Convention de traitement externalisé de renseignements personnels

Date d’entrée en vigueur : 22 septembre 2023
Actualisation : 22 septembre 2023

Introduction

En tant que personne qui exploite une entreprise, vous êtes responsable de la protection des renseignements personnels que vous détenez ou sous votre garde. Lorsque, en tant que mandant ou client, vous transférez des renseignements personnels à un mandataire ou un prestataire de services tel qu’Avancie Inc. (« Avancie»), vous êtes tenu de veiller à ce que ce prestataire de services offre à leur égard une protection équivalente à celle que vous êtes tenue d’offrir sous le régime des lois protégeant la vie privée auxquelles vous êtes assujettie.

Les stipulations qui suivent consistent en une convention de traitement externalisé de renseignements personnels. Elles s’ajoutent à tout contrat de mandat, d’entreprise ou de service formé ou à être formé entre Avancie et un client d’Avancie et visent à permettre à ce client d’Avancie de répondre aux conditions par lesquelles, selon les lois protégeant la vie privée applicables, il peut communiquer un renseignement personnel qu’il détient à Avancie lorsque cette communication est nécessaire à l’exécution d’un tel contrat.

1. Rôles des parties et relations

1.1 Client d’Avancie : En tant que client d’Avancie, vous reconnaissez que vous êtes la personne de qui relèvent les renseignements personnels que vous transférez à Avancie pour être traités ou qu’Avancie recueille, détient, utilise ou communique en tant que mandataire ou prestataire de services, selon le cas, pour vous.

1.2 Avancie : Vous reconnaissez que lorsqu’Avancie agit en tant que mandataire ou prestataire de services dans le traitement de renseignements personnels, ces renseignements personnels ne relèvent pas d’Avancie, mais plutôt de vous en tant que personne exploitant une entreprise qui, seule ou conjointement avec d’autres, décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués ainsi que les moyens du traitement.

1.3 Conformité mutuelle: Les parties se conformeront à leurs obligations respectives en vertu des lois protégeant la vie privée applicables. Toute instruction documentée à Avancie sur le traitement de renseignements personnels relevant de vous doit être licite.

1.4 Mandat: Lorsque vous donnez à Avancie instruction de recueillir, détenir, utiliser ou communiquer un renseignement personnel pour vous impliquant un tiers, cette instruction est constitutive d’un mandat professionnel spécial accepté tacitement par Avancie par lequel Avancie peut vous représenter dans l’accomplissement d’un acte juridique avec ce tiers dans les limites de cette instruction, incluant se faire assister par une autre personne et lui déléguer des pouvoirs à cette fin à moins que l’usage ne l’interdise. Cette procuration permet à Avancie de faire tous les actes qui découlent d’un tel mandat et qui sont nécessaires à son exécution, s’étendant à tout ce qui peut s’en déduire. Avancie demeure tenue, à votre égard, des actes accomplis par toute personne qui l’a assisté, le cas échéant.

1.5 Prédominance: Les clauses dans cette convention prédominent sur toute autre clause sur le même objet dans tout contrat liant les parties, sauf lorsque cette autre clause prend effet postérieurement à cette convention et stipule expressément qu’il est de la commune intention des parties que cette autre clause prédomine sur celle sur le même sujet dans cette convention en cas d’incompatibilité.

2. Mesures

2.1 Protection du caractère confidentiel: Avancie prend les mesures énumérées dans la présente clause pour assurer la protection du caractère confidentiel des renseignements personnels qu’elle traite pour vous selon les besoins et compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques. Avancie surveille et évalue régulièrement l’efficacité de ces mesures et met en œuvre des mises à jour ou des améliorations si nécessaire comme moyens de protection continue du caractère confidentiel des renseignements personnels qu’Avancie traite pour vous.

