CÉDULE A

Version: 1.0

Date: 2024-09-06     

 

 

Cette Cédule A au Contrat-cadre de Services (MSA) entre le Client et S&E. Cette Cédule A décrit les conditions selon lesquels le Traitement des Renseignements Client, y compris les Renseignements personnels, sera géré. Il contient également les exigences de S&E en matière de sécurité de l’information.

1. 1. DÉFINITIONS

1.1. Aux fins de cette Cédule A, les termes non autrement définis ici auront le sens qui leur est attribué dans le Contrat.

1.1.1. « Brèche de sécurité » signifie tout (a) Incident de confidentialité ; (b) brèche de la sécurité affectant la confidentialité, l’intégrité ou la disponibilité des Renseignements du Client ou des Systèmes du Client ; (c) violation de la sécurité affectant la confidentialité, l’intégrité ou la disponibilité des Systèmes de S&E, dans chaque cas, lorsqu’elle est causée par l’une des Parties par S&E, ou ses Représentants dans la prestation des Services, ou en relation avec ce Contrat.

1.1.2.  « Demande d’un individu concerné » désigne l’exercice par un individu concerné de ses droits accordés en vertu des Lois sur la protection de la vie privée concernant ses Renseignements personnels.

1.1.3.  « Incident de confidentialité » signifie (a) l’accès non autorisé par la loi aux Renseignements personnels; (b) l’utilisation non autorisée par la loi des Renseignements personnels; (c) la communication non autorisée par la loi des Renseignements personnels; (d) la perte de Renseignements personnels ou toute violation de la protection de ces informations, y compris, une Violation de la vie privée ou une violation des Renseignements personnels en vertu des Lois sur la protection de la vie privée, ou un Incident de confidentialité en vertu de la LPRP.

1.1.4.  « Lois sur la protection de la vie privée » désigne les lois applicables actuellement en vigueur relatives au Traitement des Renseignements personnels, y compris la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques, la Loi sur la Protection des Renseignements Personnels dans le Secteur Privé du Québec (la « LPRP »), et toutes autres lois applicables de temps à autre.

1.1.5.  « Systèmes de S&E » désigne tout système IT, applications, réseaux, plateformes, et infrastructures, y compris, mais sans s’y limiter, le matériel, les logiciels, les bases de données, les systèmes électroniques et les réseaux détenus, contrôlés ou gérés par S&E, et qui Traitent les Renseignements du Client. Les Systèmes de S&E excluent spécifiquement de cette définition tous les Systèmes du Client, y compris, mais sans s’y limiter, la Console d’administration Google du Client.

1.1.6.  « Systèmes du Client » désigne tout système de technologie de l’information (« IT »), applications, réseaux, plateformes et infrastructures, y compris, mais sans s’y limiter, le matériel, les logiciels, les bases de données, les systèmes électroniques et les réseaux détenus, contrôlés ou gérés par le Client. Cela inclut, sans s’y limiter, la Console d’administration Google, qui est le centre de contrôle pour la gestion des services Google Workspace pour le Client, ou les applications auxquelles le Client donne accès à S&E en lien avec les Services.

1.1.7.  « Traitement » ou « Traiter » désigne la collecte, l’utilisation, la divulgation, la communication et autrement, le traitement, des Renseignements du Client, ou des Renseignements personnels, selon le cas.

1.1.8.  « Violation de la vie privée » signifie toute violation ou tentative de violation par toute personne de toute obligation concernant la confidentialité des Renseignements personnels communiquées, comme prévu à l’article 18.3 de la LPRP.

1. 1. INSTRUCTIONS DE TRAITEMENT

2.1. Instructions de Traitement. S&E ne traitera les Renseignements du Client que comme le permet le Contrat et conformément aux instructions fournies par le Client, y compris l’exécution des Services. S&E n’extraira pas les Renseignements du Client des Systèmes du Client, sauf si cela est explicitement convenu dans le cadre du Contrat ou nécessaire pour se conformer aux instructions du Client. Si S&E prend connaissance que ces instructions contreviennent aux Lois sur la protection de la vie privée, S&E informera rapidement le Client. S&E se réserve le droit de refuser le traitement des Renseignements du Client si elle estime que ces instructions violent les Lois sur la protection de la vie privée.

