Annexe Sur Le Traitement Des Donnés
Dernière mise à jour : 9 avril 2024
La présente Annexe sur le traitement des données (« ATD ») est intégrée par renvoi dans l’Accord cadre de services (l’« Accord ») ou dans tout autre accord prévoyant la prestation de produits ou services par Unleashd Technologies Ltd. (« Unleashd ») au Client. La présente ATD entre en vigueur à la date d’entrée en vigueur de l’Accord.

Les termes définis qui ne sont pas définis autrement aux présentes ont le sens qui leur est donné dans l’Accord, et tous les principes d’interprétation seront ceux qui sont énoncés dans l’Accord.

L’ATD complète l’Accord et énonce les modalités qui s’appliquent lorsque des Données à caractère personnel (définies ci-dessous) font l’objet d’un Traitement (défini ci-dessous) par Unleashd aux termes de l’Accord. L’objectif de l’ATD est de faire en sorte que ce Traitement soit effectué conformément au droit en vigueur, y compris à la Législation sur la protection des données de l’UE (définie ci-dessous), et dans le respect des droits et libertés des personnes physiques dont les Données à caractère personnel font l’objet d’un Traitement.
MODALITÉS APPLICABLES AU TRAITEMENT DE DONNÉES
Dans le cadre de la prestation des Produits et services au Client aux termes de l’Accord, Unleashd peut traiter des Données à caractère personnel pour le compte du Client. Unleashd se conformera aux dispositions de la présente ATD en ce qui concerne toute Donnée à caractère personnel qu’elle traite.

