigence légale ou mesure d'application, enquête, poursuite ou réclamation en matière de protection de la vie privée ou de sécurité de l'information n'empêche Bloks de remplir ses obligations en vertu du présent Avenant.
(C) Bloks négociera de bonne foi tout autre accord de Traitement des données raisonnablement demandé par le Client aux fins de conformité à la Loi applicable. En cas de conflit entre le présent Avenant et le Contrat principal, le présent Avenant prévaudra à l'égard du Traitement des Données à caractère personnel qu'il vise.
VI. Sécurité des données
(A) Bloks élaborera, maintiendra et mettra en œuvre un programme écrit complet de sécurité de l'information conforme à la Loi applicable, notamment, sans s'y limiter, aux Mesures de sécurité des données décrites à l'Annexe 2 du présent Avenant. Le programme de sécurité de l'information de Bloks comprendra des mesures de protection administratives, techniques, physiques, organisationnelles et opérationnelles appropriées ainsi que d'autres mesures de sécurité conçues pour : (i) assurer la sécurité et la confidentialité des Données à caractère personnel; (ii) protéger contre toute menace ou tout risque prévisible pour la sécurité et l'intégrité des Données à caractère personnel; et (iii) protéger contre toute Violation de Données à caractère personnel, y compris, selon ce qui s'applique :
· la pseudonymisation et le chiffrement des Données à caractère personnel;
· la capacité d'assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services de Traitement;
· la capacité de rétablir la disponibilité des Données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; et
· une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles adoptées en vertu de la présente disposition pour assurer la sécurité du Traitement.
Bloks adoptera toutes les recommandations raisonnables que le Client pourrait formuler concernant les Mesures de sécurité des données, les programmes et les procédures pour assurer une conformité continue au présent Avenant; toutefois, toute modification importante des exigences du Client sera traitée selon les Procédures de gestion des changements.
(B) Bloks supervisera son personnel dans la mesure nécessaire pour maintenir la confidentialité, la protection et la sécurité appropriées des Données à caractère personnel. Bloks fournira une formation, selon ce qui est approprié, sur les exigences de confidentialité, de protection et de sécurité de l'information énoncées dans le présent Avenant à tout son personnel ayant accès aux Données à caractère personnel.
(C) Sans délai dès l'expiration ou la résiliation anticipée du Contrat principal, ou à toute date antérieure que le Client demandera, Bloks remettra au Client ou à la personne désignée par celui-ci, ou, à la demande du Client, détruira de manière sécuritaire ou rendra illisible ou indéchiffrable, si la remise n'est pas raisonnablement possible ou souhaitable pour le Client (cette décision étant fondée uniquement sur la déclaration écrite du Client), chaque original et chaque copie, sur tout support, de toutes les Données à caractère personnel en possession, sous la garde ou sous le contrôle de Bloks, de ses sociétés affiliées ou de leurs sous-traitants respectifs. Sans délai après une telle remise ou autre mesure prise pour se conformer à la présente clause VI(C), Bloks remettra au Client un certificat dûment rempli attestant la réalisation de cette remise ou autre mesure. Si la loi applicable ne permet pas à Bloks de se conformer à la remise ou à la destruction des Données à caractère personnel, Bloks garantit qu'elle assurera la confidentialité des Données à caractère personnel et qu'elle ne les utilisera ni ne les divulguera après la résiliation du présent Avenant.
VII. Notification de violation de données
(A) Bloks informera immédiatement le Client par écrit de toute Violation de Données à caractère personnel dont elle prend connaissance, et au plus tard dans les vingt-quatre (24) heures suivant la prise de connaissance d'une telle Violation. La notification au Client comprendra l'ensemble des renseignements disponibles concernant cette Violation, notamment :
· la nature de la Violation de Données à caractère personnel, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées et les catégories et le nombre approximatif d'enregistrements de Données à caractère personnel touchés;
· les conséquences probables de la Violation de Données à caractère personnel; et
· les mesures prises ou proposées pour remédier à la Violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour atténuer ses possibles effets négatifs.
