Addendum relatif au traitement des données (Clients)

Cet addenda relatif au traitement des données (« Addenda ») est exécuté par et entre HostPapa Inc. et vous (« Client ») et est annexé à nos Conditions de service, à notre Politique de confidentialité et à tous les accords régissant nos Services couverts (collectivement, les « Conditions de service ») et les complète.

En cas de différences entre cette traduction et l'addenda anglais, l'addenda anglais prévaudra.

1. Définitions

« Services couverts » : tous les services hébergés que nous vous proposons et qui pourraient impliquer notre Traitement de Données Personnelles.

« Données Client » désigne les Données Personnelles de tout Sujet de Données traitées par HostPapa au sein du Réseau HostPapa pour le compte du Client, conformément ou en lien avec les Conditions d'Utilisation.

« Responsable du traitement » désigne le Client, en tant qu'entité qui détermine les finalités et les moyens du Traitement des Données Personnelles.

« Sous-Traitant » désigne HostPapa, en tant qu'entité qui traite les Données Personnelles pour le compte du Responsable du Traitement.

« Lois sur la Protection des Données » désigne toutes les lois et réglementations, y compris celles de l'Union Européenne, applicables au Traitement des Données Personnelles en vertu de l'Addenda.

« Sujet de Données » désigne la personne physique à laquelle se rapportent les Données Personnelles.

« EEE » désigne l'Espace Économique Européen.

« Réseau HostPapa » désigne les installations des centres de données, les serveurs, les équipements réseau et les systèmes logiciels d'hébergement qui sont sous le contrôle de HostPapa et utilisés pour fournir les Services Couverts.

« Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable.

« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur les Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la limitation, l'effacement ou la destruction. Les termes « Traiter », « traite » et « traité » seront interprétés en conséquence. Les détails du Traitement sont définis à l'Annexe 1.

« Incident de Sécurité » désigne soit (a) une violation de la sécurité de HostPapa entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à toute Donnée Client, de manière accidentelle ou illégale ; soit (b) tout accès non autorisé aux équipements ou installations de HostPapa, entraînant dans les deux cas la destruction, la perte, la divulgation non autorisée ou l'altération des Données Client.

« Normes de sécurité » désigne les normes de sécurité jointes au présent addenda en Annexe 2.

« Clauses Contractuelles Types » désigne l'Annexe 3, annexée au présent Addenda et en faisant partie intégrante, conformément à la Décision de la Commission Européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers en vertu de la Directive.

« Sous-traitant Ultérieur » désigne tout Sous-Traitant engagé par le Sous-Traitant pour traiter des données pour le compte du Responsable du Traitement.

2. Traitement des Données


2.1 Champ d'Application et Rôles

Le présent Addenda s'applique lorsque les Données Client sont traitées par HostPapa. Dans ce contexte, HostPapa agira en tant que Sous-Traitant pour le compte du Client, lequel agira en tant que Responsable du Traitement en ce qui concerne les Données Client.

2.2 Détails du Traitement des Données

L'objet du traitement des Données Client par HostPapa est l'exécution des Services Couverts conformément aux Conditions d'Utilisation et aux accords spécifiques aux produits. HostPapa ne traitera les Données Client que pour le compte du Client et conformément aux instructions documentées de ce dernier, aux fins suivantes :

  • Traitement conformément aux Conditions d'Utilisation ou à l'accord spécifique applicable au produit ;
  • Traitement initié par les utilisateurs finaux dans leur utilisation des Services Couverts ;
  • Traitement pour se conformer à d'autres instructions documentées et raisonnables fournies par les Clients (par exemple, par courriel), lorsque ces instructions sont compatibles avec les termes de l'Addenda.

Nonobstant ce qui précède, HostPapa ne sera pas tenu de se conformer aux instructions du Client si de telles instructions enfreignent le Règlement Général sur la Protection des Données de l'UE 2016/679 (« RGPD ») ou toute autre législation applicable en matière de protection des données.

La durée du Traitement, la nature et la finalité du Traitement, les types de données personnelles et les catégories de Sujets de Données traitées en vertu de cet Addenda sont spécifiés plus en détail dans l'Annexe 1 (« Détails du Traitement ») du présent Addenda.