2.2. Lois applicables. Si S&E est tenu de Traiter les Renseignements personnels pour se conformer aux lois applicables, ou à leur administration, S&E informera le Client de ces obligations avant de Traiter les Renseignements personnels, sauf si cela est interdit par les lois applicables.

2.3. Droits de PI. Entre les Parties, le Client détient tous les droits, titres et intérêts sur les Renseignements du Client. S&E n’utilisera pas les Renseignements du Client à des fins secondaires, y compris toute utilisation des Renseignements personnels à des fins de marketing sans l’autorisation écrite préalable du Client.

2.4. Droits des individus concernés. Chaque Partie s’engage à collaborer avec l’autre Partie pour répondre aux Droits des individus concernés conformément aux Lois sur la protection de la vie privée. Dans la mesure où S&E reçoit une Demande d’un individu concerné, S&E transférera cette demande au Client pour qu’il y réponde et fournira toute l’assistance raisonnable pour que le Client puisse y répondre. Cette assistance n’inclut pas de répondre au nom du Client, y compris en localisant ou en numérisant les Systèmes du Client pour répondre aux Droits des individus concernés, sauf accord spécifique dans un Énoncé des travaux.

2.5. Suppression sécurisée. S&E Cloud Experts, à la discrétion du Client, supprimera de manière sécurisée ou retournera de manière sécurisée tous les Renseignements du Client traités pour le compte du Client à la fin du Contrat, ou avant, si le Client en fait la demande. Nonobstant ce qui précède, S&E peut conserver les Renseignements du Client plus longtemps strictement comme requis par les lois applicables, ou pour une période limitée afin d’assurer la continuité des affaires, sous forme de sauvegardes cryptées. « Suppression sécurisée » et « Supprimer de manière sécurisée » signifie que les données supprimées ne peuvent pas être récupérées sous une forme qui identifie le Client ou tout individu concerné.

2.6. Lieu de Traitement des données. Par défaut, S&E traite les Renseignements du Client au Québec, Canada, sauf indication contraire dans un Énoncé des travaux. Nonobstant ce qui précède, (a) le Client reconnaît et accepte qu’il puisse être nécessaire pour S&E, dans le cadre des Services, de partager les Renseignements du Client avec Google, dont le siège est aux États-Unis, et (b) le Client détermine et est responsable du lieu d’hébergement des Systèmes du Client, et des Transferts inhérents aux instructions du Client. S&E n’assume aucune responsabilité pour l’établissement de ce lieu ou pour les obligations de conformité liée au Transfert de Renseignements personnels au sein des Systèmes du Client, ou à la demande ou aux instructions du Client. Sur demande, S&E s’engage à fournir au Client une liste de tous les lieux où le Traitement des Renseignements du Client a lieu sous le contrôle de S&E ou des Systèmes de S&E.

2.7. Fournisseurs de services. S&E s’assurera que chaque fournisseur de services (a) est soumis à un contrat approprié contenant des conditions conformes aux Lois sur la protection de la vie privée; (b) n’utilise pas les Renseignements du Client à des fins secondaires et se conforme aux restrictions du présent Contrat ; (c) fait l’objet d’un processus de diligence raisonnable approprié pour s’assurer que ce fournisseur de services se conforme aux Lois sur la protection de la vie privée. Sur demande, S&E mettra à disposition du Client une liste des fournisseurs de services ayant accès aux Renseignements du Client, leurs emplacements et leurs finalités.