Les termes en majuscules utilisés qui ne sont pas définis dans la présente ATD ont le même sens que celui qui leur est donné dans l’Accord.
1. Définitions
1.1
Aux fins de la présente Annexe sur le traitement des données :
a)
« Société(s) affiliée(s) » a le même sens que celui qui lui est donné dans l’Accord et, si ce terme n’est pas défini dans l’Accord, il désigne toute autre entité qui, directement ou indirectement par l’entremise d’un ou de plusieurs intermédiaires, contrôle cette Partie, est contrôlée par cette Partie, ou est sous contrôle commun avec cette Partie.
b)
« Responsable du traitement » désigne l’entité qui, seule ou conjointement avec d’autres, détermine les fins du Traitement de Données à caractère personnel et les moyens utilisés.
c)
« Client » désigne la partie à la fois à l’Accord et à la présente Annexe sur le traitement des données, autre qu’Unleashd, ayant accès aux Produits et services.
d)
« Données du Client » désigne toute information détenue ou utilisée par le Client ou fournie à Unleashd par le Client dans le cadre de l’utilisation des Produits et Services, y compris toute information dérivée de cette information.
e)
« Personne concernée » désigne la personne à laquelle les Données à caractère personnel se rapportent.
f)
« Législation sur la protection des données » désigne toute loi et tout règlement fédéral(e), provincial(e) ou étranger(ère) relatif(ve) à la confidentialité et au traitement de Données à caractère personnel, y compris, là où cela est applicable, les conseils et codes de pratique délivrés par les organismes de réglementation dans toute juridiction concernée.
g)
« Données à caractère personnel » désigne toute Donnée client relative à une personne physique identifiée ou identifiable; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment au moyen d’un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs propres à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Document Name
Data Processing Addendum
Hyperlink
https://www.unleashd.ca/dpa
Document Name
Privacy Policy
Hyperlink
https://www.unleashd.ca/privacy
h)
« Sous-traitant » désigne une entité qui traite des Données à caractère personnel pour le compte du Responsable du traitement.
i)
« Traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des Données à caractère personnel, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
j)
« Produits et Services » désigne, de façon non limitative, les Produits et Services suivants d’Unleashd, et comprend tous les Produits et Services de même nature qui peuvent être ajoutés à l’occasion par Unleashd :
k)
« Autorité de contrôle » désigne le Commissariat à la protection de la vie privée du Canada, et tout autre organisme aux fonctions équivalentes en matière de législation sur la protection des données dans d’autres juridictions.
2. Applicabilité de l’Annexe sur le traitement des données
2.1
Applicabilité. La présente ATD s’applique à tous les Clients dans la mesure où Unleashd effectue le Traitement de Données à caractère personnel de Personnes concernées pour le compte d’un Client ou d’une Société affiliée d’un Client.
3. Détails du Traitement
3.1
Types de Données à caractère personnel faisant l’objet du Traitement. Les catégories de Données à caractère personnel sont déterminées par le Client, à son entière discrétion, et peuvent inclure notamment : le prénom et le nom de famille; les coordonnées (c.-à-d. l’adresse de courriel, le numéro de téléphone, l’adresse physique); et des informations associées aux véhicules, y compris des informations sur les ventes, l’entretien et le financement.
3.2
Catégories particulières de Données à caractère personnel. La prestation des Produits et Services ne nécessite pas la collecte ou le Traitement de catégories particulières de Données à caractère personnel. Si le Client choisit d’inclure ce type de données, il le fait à son entière discrétion et ces données peuvent inclure, notamment, des informations qui révèlent la race ou l’origine ethnique, les convictions politiques ou les croyances religieuses ou philosophiques, l’appartenance syndicale ou des données de santé.
3.3
Catégories de Personnes concernées. Les Catégories de Personnes concernées dont les Données à caractère personnel peuvent faire l’objet d’un Traitement en lien avec les Produits et Services sont déterminées et contrôlées par le Client, à son entière discrétion, et peuvent inclure, notamment, les clients et clients potentiels du Client; les employés et entrepreneurs des clients potentiels et des clients du Client, et; les employés et entrepreneurs du Client.
3.4
Nature des opérations de Traitement. Unleashd procèdera au Traitement des Données à caractère personnel selon ce qui est requis pour fournir les Produits et Services aux termes de l’Accord. Les opérations de Traitement exécutées sur les Données à caractère personnel dépendront de la portée des Produits et Services du Client et de la Configuration du client pour son instance d’Unleashd. Ces opérations de Traitement de Données à caractère personnel, selon ce qui est requis pour permettre à Unleashd de fournir les Produits et Services, peuvent inclure ce qui suit : la collecte, l’enregistrement, l’organisation, la conservation, l’utilisation, la modification, la communication, la transmission, l’interconnexion, l’extraction, la consultation, l’archivage et/ou la destruction.
4. Rôles et responsabilités
4.1
Rôles des Parties. Le client, à titre de Responsable du traitement, nomme Unleashd à titre de Sous-traitant pour traiter les Données à caractère personnel pour le compte du Client. Le Client peut, dans certains cas, être un Sous-traitant, auquel cas le Client nomme Unleashd à titre de Sous-traitant ultérieur du Client, ce qui ne modifie pas les obligations soit du Client ou d’Unleashd en vertu de la présente ATD, de sorte qu’Unleashd demeurera un Sous-traitant à l’égard du Client dans un tel cas.
4.2
Fins limitées. Unleashd effectuera le Traitement de Données à caractère personnel aux fins énoncées dans l’Accord et uniquement conformément aux instructions licites et documentées du Client, sauf si le droit en vigueur exige qu’il en soit autrement. L’Accord et l’ATD énoncent les instructions complètes du Client à Unleashd à l’égard du Traitement de Données à caractère personnel, et tout traitement requis qui dépasse la portée de ces instructions (incluant les droits et obligations énoncés aux termes de l’Accord) exigera une entente préalable écrite entre les parties.
4.3
Formation. Unleashd fera en sorte que tous ses employés, mandataires et entrepreneurs concernés reçoivent une formation appropriée en ce qui concerne leurs responsabilités et obligations à l’égard du Traitement, de la protection et de la confidentialité des Données à caractère personnel.
4.4
Conformité. Unleashd, à titre de Sous-traitant, s’est conformée et continuera de se conformer à toutes les lois sur la protection des renseignements personnels et sur la protection des données applicables, y compris, notamment, à la Législation sur la protection des données. En ce qui concerne les Données du client et les Produits et Services, le Client, à titre de Responsable du traitement, a l’obligation de s’assurer :
a)
qu’il s’est conformé, et qu’il continuera de se conformer, à toutes les lois sur la protection des renseignements personnels et sur la protection des données applicables, y compris, notamment, à la Législation sur la protection des données; et
b)
qu’il a, et qu’il continuera d’avoir, le droit de transférer les Données à caractère personnel à Unleashd, ou de fournir à Unleashd l’accès à celles-ci, aux fins de Traitement conformément aux modalités de l’Accord et de la présente ATD.
5. Sécurité
5.1