3. Confidentialité des Données Client

HostPapa ne divulguera pas les Données Client à toute autorité gouvernementale ou à un autre tiers, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'une agence de maintien de l'ordre (telle qu'une assignation à comparaître ou une ordonnance du tribunal). Si une agence de maintien de l'ordre envoie une demande de Données Client à HostPapa, HostPapa tentera de rediriger l'agence vers le Client pour qu'elle demande directement ces données au Client. Dans le cadre de cette démarche, HostPapa pourra fournir les informations de contact de base du Client à l'agence de maintien de l'ordre. Si HostPapa est contraint de divulguer les Données Client à une agence de maintien de l'ordre, HostPapa informera le Client de la demande dans un délai raisonnable afin de permettre au Client de demander une ordonnance de protection ou toute autre solution appropriée, sauf si HostPapa est légalement empêché de le faire.

4. Sécurité

HostPapa a mis en place et maintiendra les mesures techniques et organisationnelles pour le Réseau HostPapa telles que décrites dans cette section et telles qu'elles sont détaillées dans l'Annexe 2 de cet Addenda, Normes de Sécurité. En particulier, HostPapa a mis en place et maintiendra les mesures techniques et organisationnelles suivantes qui abordent :

  1. La sécurité du Réseau HostPapa ;
  2. La sécurité physique des installations ;
  3. Les contrôles concernant l'accès des employés et des sous-traitants au Réseau HostPapa et aux installations de HostPapa ; et
  4. Les processus de test, d'évaluation et d'analyse de l'efficacité des mesures techniques et organisationnelles mises en place par HostPapa.

HostPapa met à disposition un certain nombre de fonctionnalités et de caractéristiques de sécurité que le Client peut choisir d'utiliser en relation avec les Services Couverts. Le Client est responsable de :

  1. Configurer correctement les Services Couverts.
  2. Utiliser les contrôles disponibles en lien avec les Services Couverts (y compris les contrôles de sécurité) pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
  3. Utiliser les contrôles disponibles en lien avec les Services Couverts (y compris les contrôles de sécurité) pour permettre au Client de restaurer la disponibilité et l'accès aux Données Client de manière opportune en cas d'incident physique ou technique (par exemple, les sauvegardes et l'archivage régulier des Données Client).
  4. Prendre les mesures que le Client juge adéquates pour maintenir une sécurité, une protection et une suppression appropriées des Données Client, ce qui inclut l'utilisation de la technologie de cryptage pour protéger les Données Client contre un accès non autorisé et des mesures pour contrôler les droits d'accès aux Données Client.

5. Droits des Sujets de Données

Compte tenu de la nature des Services Couverts, HostPapa propose au Client certains services que ce dernier peut choisir d'utiliser pour récupérer, corriger, supprimer ou restreindre l'utilisation et le partage des Données Client, comme décrit dans les Services Couverts. Le Client peut demander ces services comme mesures techniques et organisationnelles pour l'aider dans le cadre de ses obligations en vertu des lois applicables en matière de confidentialité, y compris ses obligations relatives à la réponse aux demandes des Sujets de Données.

Dans la mesure du raisonnable sur le plan commercial, et dans la mesure où cela est légalement requis ou autorisé, HostPapa informera rapidement le Client si HostPapa reçoit directement une demande d'un Sujet de Données pour exercer ses droits en vertu des lois applicables en matière de confidentialité des données (« Demande du Sujet de Données »). De plus, lorsque l'utilisation des Services Couverts par le Client limite sa capacité à répondre à une Demande du Sujet de Données, HostPapa peut, dans la mesure où cela est légalement autorisé et approprié, et sur demande spécifique du Client, fournir une assistance commercialement raisonnable pour traiter la demande, aux frais du Client (le cas échéant).

6. Sous-traitance


6.1 Sous-traitants autorisés

Le client accepte que HostPapa puisse utiliser des Sous-traitants pour remplir ses obligations contractuelles en vertu de ses Conditions de Service et du présent Addenda ou pour fournir certains services en son nom, tels que la fourniture de services d'assistance. Le client consent par la présente à ce que HostPapa utilise des Sous-traitants comme décrit dans cette section. Sauf disposition contraire dans cette section ou autorisation explicite de votre part, HostPapa n'autorisera aucune autre activité de sous-traitance.

