Avenant relatif au traitement des données

Avenant relatif au traitement des données

Le présent avenant relatif au traitement des données (« Avenant ») s'applique au contrat d'hébergement cloud (« Contrat ») en vertu duquel ISVHost (« Prestataire de services ») fournit des services d'hébergement cloud au client (« Société ») et fait partie intégrante dudit Contrat.  

CONSIDÉRANT que le Prestataire de services fournit certains services à la Société en vertu du Contrat (« Services ») ;  

CONSIDÉRANT que, dans le cadre des services que le Prestataire de services fournit à la Société en vertu du Contrat, le Prestataire de services se verra communiquer ou aura accès à des données à caractère personnel, au sens où ce terme est utilisé et compris dans les lois sur la protection des données (définies ci-dessous) ;

CONSIDÉRANT que les parties souhaitent mettre en œuvre un accord de traitement des données (DPA) conforme aux exigences de la législation en matière de protection des données.  

PAR CONSÉQUENT, IL EST CONVENU DE CE QUI SUIT :  

1. Définitions

1. On entend par « publicité comportementale inter-contextes » le ciblage publicitaire d'un consommateur sur la base de ses informations personnelles obtenues à partir de son activité sur des entreprises, des sites web, des applications ou des services portant une marque distincte, autres que l'entreprise, le site web, l'application ou le service avec lesquels le consommateur interagit intentionnellement.  

2. Le terme « consommateur » désigne toute personne physique résidant dans une juridiction où s’appliquent des lois sur la protection des données, y compris, sans s’y limiter, un « consommateur » tel que défini par la California Consumer Privacy Act, telle que modifiée par la California Privacy Rights Act, la Virginia Consumer Data Protection Act, la Colorado Privacy Act, la Connecticut Data Privacy Act, l’Utah Consumer Privacy Act, la Texas Data Privacy and Security Act, l’Oregon Consumer Privacy Act et d’autres lois étatiques applicables en matière de protection de la vie privée.

3. Le terme « lois sur la protection des données » désigne l'ensemble des lois, règles, règlements et autres exigences légales ou d'autorégulation en vigueur dans toute juridiction et relatives à la vie privée, à la protection des données, à la sécurité des données, à la notification des violations ou au traitement (tel que défini ci-dessous) des données à caractère personnel.

4. Le terme « données à caractère personnel » désigne toutes les informations permettant d'identifier une personne, telles que définies par la législation applicable en matière de protection des données.

5. Les termes « traitement » et « traiter » désignent toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, y compris, sans s'y limiter, la collecte, la conservation et l'utilisation de ces données.  

6. Le terme « profilage » désigne toute forme de traitement automatisé de données à caractère personnel visant à évaluer, analyser ou prédire la situation économique, l'état de santé, les préférences personnelles, les centres d'intérêt, la fiabilité, le comportement, la localisation ou les déplacements d'une personne.

7. On entend par « violation de la sécurité » la destruction, la perte, l'altération, la divulgation ou le traitement non autorisés ou illicites de données à caractère personnel.  

8. Les termes « vente », « vendre » ou « tiers » ont le sens qui leur est donné à l'article 1798.140 du Code civil californien, tel que modifié, ainsi que dans les définitions analogues prévues par d'autres lois applicables en matière de protection des données.

9. On entend par « données sensibles » ou « informations personnelles sensibles » les informations personnelles qui révèlent l'origine raciale ou ethnique, les convictions religieuses, un diagnostic de santé mentale ou physique, l'orientation sexuelle, la nationalité ou le statut d'immigration ; les données génétiques ou biométriques traitées dans le but d'identifier de manière unique une personne ; les informations personnelles collectées auprès d'un enfant identifié ; ou les données de géolocalisation précises, telles que définies plus en détail par les lois applicables en matière de protection des données.

10. Le terme « prestataire de services » englobe le terme « sous-traitant » et les termes similaires, et ces termes ont la même signification que celle qui leur est donnée par la législation applicable en matière de protection des données.

11. Les termes « partager », « partagé » ou « partage » ont le sens qui leur est donné à l'article 1798.140 du Code civil californien, tel que modifié, ainsi que dans les définitions analogues prévues par d'autres lois applicables en matière de protection des données.

12. On entend par « sous-traitant » tout sous-traitant qui traite des données à caractère personnel pour le compte du prestataire de services.

2. Obligations du prestataire de services

1. Le Prestataire de services traitera les données à caractère personnel dans le seul but de fournir à la Société les services énumérés dans le Contrat ou conformément à toute autre instruction écrite de la Société. Tout traitement des données à caractère personnel par le Prestataire de services doit être conforme à la législation sur la protection des données.  