Sécurité. Unleashd met en œuvre des mesures techniques et organisationnelles en tenant compte des règles de l’art, des coûts de la mise en œuvre, et de la nature, de la portée, du contexte et des fins visées par le traitement, ainsi que des risques d’une atteinte aux droits et libertés des Personnes concernées et de la gravité d’une telle atteinte. Ces mesures sont énumérées à l’Annexe 1 de la présente ATD et sont conçues pour assurer un niveau de sécurité approprié, en tenant compte du risque, afin de protéger les Données à caractère personnel contre une destruction accidentelle ou illicite; une perte; une modification; une divulgation, un accès ou une utilisation non autorisé(e), (chacun(e) étant un « Incident de sécurité »), conformément aux normes de sécurité d’Unleashd, telles qu’énoncées dans l’Accord. Nonobstant toute disposition contraire, nous pouvons mettre à jour les mesures de sécurité à notre discrétion dans la mesure où ladite mise à jour ne donne pas lieu à une dégradation matérielle de la protection offerte par les mesures de sécurité.
5.2
Confidentialité du Traitement. Unleashd fera en sorte que toute personne qu’elle autorise à effectuer le Traitement de Données à caractère personnel (y compris son personnel, ses mandataires, ses sous-traitants et ses Sous-traitants ultérieurs) soit soumise à un devoir de confidentialité adéquat (soit en vertu d’un contrat ou de la loi), lequel continuera de s’appliquer après la fin de son emploi et/ou de sa relation contractuelle.
5.3
Incidents de sécurité. Dès qu’un Incident de sécurité qui pourrait toucher nos clients est porté à sa connaissance, Unleashd en informera le Client dans les meilleurs délais et conformément aux modalités de l’Accord, et fournira en temps opportun l’information que le Client peut raisonnablement exiger pour permettre au Client de respecter son obligation de signaler toute violation de données en vertu de la Législation sur la protection des données. Unleashd prendra des mesures pour identifier immédiatement la cause d’un tel Incident de sécurité et pour la résoudre.
6. Sous-traitants ultérieurs
6.1
Sous-traitants ultérieurs. Le Client accepte qu’Unleashd puisse engager une Société affiliée d’Unleashd et des tiers sous-traitants (collectivement, les « Sous-traitants ultérieurs ») pour effectuer le Traitement de Données à caractère personnel pour le compte d’Unleashd. Les Sous-traitants ultérieurs présentement engagés par Unleashd et autorisés par le Client sont énumérés dans l’Annexe 2 de la présente ATD. Unleashd imposera à ces Sous-traitants ultérieurs des modalités sur la protection des données protégeant les Données à caractère personnel qui correspondent à celles énoncées dans la présente ATD et demeurera responsable pour toute violation de l’ATD causée par un Sous-traitant ultérieur. Unleashd publiera sur son site Web tout changement de Sous-traitant ultérieur de temps à autre.
7. Coopération
7.1
Droits des Personnes concernées. Unleashd fournira une assistance raisonnable sur le plan commercial, y compris par le biais de mesures techniques et organisationnelles appropriées, dès que raisonnablement possible, pour permettre au Client de répondre à toute demande de renseignements, communication ou demande d’une Personne concernée cherchant à exercer ses droits en vertu de la Législation sur la protection des données applicable, y compris, selon le cas, son droit d’avoir accès aux données, de les faire rectifier, de les soumettre à des restrictions, de s’objecter, de les effacer ou de les transférer. Si une telle demande de renseignements ou une telle communication ou demande est faite directement à Unleashd, Unleashd en informera le Client dans les plus brefs délais et fournira tous les détails concernant la demande. Pour éliminer tout doute, il incombe au Client de répondre aux demandes de Personnes concernées ayant pour objet l’accès, une rectification, un verrouillage, une objection, l’effacement ou la portabilité de données impliquant les Données à caractère personnel de la Personne concernée.
7.2
Autorités de contrôle. Unleashd informera le Client dans les meilleurs délais si une Autorité de contrôle ou une autorité chargée de l’application de la loi demande des renseignements ou la divulgation de Données à caractère personnel, lorsque cela ne lui est pas interdit par la loi.
7.3
Évaluations des retombées et consultations préalables en matière de protection des données. Dans la mesure requise par la Législation sur la protection des données, Unleashd fournira au Client une assistance raisonnable à des fins d’évaluations des retombées et/ou de consultation préalable liées à la protection des données auprès des Autorités de contrôle que le Client est tenu d’effectuer en vertu de la Législation sur la protection des données. 
8. Rapports et audits de sécurité
8.1
Toute disposition concernant une attestation de sécurité ou un rapport d’audit (tel que SOC 2, Type II ou l’équivalent) aura lieu conformément aux droits du Client en vertu de l’Accord. Si l’Accord ne comprend pas une clause ayant pour objet les attestations de sécurité ou les rapports d’audit, Unleashd fournira, à la demande du Client et sous réserve des clauses de confidentialité dans l’Accord, un exemplaire de son rapport de sécurité le plus récent. Unleashd permettra au Client (ou à un auditeur indépendant tiers du Client) d’effectuer, sur place, un audit des procédures pertinentes aux fins de la protection des Données à caractère personnel du Client, sous réserve de toute clause de confidentialité contenue dans l’Accord. Le Client et Unleashd discuteront et conviendront au préalable d’une date de début, de la portée et de la durée raisonnables de l’audit et des contrôles applicables à la sécurité et à la confidentialité pour l’audit; et Unleashd se réserve le droit d’imposer des frais (selon les coûts raisonnablement encourus par Unleashd) pour cet audit. Unleashd fournira au Client, avant cet audit, plus de détails sur les frais applicables et la façon dont ils sont calculés.
9. Suppression et retour des Données client
9.1
Suppression ou retour des données. À la fin de l’Accord, Unleashd conservera les Données à caractère personnel durant une période de trente (30) jours. Après cette période, ou avant la fin de cette période, à la demande du Client et conformément aux modalités de l’Accord, Unleashd supprimera, ou mettra à la disposition du Client pour qu’il puisse les récupérer, toutes les Données à caractère personnel pertinentes (y compris toute copie) en possession d’Unleashd, sauf dans la mesure où Unleashd est tenue en vertu du droit en vigueur de conserver une partie ou l’ensemble des Données à caractère personnel. Dans un tel cas, Unleashd étendra les protections de l’Accord et de la présente ATD à ces Données à caractère personnel, et limitera tout Traitement supplémentaire de ces Données à caractère personnel aux seules fins exigées par leur conservation, aussi longtemps qu’Unleashd conserve les Données à caractère personnel.
10. Dispositions diverses
10.1
Sauf s’il est modifié par la présente ATD, l’Accord demeurera pleinement en vigueur.
10.2
En cas de contradiction entre l’Accord et la présente ATD, les modalités de l’ATD auront préséance à l’égard des questions énoncées aux présentes.
10.3
Tout recours intenté en vertu de la présente ATD est assujetti aux modalités, y compris, notamment, aux exclusions et limitations énoncées dans l’Accord.
10.4
Les limitations de responsabilité énoncées dans l’Accord s’appliquent à tous les recours intentés suite à toute violation des modalités de la présente ATD.
10.5
Les Parties conviennent que le Client sera tenu responsable pour toute violation de la présente ATD causée par les actes et les omissions ou la négligence de ses Sociétés affiliées, comme si ces actes, ces omissions ou cette négligence avaient été commis par le Client lui-même.
10.6
Le Client n’a pas le droit d’être indemnisé plus d’une fois pour le même sinistre.
Annexe 1 - Mesures de Sécurité techniques et organisationnelles
Programme de sécurité de l’information
Unleashd maintient un programme de sécurité de l’information axé sur la sécurité et l’intégrité des Données client. Le programme de sécurité de l’information d’Unleashd inclut des contrôles administratifs, techniques et opérationnels appropriés pour la taille de l’entreprise et les types d’informations qu’elle traite.