6.2 Obligations du Sous-traitant

Lorsque HostPapa utilise un Sous-traitant autorisé tel que décrit dans la section « Sous-traitants autorisés » ci-dessus :

  1. HostPapa limitera l'accès du Sous-traitant aux données client uniquement à ce qui est nécessaire pour maintenir les Services Couverts ou pour fournir les Services Couverts au Client et à tout utilisateur final conformément aux Services Couverts. HostPapa interdira au Sous-traitant d'accéder aux Données Client à toute autre fin.
  2. HostPapa conclura un accord écrit avec le Sous-traitant et, dans la mesure où le Sous-traitant exécute les mêmes services de traitement de données que ceux fournis par HostPapa en vertu du présent Addenda, HostPapa imposera au Sous-traitant les mêmes obligations contractuelles que celles qui incombent à HostPapa en vertu du présent Addenda.
  3. HostPapa restera responsable de son respect des obligations du présent Addenda et de tout acte ou omission du Sous-traitant qui amènerait HostPapa à violer l'une des obligations de HostPapa en vertu du présent Addenda.

6.3 Nouveaux sous-traitants

HostPapa peut, de temps à autre, engager de nouveaux Sous-traitants en vertu et sous réserve des conditions du présent Addenda. Dans la mesure du possible, HostPapa fournira un préavis de 60 jours par e-mail avant qu'un nouveau Sous-traitant obtienne des Données Client. Si vous n'approuvez pas un nouveau Sous-traitant, vous pouvez résilier tout Service Couvert sans pénalité en fournissant, dans les 10 jours ou à la réception de notre avis, un avis écrit de résiliation comprenant une explication des raisons de votre non-approbation. Si les Services Couverts font partie d'un forfait ou d'un achat groupé, toute résiliation s'appliquera à son intégralité.

7. Notification de violation de sécurité


7.1 Incident de Sécurité

Si HostPapa prend connaissance d'un Incident de Sécurité, HostPapa s'engage, sans délai injustifié :

  • Informer le Client de l'Incident de Sécurité ; et,
  • Prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de l'Incident de Sécurité.

7.2 Assistance HostPapa

Pour aider le Client en ce qui concerne toute notification de violation de données personnelles que le Client est tenu de faire en vertu des lois applicables en matière de confidentialité, HostPapa inclura dans la notification en vertu de la section Droits du Client/Détermination indépendante (ci-dessous), les informations sur l'Incident de Sécurité que HostPapa est raisonnablement en mesure de divulguer au Client, en tenant compte de la nature des Services Couverts, des informations dont dispose HostPapa et de toute restriction sur la divulgation des informations, telles que la confidentialité.

7.3 Incidents de Sécurité Échoués

Le Client accepte que :

  • Un Incident de Sécurité Échoué ne sera pas soumis aux termes du présent Addenda. Un Incident de Sécurité Échoué est un incident qui n'entraîne aucun accès non autorisé aux Données Client ou à tout Réseau, équipement ou installation de HostPapa stockant des Données Client. Cela peut inclure, sans s'y limiter, des pings et autres attaques par diffusion sur des pare-feux ou des serveurs périphériques, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, des reniflages de paquets (ou tout autre accès non autorisé aux données de trafic ne donnant pas lieu à un accès au-delà des en-têtes), ou des incidents similaires ; et,
  • L'obligation de HostPapa de signaler ou de répondre à un Incident de Sécurité en vertu de la présente section ne constitue pas et ne sera pas interprétée comme une reconnaissance par HostPapa de toute faute ou responsabilité de HostPapa à l'égard de l'Incident de Sécurité.

7.4 Communication

Les notifications d'Incidents de Sécurité, le cas échéant, seront envoyées à un ou plusieurs administrateurs du Client par tout moyen choisi par HostPapa, y compris par courrier électronique. Il est de la seule responsabilité du client de s'assurer que les administrateurs du client conservent des informations de contact exactes sur la console de gestion HostPapa et une transmission sécurisée à tout moment.

8. Droits du Client


8.1 Détermination indépendante

Le Client est responsable de l'examen des informations mises à disposition par HostPapa concernant la sécurité des données et ses Normes de Sécurité, et de déterminer de manière indépendante si les Services Couverts répondent aux exigences et obligations légales du Client ainsi qu'aux obligations du Client en vertu du présent Addenda. Les informations fournies sont destinées à aider le Client à respecter ses obligations en vertu des lois applicables en matière de confidentialité, y compris le RGPD, en ce qui concerne les analyses d'impact sur la protection des données et les consultations préalables.

