Qohash addendum sur le traitement des renseignements personnels

Dernière révision: septembre 2024

MSA(CAN) | SLA

MSA(US)

QOHASH™
ANNEXE B – ADDENDUM SUR LE TRAITEMENT DES RENSEIGNEMENTS PERSONNELS

Copie .docx disponible ici

Le Client et Qohash ont conclu un Contrat-Cadre de Souscription (le « CCS ») qui peut exiger que Qohash traite les Renseignements personnels fournis par le Client ou collectés en son nom; et le présent Addendum sur le traitement des Renseignements Personnels (L’« Addendum ») définit des conditions, exigences et modalités supplémentaires pour la collecte, le traitement, la divulgation, le transfert ou le stockage des Renseignements Personnels lorsque Qohash fournit des Services dans le cadre du CCS.

1. Définitions et interprétation

1.1 Les définitions et règles d’interprétation suivantes s’appliquent au présent Addendum. Les termes en majuscules utilisés dans le présent Addendum sont définis ci-dessous et s’ajoutent aux termes définis dans la CCS.

« Clauses Contractuelles Types (CCT) » désigne les Clauses Contractuelles Types de la Commission européenne pour le transfert de Renseignements Personnels de l’Union européenne vers des sous-traitants établis dans des pays tiers (module deux), telles qu’elles figurent à l’annexe de la décision (UE) 2021/914 de la Commission, dont une copie complète comprend l’appendice A.

« Exigences en Matière de Protection de la Vie Privée et des Données » signifie toutes les lois et réglementations fédérales, étatiques, provinciales et étrangères applicables relatives au Traitement, à la protection ou à la confidentialité des Renseignements Personnels, y compris, le cas échéant, les orientations et les codes de pratique publiés par les organismes de réglementation dans toute juridiction concernée.

« Objectif Commercial » signifie les Services décrits dans le CCS ou tout autre objectif spécifiquement identifié par écrit par Qohash.

« Personne Concernée » signifie une personne physique qui fait l’objet de Renseignements Personnels.

« Renseignements Personnels » signifie toute information que Qohash recueille, utilise, traite ou conserve pour le Client : (i) se rapportant à une personne physique identifiée ou identifiable, une personne physique identifiable étant une personne qui peut être identifiée, directement ou indirectement ; ou (ii) que les Exigences en Matière de Protection de la Vie Privée et des Données définissent par ailleurs comme des Renseignements Personnels protégés.

« Traitement » signifie toute activité qui implique l’utilisation de Renseignements Personnels ou que les Exigences en Matière de Protection de la Vie Privée et des Données peuvent autrement inclure dans la définition du traitement d’un Renseignement Personnel. Il s’agit notamment de l’obtention, l’enregistrement ou la conservation de données, ou d’effectuer toute opération ou ensemble d’opérations sur les données, y compris, mais sans s’y limiter, les organiser, les modifier, les extraire, les utiliser, les divulguer, les effacer ou les détruire. Le Traitement comprend également le transfert de Renseignements Personnels à des tiers.

« Violation de la Sécurité » signifie tout acte ou omission qui compromet la sécurité, la confidentialité ou l’intégrité des Renseignements Personnels ou des mesures de protection physiques, techniques, administratives ou organisationnelles mises en place pour les protéger. La perte ou l’accès non autorisé, la divulgation ou l’acquisition de Renseignements Personnels constitue une Violation de la Sécurité, que l’incident atteigne ou non le niveau d’une violation de la sécurité en vertu des Exigences en Matière de Protection de la Vie Privée et des Données.

1.2 Le présent Addendum est soumis aux dispositions de CCS et y est intégré. Les interprétations et les termes définis dans le CCS s’appliquent à l’interprétation du présent Addendum.

1.3 Les Annexes font partie intégrante du présent Addendum et auront le même effet que si elles figuraient intégralement dans le corps du présent Addendum. Toute référence au présent Addendum inclut les annexes.

1.4 Une référence à l’écrit inclut les télécopies (fax) et les courriels.

1.5 En cas de conflit ou d’ambiguïté entre :

(a) Toute disposition contenue dans le corps du présent Addendum et toute disposition contenue dans les Annexes, la disposition contenue dans le corps du présent Addendum prévaudra ; 

(b) Les dispositions du présent Addendum et les dispositions de la CCS, les dispositions du présent Addendum prévaudront ; et

(c) En cas de divergence entre les dispositions du présent Addendum et les Clauses Contractuelles Types signées, ce sont les dispositions des Clauses Contractuelles Types signées qui prévalent.