Protection physique
Unleashd maintient des contrôles physiques et de l’environnement de ses établissements, y compris en limitant l’accès aux locaux. L’accès physique aux bâtiments d’Unleashd est sécurisé grâce à une carte d’accès RFID (identification par radiofréquence) et les alarmes sont activées lorsque les bâtiments ne sont pas occupés.

Les visiteurs doivent signer un registre des visiteurs, et l’accès aux espaces de développement et de traitement des données exige une supervision et des fins professionnelles légitimes et spécifiques.

L’accès physique aux bureaux ou aux centres de traitement des données est révoqué lorsque l’employé quitte son emploi, et est réexaminé sur une base semestrielle.

Sécurité du réseau et chiffrage
Unleashd a mis en œuvre des contrôles de sécurité conformes aux normes de l’industrie pour protéger les Données client contre la perte et la divulgation non autorisées. Unleashd met en œuvre des mécanismes de protection des limites du réseau dans ses systèmes de production.

Les données sont cryptées en transit et entreposées.

Les Données à caractère personnel sont transférées par l’intermédiaire d’un SFTP (Protocole de transfert de fichiers) ou d’une API (interface de programmation d’application). Des tunnels site à site VPN sont mis en place entre les bureaux d’Unleashd et les Centres de données AWS, et des restrictions sur les IP en limitent l’accès.