8.2 Droits d'Audit du Client

Le Client a le droit de vérifier la conformité de HostPapa au présent Addenda, tel qu'applicable aux Services Couverts, y compris spécifiquement la conformité de HostPapa à ses Normes de Sécurité, en exerçant un droit raisonnable d'audit ou d'inspection. Cela inclut, si applicable, en vertu des Clauses Contractuelles Types, en soumettant une demande spécifique à HostPapa par écrit à l'adresse indiquée dans ses Conditions d'Utilisation. Si HostPapa refuse de suivre une instruction demandée par le Client concernant un audit ou une inspection dûment demandé et défini, le Client est en droit de résilier le présent Addenda et les Conditions d'Utilisation. Si les Clauses Contractuelles Types s'appliquent, rien dans cette section ne modifie ou ne varie les Clauses Contractuelles Types, ni n'affecte les droits d'une autorité de contrôle ou d'un Sujet de Données en vertu de ces clauses. Cette section s'appliquera également dans la mesure où HostPapa effectue le contrôle des Sous-traitants Ultérieurs pour le compte du Client.

9. Transferts de Données Personnelles


9.1 Traitement Basé au Canada

Sauf indication contraire spécifiée dans les Conditions d'Utilisation, les Données Client seront transférées en dehors de l'EEE et traitées au Canada, où ces données sont régies par la Loi sur la protection des informations personnelles et les documents électroniques (PIPEDA). Le Canada a été reconnu par l'UE comme offrant une protection adéquate des données (conformément à l'article 45 du Règlement (UE) 2016/679), ce qui permet le transfert libre des informations personnelles des résidents de l'UE vers le Canada.

Étant donné que HostPapa travaille avec plusieurs partenaires basés aux États-Unis, nous transférons également (conformément à l'article 45 du RGPD) des informations personnelles à des entreprises ayant certifié leur conformité avec les cadres de Protection de la Vie Privée UE-États-Unis ou Suisse-États-Unis.

9.2 Application des Clauses Contractuelles Types

Les Clauses Contractuelles Types s'appliqueront aux Données Client transférées en dehors de l'EEE, directement ou par transfert ultérieur, vers tout pays non reconnu par la Commission Européenne comme offrant un niveau de protection adéquat pour les données personnelles (comme décrit dans le RGPD). Les Clauses Contractuelles Types ne s'appliqueront pas aux Données Client qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors de l'EEE. Nonobstant ce qui précède, les Clauses Contractuelles Types ne s'appliqueront pas lorsque les données sont transférées conformément à une norme de conformité reconnue pour le transfert légal de données personnelles (comme défini dans le RGPD) en dehors de l'EEE, telle que la législation PIPEDA du Canada et les cadres de Protection de la Vie Privée UE-États-Unis et Suisse-États-Unis.

10. Résiliation de l'Addenda

Le présent Addenda restera en vigueur jusqu'à la résiliation de notre traitement conformément aux Conditions d'Utilisation (la « Date de Résiliation »).

11. Retour ou Suppression des Données Client

Comme décrit dans les Services Couverts, le Client peut se voir fournir un service par HostPapa qui peut être utilisé pour récupérer ou supprimer les Données Client. Toute suppression de Données Client sera régie par les termes des Services Couverts particuliers.

12. Limitations de Responsabilité

La responsabilité de chaque partie en vertu du présent Addenda sera soumise aux exclusions et limitations de responsabilité définies dans les Conditions d'Utilisation. Le Client accepte que toute amende réglementaire encourue par HostPapa en relation avec les Données Client, résultant de, ou en lien avec, le manquement du Client à ses obligations en vertu du présent Addenda et de toute législation applicable en matière de confidentialité, soit comptabilisée et réduise la responsabilité de HostPapa en vertu des Conditions d'Utilisation comme s'il s'agissait d'une responsabilité envers le Client en vertu des Conditions d'Utilisation.

13. Intégralité des Conditions d'Utilisation ; Conflit

Le présent Addenda annule et remplace toutes les représentations, ententes, accords ou communications antérieurs ou contemporains entre le Client et HostPapa, qu'ils soient écrits ou verbaux, concernant l'objet du présent Addenda, y compris tout addenda relatif au traitement des données conclu entre HostPapa et le Client concernant le traitement des données personnelles et la libre circulation de ces données. Sauf modification par le présent Addenda, les Conditions d'Utilisation resteront en vigueur et de plein effet. En cas de conflit entre tout autre accord entre les parties, y compris les Conditions d'Utilisation et le présent Addenda, les termes du présent Addenda prévaudront.