2. Types de Renseignements Personnels et finalités du traitement

2.1 Le Client conserve le contrôle des Renseignements Personnels et reste responsable de ses obligations de conformité aux Exigences en Matière de Protection de la Vie Privée et des Données, de la fourniture de tout avis et de l’obtention de tout consentement requis, ainsi que des instructions de traitement qu’il donne à Qohash. 

2.2 La politique de confidentialité de Qohash (disponible en ligne à l’adresse qohash.com/privacy) décrit les catégories générales de Renseignements Personnels et les Personnes Concernées que Qohash peut Traiter pour atteindre les Objectifs Commerciaux du CCS. Le Client ne divulgue des Renseignements Personnels à Qohash qu’afin d’atteindre les Objectifs Commerciaux limités et spécifiés prévus.

3. Obligations du Qohash

3.1 Qohash ne Traitera les Renseignements Personnels que dans la mesure, et de la manière, nécessaire aux Objectifs Commerciaux conformément aux instructions du Client. Qohash ne Traitera pas les Renseignements Personnels à d’autres fins ou d’une manière qui n’est pas conforme au présent Addendum ou aux Exigences en Matière de Protection de la Vie Privée et des Données. Qohash doit informer le Client dans les plus brefs délais si, à son avis, les instructions du Client ne sont pas conformes aux Exigences en Matière de Protection de la Vie Privée et des Données.

3.2 Qohash doit se conformer rapidement à toute demande ou instruction du Client exigeant que Qohash modifie, transfère ou supprime les Renseignements Personnels, ou qu’il arrête, atténue ou remédie à tout Traitement non autorisé.

3.3 Qohash préservera la confidentialité de tous les Renseignements Personnels et ne divulguera pas de Renseignements Personnels à des tiers, sauf si le Client (y compris par le biais de son consentement à la Politique de confidentialité de Qohash) ou le présent Addendum autorise spécifiquement la divulgation conformément aux Exigences en Matière de Protection de la Vie Privée et des Données, ou si la loi l’exige par ailleurs. Si une loi exige que Qohash Traite ou divulgue des Renseignements Personnels en dehors du consentement donné, Qohash doit d’abord informer le Client de l’exigence légale et lui donner la possibilité de s’y opposer ou de la contester, à moins que la loi n’interdise une telle notification.

3.4 Qohash aidera raisonnablement le Client à respecter ses obligations en matière de respect de la vie privée et de protection des données, compte tenu de la nature du traitement effectué par Qohash et des informations dont dispose Qohash.

3.5 Qohash doit informer rapidement le Client de toute modification des Exigences en Matière de Protection de la Vie Privée et des Données susceptibles d’avoir une incidence négative sur l’exécution par Qohash du CCS. 

3.6 Le Client reconnaît que Qohash n’est pas tenu de vérifier l’exhaustivité, l’exactitude ou la suffisance des instructions spécifiques du Client ou des Renseignements Personnels, sauf dans les cas prévus par les Exigences en Matière de Protection de la Vie Privée et des Données.

3.7 Qohash ne recueillera des Renseignements Personnels pour le Client que conformément à sa Politique de confidentialité que le Client reconnaît avoir lue, comprise et acceptée, qui contient un avis de confidentialité des données informant la Personne Concernée de l’identité de Qohash et de son représentant désigné en matière de protection des données, de la ou des finalités pour lesquelles ses Renseignements Personnels seront Traités et de toute autre information requise par les Exigences en Matière de Protection de la Vie Privée et des Données. Le Client s’engage à examiner toute modification apportée à la Politique de confidentialité et à prendre les mesures qui s’imposent.

3.8 Qohash est responsable de ses obligations de conformité aux Exigences en Matière de Protection de la Vie Privée et des Données.

4. Les employés de Qohash

4.1 Qohash limitera l’accès aux Renseignements Personnels aux tiers suivants :

(a) Les employés qui ont besoin d’accéder aux Renseignements Personnels pour respecter les obligations de Qohash en vertu du présent Addendum et du CCS ; et

(b) La ou les parties des Renseignements Personnels dont ces employés ont strictement besoin pour l’exercice de leurs fonctions.

4.2 Qohash veillera à ce que tous ses employés :

(a) Soient informés de la nature confidentielle des Renseignements Personnels et des restrictions d’utilisation ;

(b) Aient suivi une formation sur les Exigences en Matière de Protection de la Vie Privée et des Données relatives au traitement des Renseignements Personnels et sur la manière dont elles s’appliquent à leurs fonctions particulières ; et

(c) Soient conscients à la fois des devoirs de Qohash et de leurs devoirs et obligations personnels en vertu des exigences en Exigences en Matière de Protection de la Vie Privée et des Données et du présent Addendum.