Les instances de bases de données AWS d’Unleashd utilisent l’algorithme de chiffrement AES-256 pour chiffrer les données, qui est la norme industrielle en la matière. L’ensemble des Données à caractère personnel de chaque client est partitionné à l’intérieur de la base de données pour éviter toute contamination croisée.

Surveillance
Unleashd surveille ses systèmes et enregistre les événements liés à la sécurité, en générant des alertes en cas d’activité suspecte, et en analysant plus en détail l’activité suspecte.

Contrôle de transmission
Les journaux d’audit enregistrent et suivent la transmission de Données à caractère personnel tant pour les intervenants internes que pour la réception ou la transmission à des intervenants externes. Des journaux d’audit d’utilisateurs sont utilisés dans la plateforme pour identifier l’usage et l’activité.

L’accès aux systèmes qui contiennent des Données à caractère personnel est limité au personnel autorisé, et à l’intérieur de chaque plateforme, l’accès est limité au mécanisme de prestation du service concerné.

Contrôle d’accès logique
L’accès aux Données client est limité selon le principe du moindre privilège. L’accès est autorisé par le biais d’un processus d’autorisation d’accès documenté. L’accès est révoqué dès que possible lorsque l’employé quitte son emploi. Les demandes d’accès sont enregistrées dans un outil de suivi interne et un journal d’audit d’autorisations est stocké dans la plateforme. Des vérifications périodiques et annuelles des journaux d’audit sont effectuées. 

Les utilisateurs doivent créer leurs mots de passe lors de la première connexion et il est interdit de partager, d’emmagasiner ou de transmettre des mots de passe à tout moment.

Les mots de passe doivent contenir au minimum 8 caractères. Les mots de passe faibles ou utilisés auparavant seront rejetés. L’authentification multifactorielle est activée sur tous les comptes d’utilisateur et les mots de passe expirent tous les six mois.

Sécurité du personnel
Unleashd s’assure qu’elle embauche des professionnels compétents, lesquels signent une entente de confidentialité, une entente sur l’utilisation acceptable des systèmes informatiques et un code de conduite. Une formation annuelle sur les pratiques de protection des données est obligatoire pour tous les employés et les transferts de personnel entraînent des modifications dans la gestion des accès, selon le principe du moindre privilège et le rôle.

Gestion des incidents
Unleashd maintient un programme de gestion des incidents de sécurité informatique qui fournit des notifications et intervient en temps opportun, selon le cas, lors des incidents de sécurité, afin de protéger les Données client.

La sauvegarde et la restauration sont comprises dans l’infrastructure globale AWS d’Unleashd ainsi que plusieurs niveaux de redondance. La sauvegarde est exécutée au minimum chaque semaine.

Les postes de travail et les serveurs sont munis d’un logiciel antivirus, et l’analyse antivirus est exécutée quotidiennement. L’analyse antivirus est activée en temps réel et fournit une protection immédiate contre les menaces, et tous les centres ont des pare-feu activés avec souscription à une protection contre les menaces persistantes maintenue à jour. Des correctifs de sécurité et des corrections de bogues pour les vulnérabilités connues du système sont rapidement appliqués et mis à jour.

Audit et conformité
Unleashd analyse et examine régulièrement les contrôles de sécurité mis en place par ses tiers fournisseurs et Sous-traitants ultérieurs, pour s’assurer qu’ils ont mis en œuvre des contrôles de sécurité adéquats, afin de protéger les Données client qui peuvent être stockées par ses tiers fournisseurs ou auxquelles ceux-ci peuvent accéder.

Les processus internes font l’objet de vérifications annuelles.
Annexe 2 - Liste des Sous-traitants ultérieurs
Sous-traitant ultérieur 
Fin
Emplacement
Absolute Results Productions Ltd.
Centre d’appels
Canada
Amazon Web Services, Inc.
Stockage de données
Irlande
SendGrid Services
Déploiement d’une campagne d’envoi de courriels
États-Unis
Stripe
Payment Processing
États-Unis
Twilio Inc.
SMS Campaign Deployment
États-Unis
Selon les Produits et Services offerts, certains des Sous-traitants ultérieurs mentionnés ci-dessus pourraient ne pas s’appliquer. Pour plus d’informations, veuillez nous contacter.
SUR CETTE PAGE
Définitions
Applicabilité de l’Annexe sur le traitement des données
Détails du Traitement
Rôles et responsabilités
Sécurité
Sous-traitants ultérieurs
Coopération
Rapports et audits de sécurité
Suppression et retour des Données client
Dispositions diverses
Annexe 1
Annexe 2

Droits d'auteur ©2024 Unleashd Technologies Ltd.