Annexe 1 - Détails du Traitement

  1. Nature et But du Traitement. HostPapa traitera les Données Personnelles dans la mesure nécessaire pour exécuter les Services Couverts conformément aux Conditions d'Utilisation, aux accords spécifiques aux produits, et selon les instructions supplémentaires du Client tout au long de l'utilisation des Services Couverts.

  2. Durée du Traitement. Sous réserve de l'Article 10 du présent Addenda, HostPapa traitera les Données Personnelles pendant la période de validité des Conditions d'Utilisation, mais respectera les termes du présent Addenda pendant toute la durée du Traitement, si celle-ci dépasse cette période, sauf accord écrit contraire.

  3. Catégories de Sujets de Données. Le Client peut télécharger des Données Personnelles dans le cadre de son utilisation des Services Couverts, dans la mesure où cela est déterminé et contrôlé par le Client à sa seule discrétion, et cela peut inclure, sans s'y limiter, des Données Personnelles relatives aux catégories suivantes de Sujets de Données :

    • Les prospects, clients, partenaires commerciaux et fournisseurs du Client (qui sont des personnes physiques).
    • Les employés ou les personnes de contact des prospects, clients, partenaires commerciaux et fournisseurs du Client.
    • Les employés, agents, conseillers et freelances du Client (qui sont des personnes physiques).
    • Les utilisateurs du Client autorisés par le Client à utiliser les Services Couverts.

  4. Type de Données Personnelles. Le Client peut télécharger des Données Personnelles dans le cadre de son utilisation des Services Couverts, le type et l'étendue desquelles sont déterminés et contrôlés par le Client à sa seule discrétion, et cela peut inclure, sans s'y limiter, les catégories suivantes de Données Personnelles des Sujets de Données :

    • Nom
    • Adresse
    • Numéro de téléphone
    • Date de naissance
    • Adresse électronique
    • Autres données collectées pouvant identifier directement ou indirectement un Sujet de Données.

Annexe 2 - Normes de Sécurité


I.  Mesures Techniques et Organisationnelles

Nous nous engageons à protéger les informations de nos clients. En tenant compte des meilleures pratiques, des coûts de mise en œuvre, de la nature, de l'étendue, des circonstances et des objectifs du traitement ainsi que des différentes probabilités d'occurrence et de gravité des risques pour les droits et libertés des personnes physiques, nous mettons en place les mesures techniques et organisationnelles suivantes. Lors de la sélection des mesures, la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes sont prises en compte. Une récupération rapide après un incident physique ou technique est garantie.

II.  Programme de Confidentialité des Données

Nous testons, évaluons et vérifions régulièrement l'efficacité du réseau HostPapa et la sécurité de nos installations.

1. Confidentialité.

Nous utilisons diverses mesures physiques et logiques pour protéger la confidentialité des données personnelles de nos clients. Ces mesures comprennent :

Sécurité physique

  • Systèmes de contrôle d'accès physique en place (contrôle d'accès par badge, surveillance des événements de sécurité, etc.).
  • Systèmes de surveillance incluant des alarmes et, le cas échéant, une surveillance par vidéosurveillance.
  • Politiques et contrôles de bureau propre en place (verrouillage des ordinateurs sans surveillance, armoires verrouillées, etc.).
  • Gestion des accès des visiteurs.
  • Destruction de données sur supports physiques et documents.

Contrôle d'accès et prévention des accès non autorisés

  • Des restrictions d'accès utilisateur sont appliquées et des autorisations d'accès basées sur les rôles sont fournies/révisées selon le principe de séparation des tâches.
  • Méthodes d'authentification et d'autorisation fortes (authentification multifacteur, désactivation/déconnexion automatique, etc.).
  • Gestion centralisée des mots de passe et politiques de mots de passe forts/complexes (longueur minimale, complexité des caractères, expiration des mots de passe, etc.).

Tests de sécurité

  • Analyses régulières du réseau et des vulnérabilités.