4.3 Qohash prendra des mesures raisonnables pour garantir la fiabilité, l’intégrité et la confiance de tous les employés de Qohash ayant accès aux Renseignements Personnels.

5. Sécurité

5.1 Qohash doit en tout temps mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les Renseignements Personnels contre tout Traitement, accès, copie, modification, stockage, reproduction, affichage ou distribution non autorisés ou illégaux, ainsi que contre toute perte, destruction ou détérioration accidentelle. Qohash consignera ces mesures par écrit et les réexaminera périodiquement, au moins une fois par an, afin de s’assurer qu’elles restent actuelles et complètes.

5.2 Qohash informera le Client s’il a connaissance d’un progrès technologique ou d’une évolution des méthodes de travail indiquant que les Parties doivent adapter leurs mesures de sécurité.

5.3 Qohash doit prendre des précautions raisonnables pour préserver l’intégrité de tous les Renseignements Personnels qu’il traite et pour prévenir toute corruption ou perte des Renseignements Personnels, y compris, mais sans s’y limiter, en établissant des procédures efficaces de sauvegarde et de restauration des données conformément aux Exigences en Matière de Protection de la Vie Privée et des Données ou à d’autres lois applicables.

6. Faille de sécurité et perte de Renseignements Personnels

6.1 Qohash informera rapidement le Client si des Renseignements Personnels sont perdus ou détruits ou s’ils sont endommagés, corrompus ou inutilisables. Qohash restaurera ces Renseignements Personnels à ses propres frais.

6.2 Qohash informera le Client dans les trente-six heures suivant le moment où il en aura connaissance de :

(a) Tout Traitement non autorisé ou illégal des Renseignements Personnels ; ou

(b) Toute Violation de la Sécurité.

6.3 Immédiatement après tout traitement de Renseignements Personnels non autorisé ou illégal ou toute Violation de la Sécurité, les Parties se coordonneront pour enquêter sur la situation. Qohash coopérera raisonnablement avec le Client dans le cadre de la gestion de cette situation, y compris en venant :

(a) Fournir l’assistance nécessaire à toute enquête ; et

(b) Mettre à disposition tous les enregistrements, journaux, fichiers, rapports de données et autres documents nécessaires pour se conformer à toutes les Exigences en Matière de Protection de la Vie Privée et des Données ou à toute autre exigence raisonnable du Client, à moins que Qohash ne détermine raisonnablement que le partage de ces enregistrements, journaux, fichiers, rapports de données et autres documents peut présenter un risque ou divulguer les informations d’un autre tiers.

6.4 Qohash n’informera aucun tiers d’une Violation de la Sécurité sans avoir obtenu au préalable le consentement écrit du Client, sauf si les Exigences en Matière de Protection de la Vie Privée et des Données, ou d’autres lois ou réglementations, l’exigent. 

6.5 Sous réserve des modalités de la Section 6.4, Qohash convient que le Client a le droit exclusif de déterminer :

(a) La notification ou non de la Violation de la Sécurité à toute Personne Concernée, aux autorités de réglementation, aux organismes chargés de l’application de la loi ou à d’autres personnes, comme l’exigent les Exigences en Matière de Protection de la Vie Privée et des Données ou d’autres lois ou règlements, ou à la discrétion du Client, y compris le contenu et la méthode d’envoi de la notification ; et

(b) L’opportunité d’offrir tout type de recours aux Personnes Concernées, y compris la nature et l’étendue de ce recours.

6.6 Qohash tiendra un registre de toute Violation de la Sécurité conformément aux Exigences en Matière de Protection de la Vie Privée et des Données.

7. Transferts transfrontaliers de Renseignements Personnels

7.1 Si les Exigences en Matière de Protection de la Vie Privée et des Données limitent les transferts transfrontaliers de Renseignements Personnels, le Client ne transférera des Renseignements Personnels à Qohash que dans les conditions suivantes :

(a) Qohash, soit par son emplacement, soit par sa participation à un mécanisme de transfert transfrontalier valide en vertu des Exigences en Matière de Protection de la Vie Privée et des Données, peut légalement recevoir ces Renseignements Personnels; toutefois, Qohash doit immédiatement informer le Client de tout changement de ce statut ; 

(b) Le Client a obtenu le consentement valable de la Personne Concernée pour le transfert en vertu des Exigences en Matière de Protection de la Vie Privée et des Données et des données ; ou 

(c) Le transfert est par ailleurs conforme aux Exigences en Matière de Protection de la Vie Privée et des Données.