Bloks prendra rapidement toutes les mesures correctives nécessaires et conseillées et coopérera pleinement avec le Client dans l'ensemble des efforts raisonnables et licites pour prévenir, atténuer ou rectifier une telle Violation. Bloks fournira l'assistance requise pour permettre au Client de remplir son obligation de notifier l'autorité de contrôle compétente et les Personnes concernées d'une violation de données à caractère personnel en vertu des articles 33 et 34 du RGPD. Le contenu de tout dépôt, communication, avis, communiqué de presse ou rapport lié à une Violation de Données à caractère personnel doit être approuvé par le Client avant toute publication ou communication. Bloks assumera les coûts et les dépenses associés à l'exécution de ses obligations décrites dans le présent paragraphe, sauf si la Violation de Données à caractère personnel est causée par les actes ou omissions du Client ou de ses sociétés affiliées.
(B) En cas de Violation de Données à caractère personnel touchant des Données à caractère personnel en possession, sous la garde ou sous le contrôle de Bloks, ou pour lesquelles Bloks est autrement responsable, Bloks remboursera au Client, sur demande, l'ensemble des Coûts liés à la notification commercialement raisonnables engagés par le Client en lien avec une telle Violation.
VIII. Audit
À la demande écrite du Client (au plus une fois par an, sauf en cas de violation), Bloks mettra à la disposition du Client tous les renseignements nécessaires pour démontrer la conformité aux obligations énoncées dans le présent Avenant et permettra et contribuera, aux frais du Client, aux audits, y compris les inspections, menés par le Client ou par un autre auditeur mandaté par celui-ci. Sur demande écrite préalable du Client (au plus une fois par an, sauf en cas de violation), Bloks accepte de coopérer et de fournir au Client, dans un délai raisonnable : (a) des rapports d'audit et tous les renseignements nécessaires pour démontrer la conformité de Bloks aux obligations énoncées dans le présent Avenant; et (b) la confirmation que l'audit n'a révélé aucune vulnérabilité importante dans les systèmes de Bloks ou, dans la mesure où une telle vulnérabilité a été détectée, que Bloks y a entièrement remédié. Le défaut de Bloks de se conformer à cette obligation autorisera le Client à suspendre le Traitement des Données à caractère personnel Traitées par Bloks et à mettre fin à tout Traitement ultérieur des Données à caractère personnel, au présent Avenant ou au Contrat principal, si cela est nécessaire pour se conformer à la Loi applicable.
IX. Mesure injonctive
Bloks reconnaît que tout Traitement de Données à caractère personnel en violation du présent Avenant, des Instructions du Client ou de toute Loi applicable, ou la survenance de toute Violation de Données à caractère personnel, causera un préjudice immédiat et irréparable au Client pour lequel des dommages-intérêts pécuniaires ne constitueront pas un recours adéquat. Par conséquent, Bloks reconnaît que le Client peut demander et se voir accorder l'exécution forcée et une mesure injonctive ou autre recours en équité pour toute violation ou tout incident de la sorte, en plus de ses recours de droit, sans avoir à prouver de dommages réels.
X. Responsabilité
Bloks accepte d'indemniser et de tenir indemne le Client de tout dommage direct, amende, coût ou dépense qu'il pourrait encourir ou qui découlerait d'une réclamation d'un tiers liée à toute violation du présent Avenant.
XI. Droit applicable
Dans la mesure exigée par la Loi applicable, le présent Avenant sera régi par les lois du Québec, Canada. Dans tous les autres cas, le présent Avenant sera régi par les lois de la juridiction précisée dans le Contrat.
Annexe 1 : Portée du traitement des données
La présente annexe fait partie intégrante de l'Avenant sur le traitement des données conclu entre le Client et Bloks.
Le Traitement des Données à caractère personnel concerne les catégories suivantes de Personnes concernées :
· Utilisateurs du Client
Le Traitement concerne les catégories suivantes de Données à caractère personnel :
· Renseignements de connexion des utilisateurs du Client et utilisation de la plateforme Bloks
Le Traitement concerne les catégories suivantes de Données sensibles :
· Les Données sensibles désignent les Données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle.
· Aucune
Le Traitement concerne les catégories suivantes d'activités de Traitement (c.-à-d. les finalités du Traitement) :
· Finalité du traitement de la connexion des utilisateurs du Client et de la plateforme Bloks uniquement aux fins de la prestation des services Bloks.