2. Intégrité

Des contrôles appropriés de gestion des modifications et des journaux sont en place, en plus des contrôles d'accès pour pouvoir maintenir l'intégrité des données personnelles telles que :

Gestion des changements et des versions

  • Processus de gestion des changements et des versions, y compris (analyse d'impact, approbations, tests, examens de sécurité, mise en scène, surveillance, etc.).
  • Provisionnement d'accès basé sur les rôles et les fonctions (séparation des tâches) dans les environnements de production.

Enregistrement et surveillance

  • Enregistrement des accès et des modifications des données.
  • Journaux d'audit et de sécurité centralisés.

3. Disponibilité

« La disponibilité des services et des systèmes informatiques, des applications informatiques et des fonctions des réseaux informatiques ou des informations est garantie si les utilisateurs sont en mesure de les utiliser à tout moment comme prévu. »

Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de ses services et des données résidant dans ces services :

  • Surveillance et rapports étendus sur les performances et la disponibilité des systèmes critiques.
  • Programme de réponse aux incidents.
  • Données critiques répliquées ou sauvegardées (sauvegardes dans le cloud/disques durs/réplication de bases de données, etc.).
  • Maintenance planifiée des logiciels, de l'infrastructure et de la sécurité en place (mises à jour logicielles, correctifs de sécurité, etc.).
  • Systèmes redondants et résilients.
  • Utilisation d'alimentations sans interruption, de matériel redondant et de systèmes réseau.
  • Alarme, systèmes de sécurité en place.
  • Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, planchers surélevés, systèmes de refroidissement, détecteurs d'incendie et/ou de fumée, systèmes d'extinction d'incendie, etc.).
  • Protection DDOS pour maintenir la disponibilité.
  • Tests de charge et de stress.
  • Pare-feu d'applications web.

4. Instructions de Traitement des Données

Nous avons établi des politiques et des accords de confidentialité internes pour garantir que les données personnelles sont traitées conformément aux préférences et aux instructions des clients.

  • Conditions de confidentialité et de confidentialité en vigueur dans les contrats des employés et des sous-traitants.
  • Audits de sécurité réguliers.
  • Tests de conformité PCI.

Annexe 3 – Clauses Contractuelles Types (Sous-traitants)

Remarque : Voir la section 9.2 de l'Addenda pour l'applicabilité de ces clauses contractuelles types.

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données

L'entité identifiée comme « Client » dans l'Addenda

(l'« exportateur de données »)

et

HostPapa Inc.,

(l'« importateur de données »)

chacun étant une « partie » ; ensemble « les parties »,

   ONT CONVENU des Clauses Contractuelles suivantes (les Clauses) afin d'apporter des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées à l'Annexe 1.

Clause 1 – Définitions

Aux fins des présentes Clauses :

  1. « données à caractère personnel », « catégories particulières de données », « traitement », « responsable du traitement », « sous-traitant », « sujet de données » et « autorité de contrôle » ont le même sens que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
  2. « l'exportateur de données » désigne le responsable du traitement qui transfère les données à caractère personnel ;
  3. « l'importateur de données » désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des Clauses et qui n'est pas soumis à un système d'un pays tiers garantissant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE;
  4. « le sous-traitant ultérieur » désigne tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant ultérieur de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant ultérieur de l'importateur de données des données à caractère personnel destinées exclusivement aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du sous-contrat écrit ;
  5. «la législation applicable en matière de protection des données»: la législation protégeant les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la vie privée à l'égard du traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi;
  6. « mesures de sécurité techniques et organisationnelles » : les mesures visant à protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, toute perte accidentelle, toute altération, toute divulgation ou tout accès non autorisé, notamment lorsque le traitement implique la transmission de données sur un réseau, ainsi que contre toute autre forme de traitement illicite.

Clause 2 – Détails du transfert

Les détails du transfert et notamment les catégories particulières de données personnelles, le cas échéant, sont précisés à l'Annexe 1 qui fait partie intégrante des Clauses.

Clause 3 - Clause de tiers bénéficiaire

  1. Le sujet de données peut faire valoir contre l'exportateur de données cette Clause, les Clauses 4(b) à (i), les Clauses 5(a) à (e) et (g) à (j), la Clause 6, la Clause 7(2), et les Clauses 8 à 11 en tant que bénéficiaire tiers.