2. Sans limiter la portée de ce qui précède, le Prestataire de services s'engage à ne pas : (i) vendre des données à caractère personnel ; (ii) partager des données à caractère personnel à des fins de publicité comportementale inter-contextes ; (iii) conserver, utiliser ou divulguer des données à caractère personnel à quelque fin que ce soit, y compris à des fins commerciales, autre que les fins commerciales spécifiées dans le Contrat ou autorisées par écrit par la Société ; (iv) conserver, utiliser ou divulguer des Informations personnelles à un tiers en dehors de la relation commerciale directe entre la Société et le Prestataire de services ; (v) enfreindre les restrictions applicables énumérées dans les Lois sur la protection des données, y compris celles relatives à la combinaison des Informations personnelles que le Prestataire de services reçoit de la Société ou pour le compte de celle-ci avec des Informations personnelles qu’il reçoit d’une ou de plusieurs autres personnes ou pour le compte de celles-ci, ou qu’il recueille à la suite de toute interaction entre lui-même et un individu ; à condition, toutefois, que ce qui précède n'empêche pas le Prestataire de services de combiner des Données anonymisées (telles que définies ci-dessous) avec d'autres données anonymisées ou rendues anonymes à des fins d'analyse interne, de recherche ou d'amélioration des produits du Prestataire de services ; ou (vi) procéder à tout Traitement de Données à caractère personnel qui est interdit ou non autorisé par les « Sous-traitants » ou les « Prestataires de services » en vertu des Lois sur la protection des données.

3. Nonobstant ce qui précède, le Prestataire de services peut dépersonnaliser, anonymiser ou agréger les Informations personnelles reçues de la Société, à condition que : (i) cette dépersonnalisation, anonymisation ou agrégation soit effectuée conformément aux lois applicables en matière de protection des données ; (ii) les données ainsi obtenues (« Données dépersonnalisées ») ne puissent raisonnablement être utilisées pour identifier une personne physique ou être reliées à une telle personne ; (iii) le Prestataire de services mette en œuvre des mesures de protection techniques et des processus opérationnels visant à empêcher toute réidentification ; et (iv) le Prestataire de services interdise contractuellement à tout destinataire en aval de tenter de réidentifier les données. Le Prestataire de services peut utiliser, conserver et combiner les Données anonymisées à des fins internes d'analyse, de recherche, d'étalonnage et d'amélioration de ses produits ou services. Le Prestataire de services ne doit pas tenter de réidentifier des Données anonymisées ou toute autre information pseudonymisée, anonymisée, agrégée ou anonymisée.

4. Si le Prestataire de services est légalement tenu de communiquer des Données à caractère personnel à un tiers : (i) le Prestataire de services donnera sans délai à la Société la possibilité de contester cette obligation légale ou de demander une protection contre cette divulgation ; et (ii) le Prestataire de services, après consultation de la Société et de son conseiller juridique, ne divulguera que le minimum de Données à caractère personnel nécessaire pour se conformer à cette obligation légale.

5. Le Prestataire de services doit, dans un délai de cinq (5) jours ouvrables, informer la Société s'il constate qu'il n'est plus en mesure de respecter les obligations qui lui incombent en vertu du présent ATD ou des lois sur la protection des données, ou s'il a manqué à l'une de ses obligations au titre du présent ATD ou enfreint l'une des lois sur la protection des données.  

6. Sauf dans la mesure où cela est nécessaire pour se conformer à des obligations légales, le Prestataire de services supprimera toutes les Données à caractère personnel de ses systèmes dès la fin des Services liés au Traitement. Si le Prestataire de services est légalement tenu de conserver ces Données à caractère personnel, il en informera la Société. Par la suite, ces Données à caractère personnel pourront continuer à être stockées dans le système du Prestataire de services, mais ne feront l'objet d'aucun autre Traitement et seront conformes à toutes les lois applicables en matière de protection des données.  

7. Le prestataire de services accorde à la société le droit, moyennant un préavis raisonnable, de prendre les mesures raisonnables et appropriées pour mettre fin à toute utilisation non autorisée des données à caractère personnel et y remédier.  

8. Les parties s'engagent à coopérer de manière raisonnable entre elles afin de modifier ou d'amender le présent accord sur le traitement des données (DPA) si de nouvelles lois ou des modifications apportées aux lois en matière de protection des données l'exigent.  

3. Données sensibles et restrictions en matière de profilage. Les exigences supplémentaires suivantes s'appliquent au traitement des données sensibles par le prestataire de services ainsi qu'à toute activité de profilage :

1. Le Prestataire de services ne traitera pas de données sensibles, sauf dans la mesure strictement nécessaire à la prestation des Services et uniquement avec l'accord écrit préalable de la Société précisant les catégories de données sensibles à traiter et les finalités dudit traitement.