7.2 Si un transfert de Renseignements Personnels entre Qohash et le Client nécessite l’exécution de Clauses Contractuelles Types pour se conformer aux Exigences en Matière de Protection de la Vie Privée et des Données, les Parties complèteront tous les détails pertinents dans les Clauses Contractuelles Types et les exécuteront, et prendront toutes les autres mesures nécessaires pour légitimer le transfert, y compris, le cas échéant :

(a) Coopérer à l’enregistrement des Clauses Contractuelles Types auprès de toute autorité de contrôle d’un pays de l’Espace économique européen ; 

(b) Obtenir l’approbation d’une telle autorité de contrôle ; ou 

(c) Fournir des informations supplémentaires sur le transfert à cette autorité de contrôle.

7.3 Qohash ne transfèrera aucun Renseignement Personnel vers un autre pays, à moins que le transfert ne soit conforme aux Exigences en Matière de Protection de la Vie Privée et des Données.

8. Sous-traitants

8.1 Qohash ne peut autoriser un tiers (sous-traitant) à traiter les Renseignements Personnels que si :

(a) Le Client donne son consentement écrit préalable à ce sous-traitement, conformément à la Politique de confidentialité de Qohash ;

(b) Qohash conclut avec le sous-traitant un contrat écrit contenant des conditions substantiellement identiques à celles énoncées dans le présent Addendum ; et

(c) Qohash conserve le contrôle de tous les Renseignements Personnels qu’elle confie au sous-traitant

8.2 Si le sous-traitant ne remplit pas ses obligations en vertu d’un tel contrat écrit, Qohash reste pleinement responsable envers le Client de l’exécution par le sous-traitant de ses obligations contractuelles. 

8.3 Qohash est réputé contrôler tous les Renseignements Personnels qui sont contrôlés par ses sous-traitants ou en leur possession. 

9. Plaintes, demandes de la personne concernée et droits des tiers

9.1 Qohash doit informer le Client immédiatement s’il reçoit une plainte, un avis ou une communication qui concerne directement ou indirectement le traitement des Renseignements Personnels ou le respect par l’une ou l’autre des parties des Exigences en Matière de Protection de la Vie Privée et des Données lorsque le Client est le « contrôleur ».

9.2 Qohash doit informer le Client dans les cinq jours ouvrables s’il reçoit une demande d’accès à ses Renseignements Personnels de la part d’une Personne Concernée ou une demande de correction, de suppression ou de retrait de son consentement à toute utilisation par le Client ou Qohash de ces mêmes renseignements.

9.3 Qohash s’engage à coopérer pleinement avec le Client et à l’aider à répondre à toute plainte, notification, communication ou demande de la Personne Concernée.

9.4 Qohash ne doit pas divulguer les Renseignements Personnels à une Personne Concernée ou à un tiers, sauf si la divulgation a lieu à la demande ou sur instruction du Client, si elle est autorisée par le présent Addendum ou si elle est autrement requise par la loi.

10. Durée et résiliation

10.1 Le présent Addendum restera pleinement en vigueur jusqu’à la date la plus tardive des deux suivantes :

(a) Le CCS reste en vigueur ; ou 

(b) Qohash conserve tous les Renseignements Personnels liés au CCS en sa possession ou sous son contrôle (la « Durée »).

10.2 Toute disposition du présent Addendum qui, expressément ou implicitement, devrait entrer ou rester en vigueur à la fin ou après la fin de CCS pour protéger les Renseignements Personnels restera pleinement en vigueur.

10.3 Le non-respect par Qohash des dispositions du présent Addendum constitue une violation substantielle du CCS. Dans ce cas, le Client peut envoyer une notification préalable informant Qohash de cette violation et si Qohash n’a pas remédié à cette violation dans les trente jours suivant la réception de cette notification préalable, le Client peut résilier le CCS avec effet immédiat moyennant une notification écrite à Qohash, sans autre responsabilité ou obligation. 

10.4 Si une modification de l’une des Exigences en Matière de Protection de la Vie Privée et des Données empêche l’une des Parties de remplir tout ou partie de ses obligations prévues dans le CCS, les Parties suspendront le traitement des Renseignements Personnels jusqu’à ce que ce traitement soit conforme aux nouvelles exigences. Si les Parties ne sont pas en mesure de mettre le traitement des Renseignements Personnels en conformité avec les Exigences en Matière de Protection de la Vie Privée et des Données dans un délai de soixante jours, ils peuvent résilier le CCS avec une notification écrite à l’autre Partie.