2.8. Changements. Avant d’apporter un changement matériel au lieu du Traitement ou au fournisseur de services impliqué dans le Traitement, y compris en ajoutant un fournisseur de services, S&E fournira un préavis écrit de 15 jours au Client. Si le Client ne s’oppose pas pendant cette période, S&E procédera au changement suggéré, sous réserve des conditions énoncées dans le présent document, y compris les paragraphes 2.6 et 2.7. Si le Client s’oppose au changement par écrit en fournissant des motifs raisonnables, les Parties négocieront de bonne foi un résultat commercial communément acceptable. Si les Parties ne peuvent pas trouver de solution dans les 30 jours, l’une ou l’autre Partie peut résilier les Énoncés de Travail affectés avec un préavis écrit de 15 jours, et, le cas échéant, les Frais payés d’avance pour les Services non rendus seront remboursés.

2.9. Transferts de Renseignements personnels. Si S&E transfère des Renseignements personnels en dehors du Québec, Canada, y compris à un fournisseur de services (chacun un « Transfert »), S&E doit (a) informer le Client de ces Transferts au moins 30 jours avant qu’ils ne prennent effet ; (b) conclure un Contrat avec ces destinataires, qui doit être conforme aux Lois sur la protection de la vie privée, le cas échéant ; (c) effectuer une diligence raisonnable sur tout destinataire ; et (d) effectuer une évaluation des facteurs relatifs à la vie privée ou toute autre évaluation des risques que S&E est tenu de réaliser en vertu des LPRP.

1. 1. MESURES DE SÉCURITÉ

3.1. Responsabilités de S&E. S&E mettra en œuvre des mesures techniques et organisationnelles appropriées pour prévenir, protéger et répondre aux Brèches de sécurité affectant les Renseignements du Client dans les Systèmes de S&E, ou lorsque les Renseignements du Client sont sous son contrôle. Ces mesures seront basées sur les risques pour les Renseignements du Client et comprendront au minimum les mesures suivantes :

3.1.1. Confidentialité. S&E s’assurera que son personnel impliqué dans la fourniture des Services est informé de la nature confidentielle des Renseignements du Client, a reçu une formation appropriée sur leurs responsabilités et est soumis à des obligations de confidentialité.

3.1.2. Vérifications criminelles. S&E effectuera des vérifications des antécédents criminels sur tout le personnel affecté à l’exécution des Services avant leur engagement, dans la mesure permise par la loi applicable. Les vérifications des antécédents incluront la recherche d’antécédents criminels qui pourraient raisonnablement compromettre l’intégrité ou la sécurité des Renseignements du Client ou des Systèmes du Client. Ces individus ne seront pas autorisés à fournir des Services au Client.

3.1.3. Contrôle d’accès. S&E s’engage à attribuer les accès aux Systèmes de S&E sur la base des accès nécessaires pour les rôles attribués aux individus, et selon leurs responsabilités.

3.1.4. S&E vérifie périodiquement que les accès sont appropriés et mis à jour pour s’assurer que les individus ne conservent pas de droits d’accès une fois qu’ils ne sont plus nécessaires pour leur rôle.

3.1.5. Authentification multifacteurs et protocoles d’authentification. Pour assurer la sécurité et l’intégrité des Renseignements du Client, S&E s’engage à utiliser des protocoles d’authentification robustes. Cela inclura l’utilisation de système d’authentification à multifacteurs comme pratique standard pour accéder à toute partie des Systèmes du S&E qui détiennent ou traitent les Renseignements du Client.

3.1.6. Chiffrement. S&E s’engage à utiliser des technologies de chiffrement conformes aux normes de l’industrie pendant la transmission et le stockage de ces données.

3.1.7. Gestion des vulnérabilités de sécurité et correctifs. S&E s’engage à développer, adopter et maintenir un programme de gestion des vulnérabilités de sécurité pour des Systèmes S&E. Cela inclut des analyses régulières des vulnérabilités, des évaluations des risques et l’application rapide des correctifs et mises à jour dès qu’ils sont disponibles.

3.1.8. Continuité des affaires. S&E développe, implémente et tient à jour un plan de continuité des affaires conçu pour assurer la disponibilité et la récupération rapide des Renseignements du Client sous la possession ou le contrôle de S&E en cas de perturbations, telles que des catastrophes naturelles, des pannes matérielles ou des violations importantes des Systèmes de S&E. Ce plan inclura des mesures de reprise après un sinistre et des tests réguliers pour en assurer l’efficacité.