Bloks utilise les Sous-traitants ultérieurs suivants :
· AWS, Google Cloud, Atlas MongoDB
Bloks peut transférer et traiter des renseignements personnels vers et dans les juridictions suivantes en dehors de l'UE :
· Canada, États-Unis
Annexe 2 : Mesures de sécurité des données
La présente annexe fait partie intégrante de l'Avenant sur le traitement des données conclu entre le Client et Bloks. Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et de la finalité du Traitement, Bloks s'engage à mettre en œuvre les Mesures de sécurité des données suivantes :
I. Contrôle d'accès physique
Mesures techniques et organisationnelles visant à empêcher les personnes non autorisées d'accéder aux systèmes de Traitement de données disponibles dans les locaux et installations (y compris les bases de données, les serveurs d'applications et le matériel connexe) où des Données à caractère personnel sont Traitées, notamment :
· Mise en place de zones de sécurité, restriction des voies d'accès;
· Établissement d'autorisations d'accès pour les employés et les tiers;
· Système de contrôle d'accès (lecteur d'identité, carte magnétique, carte à puce);
· Gestion des clés, procédures de cartes-clés;
· Verrouillage des portes (ouvre-portes électriques, etc.);
· Personnel de sécurité, concierges;
· Installations de surveillance, surveillance vidéo/CCTV, système d'alarme;
· Sécurisation des équipements de Traitement de données décentralisés et des ordinateurs personnels.
II. Contrôle d'accès logique
Mesures techniques et organisationnelles visant à empêcher l'utilisation des systèmes de Traitement de données par des personnes non autorisées, notamment :
· Procédures d'identification et d'authentification des utilisateurs;
· Procédures de sécurité par identifiant/mot de passe (caractères spéciaux, longueur minimale, changement de mot de passe);
· Blocage automatique (par exemple, mot de passe ou délai d'inactivité);
· Surveillance des tentatives d'intrusion et désactivation automatique de l'identifiant après plusieurs tentatives erronées de mot de passe;
· Création d'un enregistrement maître unique par utilisateur, procédures de données maîtres des utilisateurs, par environnement de Traitement de données;
· Chiffrement et pseudonymisation.
III. Contrôle d'accès aux données
Mesures techniques et organisationnelles visant à garantir que les personnes autorisées à utiliser un système de Traitement de données accèdent uniquement aux Données à caractère personnel selon leurs droits d'accès, et que les Données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation, notamment :
· Politiques et procédures internes;
· Schémas d'autorisation de contrôle;
· Droits d'accès différenciés (profils, rôles, transactions et objets);
· Surveillance et journalisation des accès;
· Mesures disciplinaires à l'égard des employés qui accèdent aux Données à caractère personnel sans autorisation;
· Rapports d'accès;
· Procédure d'accès;
· Procédure de modification;
· Procédure de suppression;
· Chiffrement et pseudonymisation.
IV. Contrôle de la divulgation
Mesures techniques et organisationnelles visant à garantir que les Données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation lors de leur transmission électronique, de leur transport ou de leur conservation sur des supports de stockage (manuels ou électroniques), et qu'il est possible de vérifier à quelles entreprises ou autres entités juridiques les Données à caractère personnel sont divulguées, notamment :
· Journalisation;
· Sécurité du transport;
· Chiffrement et pseudonymisation.
V. Contrôle de la saisie
Mesures techniques et organisationnelles visant à vérifier si les données ont été saisies, modifiées ou retirées (supprimées), et par qui, des systèmes de Traitement de données, notamment :
· Systèmes de journalisation et de production de rapports;
· Pistes de vérification et documentation.
VI. Contrôle des instructions
Mesures techniques et organisationnelles visant à garantir que les Données à caractère personnel sont Traitées uniquement conformément aux Instructions du Responsable du traitement, notamment :
· Libellé sans ambiguïté du contrat;
· Mandat formel (formulaire de demande);
· Critères de sélection du Sous-traitant.
VII. Contrôle de la disponibilité
Mesures techniques et organisationnelles visant à garantir que les Données à caractère personnel sont protégées contre la destruction ou la perte accidentelle (physique/logique), notamment :
· Procédures de sauvegarde;
· Mise en miroir des disques durs;
· Alimentation sans coupure;
· Stockage à distance;
· Systèmes antivirus/coupe-feu;
· Plan de reprise après sinistre.
VIII. Contrôle de la séparation
Mesures techniques et organisationnelles visant à garantir que les Données à caractère personnel collectées à des fins différentes peuvent être Traitées séparément, notamment :
· Séparation des bases de données;
· Concept de « client interne » / limitation de l'utilisation;
· Séparation des fonctions (production/test);
· Procédures pour la conservation, la modification, la suppression et la transmission des données à des fins différentes.