11. Retour et destruction des données

11.1 À la demande du Client, Qohash lui fournira une copie ou un accès à tout ou partie des Renseignements Personnels du Client en sa possession ou sous son contrôle, dans le format raisonnablement spécifié par le Client.

11.2 En cas de résiliation du CCS pour quelque raison que ce soit ou d’expiration de sa Durée, Qohash détruira en toute sécurité, anonymisera en accord avec les Exigences en Matière de Protection de la Vie Privée et des Données applicables ou, si le Client le demande par écrit, retournera et ne conservera pas tous les Renseignements Personnels (à l’exception des Renseignements Personnels qui ont été anonymisés et ne sont plus des Renseignements Personnels) liés au présent Addendum en sa possession ou sous son contrôle, à l’exception d’une copie qu’il pourra conserver et utiliser à des fins d’audit uniquement. 

11.3 Si une loi, un règlement ou un organisme gouvernemental ou réglementaire exige de Qohash qu’il conserve des documents ou du matériel qu’il serait autrement tenu de renvoyer ou de détruire, il en informera le Client par écrit, en donnant des détails sur les documents ou le matériel qu’il doit conserver et en établissant un calendrier spécifique pour la destruction une fois que l’exigence de conservation aura pris fin. Qohash ne peut utiliser ces Renseignements Personnels conservés que pour la raison de conservation requise ou à des fins d’audit. 

12. Dossiers

12.1 Qohash tiendra des registres détaillés, précis et à jour concernant tout Traitement de Renseignements Personnels qu’il effectue pour le Client, y compris, mais sans s’y limiter, l’accès, le contrôle et la sécurité des Renseignements Personnels, les sous-traitants et affiliés approuvés, les finalités du traitement et tout autre registre requis par les exigences applicables en matière des Exigences en Matière de Protection de la Vie Privée et des Données (les « Registres »).

13. Audit

13.1 Sur demande écrite du Client, Qohash mettra tous les rapports d’audit pertinents à la disposition du Client pour examen. Le Client traitera ces rapports d’audit comme des informations confidentielles de Qohash en vertu du CCS.

13.2 Qohash traitera rapidement toute question, préoccupation ou exception relevée dans les rapports d’audit par l’élaboration et la mise en œuvre d’un plan d’action correctif par la direction de Qohash.

14. Déclarations et garanties

14.1 Qohash déclare et garantit que

(a) Qohash et ses employés, sous-traitants, agents et toute autre personne accédant aux Renseignements Personnels en son nom sont fiables et dignes de confiance et ont reçu la formation requise sur les Exigences en Matière de Protection de la Vie Privée et des Données ; 

(b) Qohash et toute personne agissant en son nom traiteront les Renseignements Personnels conformément aux conditions du présent Addendum et à toutes les Exigences en Matière de Protection de la Vie Privée et des Données, ainsi qu’à toute autre loi, tout texte législatif, toute réglementation, tout code, toute ordonnance, toute norme et tout autre instrument similaire applicable ; 

(c) Qohash n’a aucune raison de croire que des Exigences en Matière de Protection de la Vie Privée et des Données l’empêchent de fournir l’un des Services du CCS ou les Services prévus par les présentes ; et

(d) Compte tenu de l’environnement technologique actuel et des coûts de mise en œuvre, Qohash prendra les mesures techniques et organisationnelles appropriées pour empêcher le Traitement non autorisé ou illégal des Renseignements Personnels ainsi que la perte ou la destruction accidentelle de ceux-ci ou les dommages qui leur sont causés, et pour garantir un niveau de sécurité adapté:

(i) Le préjudice qui pourrait résulter d’un tel Traitement non autorisé ou illégal ou d’une perte, d’une destruction ou d’un dommage accidentel ;

(ii) La nature des Renseignements Personnels protégés ; et

(iii) Se conformer à toutes les Exigences en Matière de Protection de la Vie Privée et des Données, ainsi qu’à ses politiques d’information et de sécurité, y compris les mesures de sécurité requises en vertu de la Section 5.1.

14.2 Le Client déclare et garantit que l’utilisation prévue par Qohash des Renseignements Personnels dans le cadre des Objectifs Commerciaux et selon les instructions spécifiques du Client en vertu du présent Addendum sera conforme à toutes les Exigences en Matière de Protection de la Vie Privée et des Données.