Version: 3.0 

Cette Annexe de traitement des renseignements personnels s’applique à la fourniture des services par Amisgest Technologies, Inc., société dont le siège social est situé au 1753 Rue Principale, Sainte-Julie, QC J3E 1W7, Canada («Amisgest») aux entités désignées dans un Bon de commande (le «Client» ou «vous»). 

Cette Annexe demeurera en vigueur tant et aussi longtemps qu’Amisgest traitera les Données. 

1. DÉFINITIONS 

1. Expressions. Les expressions qui ne sont pas définies dans cette Annexe sont définies dans le Contrat de services. 

2. «Incident de confidentialité» désigne l’accès non autorisé par la loi à un Renseignement personnel, l’utilisation non autorisée par la loi d’un Renseignement personnel, la communication non autorisée par la loi d’un Renseignement personnel, ou toute autre perte d’un Renseignement personnel ou toute autre atteinte à la protection d’un tel Renseignement personnel, incluant si l’accès, l’utilisation, la communication, la perte ou l’atteinte à la protection survient des suites d’une brèche de sécurité. 

3. «Lois sur la vie privée» désigne les lois applicables actuellement en vigueur relatives au Traitement des Renseignements personnels, y compris la Loi sur la protection des renseignements personnels et les documents électroniques, la Loi sur la protection des renseignements personnels dans le secteur privé, et toutes autres lois applicables de temps à autre. 

4. «Renseignements personnels» signifie une information qui permet d’identifier directement, ou indirectement, un individu, et qui est Traitée par Amisgest dans le cadre des Services. 

5. «Renseignements personnels sensibles» signifie les Renseignements personnels dont le Traitement suscite un haut degré d’attentes raisonnables en matière de vie privée, en raison de sa nature ou du contexte de son utilisation. Pour les fins de la Convention, sont réputés être des Renseignements personnels sensibles les informations portant sur les mineurs, les informations concernant les antécédents judiciaires, ainsi que les informations médicales. 

6. «Requête» désigne une requête d’un individu concerné afin d’exercer un ou plusieurs des droits qui lui sont accordés en vertu des Lois sur la vie privée. 

7. «Traitement» signifie la collecte, l’utilisation, la communication de Données pour les fins de la prestation des Services; lorsqu’employé comme verbe, «Traiter». 

8. «Violation de la vie privée» désigne toute violation ou tentative de violation, découlant de l’action ou de l’omission de toute personne, à l’une ou l’autre des obligations relatives à la confidentialité des Renseignements personnels prévue à la Convention, incluant cette Annexe.  

2. TRAITEMENT ET HÉBERGEMENT 

1. Fins permises. Amisgest ne Traite les Renseignements du Client que pour les Fins permises, incluant afin de fournir les Services, le tout suivant les instructions du Client. Amisgest peut refuser de Traiter les Renseignements personnels sur la base d’une instruction si Amisgest croit raisonnablement qu’il en résulterait une violation des Lois sur la vie privée. Le cas échéant, Amisgest n’encourra aucune pénalité ni responsabilité à l’égard du Client. 

2. Données. La Plateforme offre des fonctionnalités permettant de personnaliser le type et la teneur des informations qu’elle contient, par exemple, pour faciliter la gestion des employés ou pour documenter les besoins particuliers d’un Mineur. Il appartient au Client de mettre en place des politiques d’utilisation acceptable qui sont conformes à ses politiques internes, notamment afin d’établir des politiques de rétention appropriée et de prioriser, entre autres, la minimisation du Traitement des Renseignements personnels. 

3. Utilisation de dispositifs d’identification (RFID). Lorsque les Services comprennent des fonctionnalités de prise de présence ou d’identification automatisée au moyen de dispositifs tels que des puces RFID, il appartient au Client: (a) de veiller à ce que leur utilisation soit conforme aux Lois sur la vie privée; (b) d’informer adéquatement les personnes concernées de l’utilisation de tels dispositifs, y compris de la nature des Renseignements personnels collectés, des finalités du traitement et des mécanismes de consentement lorsque requis; (c) de limiter l’accès aux Renseignements personnels résultant de cette utilisation qu’aux Utilisateurs ayant un besoin légitime en fonction de leur rôle; (d) de configurer la Plateforme de manière à assurer une collecte appropriée selon les Fins permises; et (e) de tenir à jour un registre des dispositifs RFID déployés, incluant leur assignation aux individus. 

3. RESPONSABILITÉS DU CLIENT 

1. Le Client a les responsabilités suivantes:  

1. Obtenir les consentements exigibles afin de permettre à Amisgest de Traiter les Renseignements personnels comme envisagés dans les présentes, incluant, le cas échéant, par l’obtention du consentement des tuteurs du mineur tel que prévu dans les Lois sur la vie privée; 

2. Vérifier l’identité des tuteurs afin de valider la légalité des consentements obtenus pour le Traitement des Renseignements personnels sensibles, le cas échéant; 

3. Informer ses clients et utilisateurs du Traitement de leurs Renseignements personnels comme prévu dans les Lois sur la vie privée. Bien qu’Amisgest publie et maintienne une Politique de confidentialité décrivant le Traitement des Renseignements personnels dans le cadre de l’utilisation des Services, il appartient au Client d’informer adéquatement les tiers de son utilisation des Services et de compléter cet avis au besoin; et; 

4. Déterminer les périodes de conservation appropriées pour les Renseignements personnels selon son utilisation des Services, outre les périodes de rétention déjà applicable et les obligations de suppression d’Amisgest indiqué dans les présentes. 