3.2. Responsabilités du Client. Le Client est responsable de la gestion, de la maintenance et de l’accès à ses Systèmes du Client, comme détaillé ci-dessous.

3.2.1. Système du Client. La sécurité, y compris, la confidentialité, la disponibilité, l’intégrité, la résilience, la robustesse et la conformité des Systèmes du Client, tels que les contrôles d’accès, les protocoles d’authentification et les pratiques de surveillance, relèvent de la seule responsabilité du Client. S&E n’assume aucune responsabilité pour ce qui précède, y compris les dommages résultant d’une Brèche de sécurité. Cette responsabilité inclut de s’assurer que tous les droits d’accès sont correctement attribués et régulièrement examinés, que tous les protocoles d’authentification sont robustes et sécurisés, et que les Systèmes du Client sont correctement surveillés pour détecter d’éventuelles menaces de sécurité.

3.2.2. Conservation des données. Le Client est seul responsable de déterminer et d’appliquer les périodes de conservation appropriées pour les Renseignements du Client dans les Systèmes du Client. Cela inclut de configurer les paramètres des Systèmes du Client pour s’assurer que les Renseignements personnels sont conservés et supprimés conformément aux LPRP. Sauf accord explicite dans un Énoncé des travaux, S&E n’assumera aucune responsabilité pour la configuration des paramètres de conservation ou la suppression des données des Systèmes du Client.

3.2.3. Instructions. Le Client est seul responsable de s’assurer que ses instructions pour le Traitement des Renseignements du Client sont conformes aux LPRP. Cette responsabilité inclut d’informer correctement les individus concernés sur le Traitement de leurs données et d’obtenir leur consentement lorsque nécessaire pour la fourniture des Services. S&E n’a aucune responsabilité pour obtenir ce consentement. Le Client doit s’assurer que toutes les autorisations et consentements nécessaires ont été obtenus avant d’instruire S&E de Traiter des Renseignements du Client.

3.2.4. Continuité des affaires. Le Client est seul responsable d’assurer la continuité des affaires au sein des Systèmes du Client, sauf accord contraire dans un Énoncé des travaux. Cela inclut d’avoir des plans appropriés de sauvegarde, de reprise après sinistre et de contingence en place pour maintenir les opérations continues et protéger les Renseignements du Client en cas de perturbations, de pannes ou de défaillances.

1. 1. RÉPONSE AUX BRÈCHES DE SÉCURITÉ

4.1.  Détection. S&E met en œuvre des mesures organisationnelles techniques raisonnables pour détecter les Brèches de sécurité réelles et potentielles, notamment par le biais de la surveillance des journaux. Ces mesures de détection comprennent des mesures telles qu’un système de gestion des Informations et des événements de sécurité,), un système de détection des intrusions, et d’autres contrôles jugés commercialement raisonnables. Ces outils de détection seront configurés pour surveiller les signatures et le comportement du réseau pour détecter des signes d’attaque ou de compromission, générer des mises à jour régulières automatisées des signatures de détection en fonction des menaces changeantes, et capturer les en-têtes de paquets de trafic. S&E déploiera des Systèmes de Prévention des Pertes de Données (« DLP ») commercialement raisonnables, si nécessaire, pour prévenir la divulgation non autorisée des Renseignements du Client à partir des Systèmes de S&E.

4.2. Préparation. S&E mettra en œuvre et maintiendra un Plan de Réponse aux Incidents (« PRI ») qui couvre la préparation, la détection, l’analyse, le confinement, l’éradication, la récupération et les activités post-incidents en relation avec une Brèche de sécurité, le tout substantiellement conformément au Guide de gestion des incidents informatiques du NIST, tel que modifié de temps à autre.