2. Le Prestataire de services doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles renforcées pour les Données sensibles, adaptées au risque accru associé à ces données, notamment le chiffrement au repos et en transit, des contrôles d'accès limitant l'accès au personnel autorisé, ainsi que la journalisation de tous les accès aux Données sensibles.

3. Le Prestataire de services reconnaît que les Consommateurs ont le droit de limiter l'utilisation et la divulgation de leurs Données sensibles en vertu des lois applicables en matière de protection des données et s'engage à respecter toute demande de limitation de ce type transmise par la Société.

4. Le Prestataire de services ne doit pas procéder à l'établissement de profils des Consommateurs à partir des Données à caractère personnel reçues de la Société, sauf si : (i) cet établissement de profils est strictement nécessaire à la prestation des Services ; (ii) la Société a donné son autorisation écrite préalable pour cette activité ; et (iii) l'établissement de profils n'entraîne pas de conséquences juridiques ou d'effets similaires significatifs pour les Consommateurs en l'absence de garanties appropriées.

5. Le prestataire de services doit fournir à la société les informations nécessaires pour lui permettre de réaliser toute analyse d'impact relative à la protection des données ou toute autre évaluation similaire concernant les activités de profilage, conformément à la législation applicable en matière de protection des données.

6. Si le Prestataire de services reçoit une demande d'un Consommateur visant à refuser le profilage, que ce soit directement ou par l'intermédiaire de la Société, il doit immédiatement mettre fin à toutes les activités de profilage concernant les Données à caractère personnel dudit Consommateur et confirmer cette cessation par écrit à la Société.

4. Assistance au traitement. Si le Prestataire de services fait appel à un sous-traitant ou à toute autre personne pour l'assister dans le traitement des données à caractère personnel, il doit en informer la Société, et ces sous-traitants ou personnes engagées doivent :  

1. ont été sélectionnés au terme d'une procédure raisonnablement conçue pour garantir la fiabilité, la compétence et l'intégrité dudit sous-traitant ou de ladite personne, y compris la réalisation de vérifications d'antécédents appropriées lorsque la loi l'autorise ;

2. ont suivi la formation nécessaire pour aider le prestataire de services à se conformer au présent accord sur le traitement des données ;

3. ont conclu un accord écrit approprié obligeant ce sous-traitant ou cette personne à se conformer à la législation en matière de protection des données et à traiter les données à caractère personnel uniquement dans les limites autorisées par le présent accord ; et

4. Ne recevoir du prestataire de services l'accès aux données à caractère personnel que dans la mesure où cet accès est nécessaire pour permettre au sous-traitant ou à la personne concernée de s'acquitter des obligations pour lesquelles il ou elle a été engagé(e).

5. Assistance en matière de conformité aux lois sur la protection des données. Les parties coopéreront et s'entraideront de manière raisonnable afin de garantir le respect de leurs obligations respectives en matière de conformité aux lois sur la protection des données, en tenant compte de la nature du traitement effectué par le Prestataire de services et des informations dont celui-ci dispose. Sans préjudice de ce qui précède :

1. Le prestataire de services doit informer la société dès que possible, et au plus tard dans les trois (3) jours ouvrables suivant la réception de toute demande ou réclamation concernant des données à caractère personnel.  

2. Le Prestataire de services ne répondra à aucune de ces demandes, sauf si la Société l'y a autorisé par écrit, sauf dans la mesure où le Prestataire de services est tenu, en vertu de la législation applicable, d'y répondre directement.  

3. Si le prestataire de services est tenu, en vertu de la législation applicable, de répondre directement, il doit, sauf interdiction légale, informer la société de cette obligation avant de procéder à la notification initiale et se conformer aux instructions raisonnables de la société pour répondre à cette demande.

4. Si la Société demande au Prestataire de services de supprimer ou de modifier des données à caractère personnel, ce dernier doit s'y conformer sans délai et transmettre ces demandes de suppression ou de modification aux parties en aval, conformément à la législation sur la protection des données.

6. Sécurité. Le prestataire de services mettra en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données à caractère personnel adapté au risque encouru ; dans tous les cas, ces mesures devront être conformes à la législation applicable en matière de protection des données.

7. Violation de la sécurité. Le Prestataire de services se conformera à toutes les obligations qui lui incombent en matière de violation de la sécurité en vertu de la législation sur la protection des données. Compte tenu de la nature du traitement et des informations dont il dispose, le Prestataire de services apportera une assistance raisonnable à la Société afin de l'aider à s'acquitter de ses obligations en matière de violation de la sécurité.

Les parties au présent accord déclarent et garantissent par la présente qu'elles sont dûment habilitées à engager juridiquement ladite partie au respect des dispositions du présent accord sur le traitement des données.

‍