  2. Le sujet de données peut faire valoir contre l'exportateur de données la présente Clause, la Clause 4(b) à (i), la Clause 5(a) à (e) et (g) à (j), la Clause 6, la Clause 7(2) et les Clauses 8 à 11 en tant que tiers bénéficiaire.

  3. Le sujet de données peut faire valoir contre le sous-traitant ultérieur la présente Clause, les points (a) à (e) et (g) de la Clause 5, la Clause 6, la Clause 7(2) et les Clauses 8 à 11 dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu de fait ou ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données par contrat ou de plein droit, en conséquence de quoi elle reprend les droits et obligations de l'exportateur de données, auquel cas le sujet de données peut les faire valoir contre cette entité. Cette responsabilité de tiers du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

  4. Les parties ne s'opposent pas à ce qu'un sujet de données soit représentée par une association ou un autre organisme si le sujet de données le souhaite expressément et si le droit national le permet.

Clause 4 - Obligations de l'exportateur de données

The data exporter agrees and warrants:

  1. que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre où l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État;
  2. qu'il a demandé et demandera pendant toute la durée des services de traitement des données à caractère personnel à l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
  3. que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe 2 du présent contrat ;
  4. qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, toute perte accidentelle, toute altération, toute divulgation ou tout accès non autorisé, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l'état de la technique et du coût de leur mise en œuvre;
  5. qu'il veillera au respect des mesures de sécurité ;
  6. que, si le transfert porte sur des catégories particulières de données, le sujet de données a été informée ou sera informée avant, ou dès que possible après, que ses données pourraient être transmises vers un pays tiers n'assurant pas une protection adéquate au sens de la directive 95/46/CE;
  7. de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à la clause 5(b) et à la clause 7(3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
  8. de mettre à la disposition des personnes concernées, sur demande, une copie des Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;
  9. que, en cas de sous-traitance, l'activité de traitement est effectuée conformément à la Clause 10 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits du sujet de données que l'importateur de données en vertu des clauses ; et
  10. qu'il assurera le respect de la Clause 4(a) à (i).

Clause 5 - Obligations de l'importateur de données

Remarque : Les exigences impératives de la législation nationale applicable à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'Article 13, paragraphe 1, de la directive 95/46/CE, c'est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'infractions à la déontologie des professions réglementées, un intérêt économique ou financier important de l'État ou la protection du sujet de données ou des droits et libertés d'autrui, ne sont pas en contradiction avec les clauses contractuelles types. Parmi ces exigences impératives qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique, on peut citer, entre autres, les sanctions reconnues au niveau international, les obligations de déclaration fiscale ou les obligations de déclaration en matière de lutte contre le blanchiment d'argent.

L'importateur de données accepte et garantit :

  1. de traiter les données à caractère personnel uniquement pour le compte de l'exportateur de données et dans le respect de ses instructions et des présentes clauses ; si elle ne peut pas assurer cette conformité pour quelque raison que ce soit, elle s'engage à informer rapidement l'exportateur de données de son incapacité à s'y conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
  2. qu'elle n'a aucune raison de croire que la législation qui lui est applicable l'empêche de remplir les instructions reçues de l'exportateur de données et ses obligations au titre du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif substantiel sur les garanties et obligations prévues par les Clauses, elle notifiera rapidement la modification à l'exportateur de données dès qu'elle en aura connaissance, auquel cas l'exportateur de données sera en droit de suspendre le transfert de données et/ou de résilier le contrat ;
  3. qu'elle a mis en œuvre les mesures de sécurité techniques et organisationnelles précisées à l'annexe 2 avant de traiter les données personnelles transférées ;
  4. qu'il informera rapidement l'exportateur de données de :
    1. toute demande juridiquement contraignante de divulgation de données personnelles par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction prévue par le droit pénal visant à préserver la confidentialité d'une enquête policière,
    2. tout accès accidentel ou non autorisé, et
    3. toute demande reçue directement des sujets de données sans répondre à cette demande, à moins qu'elle n'ait été autrement autorisée à le faire ;
  5. de traiter rapidement et correctement toutes les demandes de renseignements de l'exportateur de données concernant son traitement des données à caractère personnel faisant l'objet du transfert et de se conformer aux conseils de l'autorité de contrôle concernant le traitement des données transférées ;
  6. de mettre à la disposition du sujet de données, sur demande, une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'Annexe 2 qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où le sujet de données n'est pas en mesure d'obtenir une copie auprès de l'exportateur de données ;
  7. qu'en cas de sous-traitance, elle a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;
  8. que les services de traitement par le sous-traitant seront exécutés conformément à la Clause 10 ;
  9. d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des présentes Clauses.