(a) Mesures de sécurité organisationnelles:
(i) Certification ISO/CEI 27001 ou équivalent : Avancie maintient la certification ISO/CEI 27001 qu’elle a obtenu, délivrée par un organisme de certification indépendant et reconnu, pour l’ensemble de ses opérations et services qu’elle vous fournit. Dans le cas où Avancie ne disposerait plus d’une certification ISO/CEI 27001 au terme d’un audit de renouvellement, Avancie maintiendra un système de gestion de la sécurité de l’information («SGSI») équivalent à celui requis par la norme ISO/CEI 27001. En cas de non-conformité constatée par rapport à la norme ISO/CEI 27001 ou à un SGSI équivalent, Avancie s’engage à prendre les mesures correctives nécessaires pour remédier à cette non-conformité et garantir le respect des exigences de la norme ISO/CEI 27001 ou d’un SGSI équivalent.
(ii) Formation et sensibilisation du personnel : Avancie forme son personnel quant aux exigences des lois protégeant la vie privée applicables ainsi qu’aux usages et règles de l’art en matière de protection des renseignements personnels, afin de minimiser les risques d’incidents de confidentialité liés à l’erreur humaine.
(iii) Personnes autorisées : Avancie veille à ce que les personnes autorisées à traiter les renseignements personnels se soient engagées à respecter leur caractère confidentiel ou soient soumises à une obligation légale appropriée de confidentialité.
(iv) Télétravail : Avancie a mis en place des mesures de sécurité organisationnelles spécifiques pour ses employés travaillant à distance, notamment des politiques pour assurer la protection des renseignements personnels lorsqu’ils sont traités à partir du domicile ou d’autres lieux de télétravail.
(v) Sous-prestataire de services : Lorsqu’Avancie s’adjoint un tiers agissant comme sous-prestataire de services pour se faire assister dans l’exécution d’un contrat avec vous impliquant de mener des activités de traitement spécifiques pour vous, les mêmes obligations ou leur équivalent en matière de protection de renseignements personnels que celles fixées dans la présente convention sont imposées à ce sous-prestataire de services qui, lui aussi, peut s’adjoindre un sous-prestataire de services, ce qui constitue une autorisation générale de votre part à ce sujet. Dans un tel cas, Avancie conserve néanmoins la direction et la responsabilité de l’exécution d’un tel traitement. Lorsqu’Avancie effectue un traitement de renseignements personnels pour vous, elle fait appel uniquement à des sous-prestataires de services qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques, organisationnelles et matérielles appropriées, de manière à ce que le traitement réponde aux exigences des lois protégeant la vie privée applicables visant à fournir à leur égard une protection équivalente à celle que vous êtes tenue de fournir en tant que personne de qui ces renseignements personnels relèvent.
(vi) Assurance cyber risque : Avancie a souscrit et maintient une assurance cyber risques auprès d’une compagnie d’assurance reconnue et solvable, afin de couvrir les risques de dommages causés par une atteinte aux mesures de sécurité ou tout autre incident de confidentialité. La nature des risques couverts comprend la responsabilité civile, les frais de gestion de crise, les frais de défense et d’indemnisation et l’interruption d’activités commerciales causée par une atteinte aux mesures de sécurité ou par tout autre incident de confidentialité.

(b) Mesures de sécurité techniques:
(i) Contrôle d’accès : Avancie met à votre disposition des systèmes de gestion des droits et des données d’accès (identifiants et authentifiants) aux renseignements personnels, afin de limiter l’accès aux seules personnes autorisées et de tracer et journaliser les actions effectuées sur les renseignements personnels. Les accès et authentifications reposent sur des mots de passe complexes et régulièrement renouvelés ou des dispositifs d’authentification à deux facteurs.
(ii) Sécurité des systèmes et réseaux : Avancie maintient la sécurité des systèmes et réseaux informatiques utilisés pour le traitement des renseignements personnels par le biais de pare-feu, d’outils de détection d’intrusion et de programmes antivirus régulièrement mis à jour.
(iii) Télétravail : Avancie a mis en place des mesures de sécurité techniques spécifiques pour ses employés travaillant à distance, notamment pour la connexion sécurisée à ses systèmes et réseaux internes, lorsque des renseignements personnels sont traités à partir du domicile ou d’autres lieux de télétravail.
(iv) Dispositifs de stockage amovibles : Avancie restreint l’usage de dispositifs amovibles de stockage pour les ordinateurs sous son contrôle.
(v) Chiffrement : Avancie utilise des méthodes de chiffrement reconnues et éprouvées pour protéger les renseignements personnels, tant lors de leur transmission que lors de leur stockage.
(vi) Sauvegarde et récupération: Avancie met en œuvre des solutions de sauvegarde et de récupération de renseignements personnels en cas de perte ou de destruction accidentelle, comme moyens permettant la continuité des services d’Avancie et de limiter les risques liés aux atteintes aux mesures de sécurité et tout autre incident de confidentialité.