4.3. Notification. En cas de Brèche de sécurité, chaque Partie informera l’autre Partie sans retard injustifié, et au plus tard 48 heures après avoir pris connaissance de la Brèche de sécurité. Cette notification inclura les préjudices potentiels pour les individus concernés, les catégories et le nombre approximatif d’individus concernés affectés, une description des conséquences probables de la Brèche de sécurité, et une description des mesures prises ou proposées par la Partie affectée pour Traiter la Brèche de sécurité, y compris les mesures pour atténuer ses effets possibles. Si ces informations ne sont pas disponibles lors de la divulgation initiale, la Partie affectée fera un suivi rapidement à mesure que ces informations deviennent disponibles.

4.4. Collaboration. Les Parties collaboreront, y compris en assistant à toute enquête raisonnable, notamment conformément à l’article 18.3 de la LPRP, en permettant à la personne responsable de la protection des Renseignements personnels de procéder à toute vérification relative aux exigences de confidentialité, et en mettant à disposition des enregistrements et journaux raisonnables, sous réserve des obligations de confidentialité avec des tiers et du secret professionnel de l’avocat.

4.5. Enquête. La Partie affectée identifiera les vulnérabilités à l’origine de la Brèche de sécurité et fournira à l’autre Partie un plan de remédiation raisonnable pour Traiter ces vulnérabilités sans retard injustifié.

4.6. Signalement des Violations de la vie privée. En cas de Violation de la vie privée ne constituant pas une Brèche de sécurité, S&E signalera cette violation au Client sans retard injustifié, en utilisant les informations de contact fournies dans le Contrat-cadre de Services ou l’Énoncé des travaux. La notification aura lieu promptement après la découverte de la violation par S&E et inclura des détails sur la nature de la violation, les risques de préjudice pour les individus concernés, la catégorie de ces individus et les mesures correctives prises ou proposées pour rectifier la situation. Ce processus n’active pas le PRI sauf si S&E le juge nécessaire.

1. 1. COLLABORATION

5.1. EFVP. Si le Client doit effectuer une évaluation des facteurs relatifs à la vie privée conformément aux Lois sur la protection de la vie privée, S&E fournira une collaboration raisonnable, telle que la fourniture d’informations raisonnablement demandées disponibles en temps opportun. Toute collaboration supplémentaire sera aux frais du Client, comme convenu dans un Énoncé des travaux (SOW).

5.2. Droit d’audit. Si le Client doit effectuer des exercices de diligence raisonnable, un audit interne ou une vérification (« Vérification de conformité ») de la conformité de S&E à cette Cédule A, S&E collaborera de bonne foi, par exemple en fournissant des informations raisonnablement demandées disponibles à temps. La Vérification de conformité aura lieu au maximum une fois par an, pendant les Heures d’opération, en ligne et par le biais de l’examen des informations mises à disposition. La Vérification de conformité doit être effectuée par des personnes soumises à un contrat de confidentialité approprié ou à une obligation légale similaire. Si le Client détecte une non-conformité à l’égard de la Cédule A, ou des Lois sur la protection de la vie privée, S&E s’engage à adopter un plan de remédiation raisonnable et à tenir le Client informé des actions prises afin de remédier à la non-conformité.

5.3. Interprétation. Rien dans ce Contrat ne doit être interprété comme exonérant l’une ou l’autre Partie de ses responsabilités à l’égard des Lois sur la protection de la vie privée, incluant pour ses propres Systèmes.

5.4. Amendements. S&E se réserve le droit de proposer des amendements à cette Cédule A si nécessaire pour garantir la conformité aux Lois sur la protection de la vie privée. En cas de tels amendements proposés, S&E fournit au Client un préavis écrit raisonnable. Si le Client ne s’oppose pas raisonnablement à ces amendements dans le délai de préavis, les amendements seront réputés accepter et prendront effet comme nécessaire pour maintenir la conformité aux Lois sur la protection de la vie privée.

Historique des révisions

 

Version	Date	Author	Notes
1.0	2024-09-06	Privacy Officer	Creation du cédule