Clause 6 - Médiation et juridiction

  1. L'importateur de données accepte que si le sujet de données invoque contre lui les droits d'un tiers bénéficiaire et/ou réclame une indemnisation pour dommages en vertu des clauses, l'importateur de données acceptera la décision du sujet de données :
    1. de soumettre le litige à une médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;
    2. de soumettre le litige à la juridiction exclusive dans laquelle l'importateur de données est établi. Par souci de clarté, tous les litiges doivent être portés devant les tribunaux de la province de l'Ontario au Canada.
  2. Les parties conviennent que le choix effectué par le sujet de données ne portera pas atteinte à ses droits substantiels ou procéduraux de rechercher réparation conformément à d'autres dispositions du droit national ou international.

Clause 7 - Coopération avec les autorités de contrôle

  1. L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci le demande ou si un tel dépôt est requis en vertu de la législation applicable en matière de protection des données.

  2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.

  3. L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui s'applique à tout sous-traitant ultérieur empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans un tel cas, l'exportateur de données est en droit de prendre les mesures prévues à la Clause 5 (b).

Clause 8 - Loi applicable

Les présentes Clauses sont régies par la loi du pays où l'importateur de données est établi. Par souci de clarté, les lois applicables sont celles du Canada et de la province de l'Ontario.

Clause 9 - Modification du contrat

Les parties s'engagent à ne pas modifier les présentes Clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions commerciales si nécessaire, à condition qu'elles ne soient pas en contradiction avec la Clause.

Clause 10 - Sous-traitement

  1. L'importateur de données ne doit sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des présentes Clauses, avec le consentement de l'exportateur de données, il ne peut le faire que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l'importateur de données en vertu des présentes Clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu de cet accord écrit, l'importateur de données reste pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieures en vertu de cet accord.

  2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur doit également prévoir une clause de tiers bénéficiaire telle que prévue à la Clause 3 pour les cas où le sujet de données n'est pas en mesure d'intenter une action en réparation contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeur n'a assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité du sous-traitant ultérieur en tant que tiers est limitée à ses propres opérations de traitement en vertu des présentes Clauses.

  3. Les dispositions relatives aux aspects de protection des données pour le sous-traitement ultérieur du contrat visé au paragraphe 1 sont régies par les lois du pays où l'importateur de données est établi. Pour plus de clarté, les lois applicables sont celles du Canada et de la province de l'Ontario.

  4. L'exportateur de données doit tenir une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la Clause 5 j), qui doit être mise à jour au moins une fois par an. La liste doit être mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Clause 11 - Obligation après la fin des services de traitement de données personnelles

  1. Les parties conviennent qu'à la fin de la prestation de services de traitement de données, l'importateur de données et le sous-traitant doivent, au choix de l'exportateur de données, restituer à l'exportateur de données toutes les données personnelles transférées et leurs copies ou détruire toutes les données personnelles et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

  2. L'importateur de données et le sous-traitant garantissent que, sur demande de l'exportateur de données et/ou de l'autorité de contrôle, il soumettra ses installations de traitement de données à un audit des mesures visées au paragraphe 1.

Annexe 1 aux Clauses Contractuelles Types

Exportateur de données : L'exportateur de données est l'entité identifiée comme « Client » dans l'Addenda

Importateur de données : L'importateur de données est HostPapa Inc., un fournisseur de services hébergés.

Sujets de données : Les traitements sont définis à la Section 1.3 et à l'Annexe 1 de l'Addenda.

Catégories de données : Les traitements sont définis à la Section 1.3 et à l'Annexe 1 de l'Addenda.

Opérations de traitement : Les opérations de traitement sont définies à la Section 1.3 et à l'Annexe 1 de l'Addenda.

Annexe 2 aux Clauses Contractuelles Types

Cette Annexe fait partie des Clauses. En achetant des Services Couverts auprès de HostPapa, l'Addenda et cette Annexe 2 sont réputés acceptés et exécutés par et entre les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint) :

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données sont telles que décrites dans l'Addenda, notamment dans l'Annexe 2, qui lui est incorporée et jointe.