(c) Mesures de sécurité matérielles :
(i) Centres de données : Avancie utilise ses propres serveurs primaires et de rétablissement après sinistre pour le stockage des données de ses clients, incluant les renseignements personnels. Ces serveurs sont installés dans des centres de données sécurisés offrant de la colocation, lesquels disposent de mesures de sécurité incluant les contrôles d’accès, la surveillance vidéo et la détection d’intrusion.

2.2 Utilisation limitée au contrat : Avancie prend les mesures énumérées dans la présente clause pour que les renseignements personnels qu’elle traite pour vous ne soient utilisés que dans l’exercice de son mandat ou l’exécution de son contrat avec vous:
(a) Instructions documentées : Votre utilisation d’un service d’Avancie fourni sous forme de logiciel-service comporte intrinsèquement une instruction documentée de vous à Avancie visant le traitement de renseignements personnels que vous détenez lorsque cette utilisation implique un tel traitement. Avancie ne traitera de tels renseignements personnels que sur instruction documentée, y compris en ce qui concerne les transferts de tels renseignements personnels vers un pays tiers ou à une organisation internationale, à moins qu’Avancie ne soit tenue d’y procéder en vertu de lois protégeant la vie privée applicables.
(b) Abstention d’accès, de consultation ou d’utilisation : Avancie s’abstient d’accéder aux fichiers contenant des renseignements personnels que vous détenez ou de les consulter ou les utiliser, à moins que vous ne l’ayez autorisé. Cette autorisation peut être accordée notamment dans le cadre d’une demande de soutien technique que vous soumettez à Avancie.
(c) Demande par un individu concerné : En ce qui concerne les renseignements personnels qu’elle détient pour votre compte, Avancie vous réfère toute demande d’accès ou de rectification (ou autrement relative à un droit individuel en vertu des lois protégeant la vie privée applicables) reçue d’un individu auquel ces renseignements se rapportent.
(d) Encadrement contractuel : La présente convention fait en sorte que lorsqu’Avancie agit en tant que votre prestataire de service, la loi applicable lui impose d’agir aux mieux de vos intérêts. Semblablement, lorsqu’Avancie agit en tant que votre mandataire, la loi applicable lui impose d’agir avec honnêteté et loyauté dans votre meilleur intérêt et éviter de se placer dans une situation de conflit entre son intérêt personnel et le vôtre. La loi applicable fait également en sorte qu’Avancie ne peut utiliser à son profit l’information qu’elle obtient dans l’exécution d’un mandat que vous lui confiez, à moins que vous n’y ayez consenti ou que l’utilisation ne résulte de la loi ou du mandat.
(e) Communications obligatoires : Les lois protégeant la vie privée applicables font généralement en sorte qu’une personne qui exploite une entreprise peut, dans certaines circonstances prescrites, communiquer un renseignement personnel qu’elle détient sur un individu sans le consentement de l’individu concerné. En général, Avancie ne communique pas de renseignements personnels ainsi en l’absence d’une instruction documentée de votre part ou, s’il y a lieu et que les circonstances le justifient, sans vous en aviser en temps opportun, mais pourrait être tenue de le faire, notamment lorsque la communication est requise par une personne ou un organisme ayant droit ou pouvoir de contraindre à leur communication et qui les requiert dans l’exercice de ses fonctions ou en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de l’individu concerné.

2.3 Non-conservation après expiration : Avancie prend les mesures énumérées dans la présente clause pour ne pas conserver ces renseignements personnels qu’elle traite pour vous après cessation du contrat de mandat, d’entreprise ou de service:
(a) Suppression ou renvoi et destruction des copies : Suite à l’écoulement d’un délai de six mois après cessation du contrat de mandat, d’entreprise ou de service avec vous, Avancie supprime les renseignements personnels concernés ou vous renvoie, dans un format technologique structuré, couramment utilisé et lisible par machine, les copies existantes, sauf dans la mesure où les lois protégeant la vie privée applicables ou encore une loi, un règlement ou une ordonnance d’une autorité publique exigent d’Avancie la conservation de ces renseignements personnels.
(b) Mode libre-service : Avancie met à votre disposition des moyens par lesquels vous pouvez effectuer par vous-mêmes la suppression de plusieurs ensembles de renseignements personnels concernés ou leur renvoi dans un format technologique structuré, couramment utilisé et lisible par machine.
(c) Avis en cas d’impossibilité : Avancie vous avise diligemment en cas d’impossibilité de procéder à la suppression ou au renvoi des renseignements personnels concernés et à la destruction des copies existantes, en précisant les motifs de cette impossibilité et les mesures alternatives proposées pour assurer la protection des renseignements personnels concernés.
(d) Attestation : Avancie peut, à votre demande, attester que les mesures de suppression ou renvoi et de destruction susmentionnées ont été accomplies conformément à ses politiques et pratiques encadrant sa gouvernance à l’égard des renseignements personnels dans un délai raisonnable après la cessation du contrat.
(e) Automatisme : Après cessation du contrat de mandat, d’entreprise ou de service avec vous, Avancie n’est pas tenue de conserver les renseignements personnels qui relèvent de vous et pourra procéder à leur suppression ou leur renvoi et la destruction de toute copie automatiquement après l’écoulement d’un délai raisonnable indiqué dans un avis à cet effet, et ce, indépendamment de l’existence d’un devoir en matière de tenue de dossiers qu’une loi, un règlement ou une ordonnance d’une autorité publique peut vous imposer, dont celui de conserver pendant au moins une certaine période les renseignements personnels utilisés pour prendre une décision relative à l’individu concerné ou les dossiers de vos clients qui ne sont plus actifs à compter de leurs dates respectives de fermeture.

3. Avis, aide et informations
3.1 Avis à votre responsable en cas de violation : Avancie avise sans délai votre responsable de la protection des renseignements personnels en cas de violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité des renseignements personnels relevant de vous et traités par Avancie.
3.2 Aide au respect d’obligations : Compte tenu de la nature du traitement et des informations à sa disposition, Avancie vous aidera à respecter vos obligations fondées sur les lois protégeant la vie privée auxquelles vous êtes assujettie, moyennant, selon le cas, une rémunération ou un prix déterminé d’après la valeur des travaux effectués ou des services rendus en ce sens que vous vous obligez à payer s’il y a lieu à Avancie. Ces obligations peuvent porter notamment sur:
(a) les mesures de sécurité propres à assurer la protection des renseignements personnels que vous détenez et traitez par l’intermédiaire d’Avancie;
(b) les droits d’un individu concerné à l’égard des renseignements personnels que vous détenez et traitez par l’intermédiaire d’Avancie;
(c) les déclarations d’atteinte aux mesures de sécurité ou d’incident de confidentialité présentant un risque réel qu’un préjudice sérieux ou grave à l’endroit d’un individu devant être présentées aux autorités publiques de contrôle habilitées à les recevoir;
(d) les avis (directs ou indirects, selon le cas) que vous devez donner à tout individu dont un renseignement personnel est concerné par une telle atteinte aux mesures de sécurité ou un tel incident de confidentialité;
(e) l’évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant le traitement de renseignements personnels si Avancie est participante à un tel projet et, plus généralement, l’analyse de l’impact des opérations de traitement envisagées recourant à de nouvelles technologies sur la protection des renseignements personnels lorsque, dans une telle situation, elles sont susceptibles d’engendrer un risque élevé pour les droits et libertés des individus;
(f) une consultation, une demande ou une permission auprès d’une autorité publique de contrôle; ou
(g) l’obtention d’une certification en matière de protection des renseignements personnels.

3.3 Informations nécessaires : Avancie met à votre disposition toutes les informations nécessaires pour démontrer le respect de vos obligations fondées sur l’article 18.3 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1) ou sur le principe 4.1.3 à l’Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5 ou encore sur toute autre disposition semblable selon laquelle une organisation qui transfère des renseignements personnels à un prestataire de services veille à ce que celui-ci offre à leur égard une protection équivalente à celle que l’organisation est tenue de fournir, notamment sous le régime d’une loi fédérale canadienne édictée pour remplacer la partie 1 de cette loi fédérale canadienne ou d’une loi provinciale applicable essentiellement similaire à cette loi fédérale canadienne ou à celle remplaçant la partie 1 de cette loi.