2. Configuration. La Plateforme peut être configurée afin de communiquer des Renseignements personnels, incluant des Renseignements personnels sensibles, à des Tiers. Le Client est responsable de s’assurer de la conformité de ces communications aux Lois sur la vie privée, incluant en matière de transfert hors du Québec. La Plateforme est conçue pour les Fins permises. Le Client s’engage à ne pas Traiter des Renseignements personnels pour d’autres fins, sauf si exigé par les lois applicables.  

4. TRANSFERTS INTERNATIONAUX 

1. Hébergement. Les Données seront hébergées par Amisgest dans des centres d’hébergement situés au Québec, Canada. Amisgest s’engage à ne pas héberger les Renseignements personnels hors du Québec sans l’autorisation préalable du Client, suivant un préavis de 30 jours à cet effet. Cela étant dit, si le Client ne répond pas dans le délai imparti de 30 jours, Amisgest se réserve le droit de faire les changements souhaités à son infrastructure, le tout, en conformité avec les Lois sur la vie privée. 

5. SOUS-TRAITANTS 

1. Sous-traitants autorisés. Amisgest peut retenir les services d’une tierce partie pour Traiter les Données afin de fournir les Services suivant la Convention (chacun, un «Sous-traitant autorisé»). Sur demande écrite du Client, Amisgest fournira une liste des Sous-traitants autorisés, indiquant pour chacun les fins du Traitement, les catégories de Données Traitées, et le lieu du Traitement. Amisgest demeure pleinement responsable de la conformité de chaque Sous-traitant autorisé à toutes les obligations d’Amisgest en vertu de la Convention. Tout acte ou omission commis par un Sous-traitant autorisé sera considéré comme un acte ou une omission d’Amisgest. 

2. Diligence. Amisgest effectuera une vérification diligente raisonnable avant de permettre aux Sous-traitants de Traiter les Renseignements personnels au nom du Client. Amisgest conclura des contrats avec chaque Sous-traitant, devant contenir des termes substantiellement similaires ou plus restrictifs à ceux contenus dans la présente Convention, pour assurer la protection des Renseignements personnels. 

6. MESURES DE SÉCURITÉ 

1. Mesures. Amisgest met en œuvre des mesures techniques et organisationnelles commercialement raisonnables pour protéger les Données contre les Incidents de confidentialité, incluant le chiffrement des Données en transit et au repos. Ces mesures doivent être adaptées aux Fins permises, à la nature, à la portée, au contexte et aux finalités recherchées du Traitement, ainsi qu’aux risques que présente le Traitement pour les individus concernés. Le caractère commercialement raisonnable de ces mesures sera évalué en tenant compte de l’état de l’art et du coût de mise en œuvre des mesures. 

2. Accès aux Données. Amisgest s’engage à s’assurer que tout membre de son personnel autorisé à Traiter les Données ait reçu une formation appropriée quant à ses responsabilités, ait fait l’objet d’une vérification de ses antécédents judiciaires complétée de manière satisfaisante eu égard aux Fins permises, et qu’il soit lié par des obligations de confidentialité ayant pour source soit un contrat, soit un devoir légal, préalablement à ce qu’un accès aux Données ne soit fourni au membre. L’accès aux Données ne sera accordé par Amisgest à un membre de son personnel qu’en fonction de son besoin de connaître et suivant le principe du moindre privilège. 

3. Séparation des Données. Amisgest met en œuvre et maintient des mesures de séparation logique des données afin de garantir que les Données demeurent isolées des données d’autres clients. Les Données seront logiquement séparées à l’aide de contrôles d’accès unique, d’un contrôle des accès basé sur les rôles et d’identifiants dédiés. 

4. Contrôles de sécurité. Amisgest s’engage à effectuer des contrôles de sécurité réguliers portant sur les mesures de sécurité mises en œuvre, dans le but d’assurer qu’elles sont appliquées de manière continue et qu’elles maintiennent un niveau de protection adéquat sur les Données. 

7. SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS 

1. Avis – Incident de confidentialité. En cas d’Incident de confidentialité, Amisgest s’engage à informer le Client sans retard injustifié après avoir pris connaissance de l’Incident de confidentialité. Le signalement fourni au Client par Amisgest inclura les informations suivantes: 

1. Une description des Renseignements personnels visés par l’Incident de confidentialité, dans la mesure où cela est connu d’Amisgest; 

2. Une brève description des circonstances de l’Incident de confidentialité; 

3. La date ou la période à laquelle l’Incident de confidentialité a eu lieu ; 

4. Le nombre d’individus concernés par l’Incident de confidentialité ; 

5. Une description des mesures prises ou proposées par Amisgest pour remédier à l’Incident de confidentialité ou en atténuer les dommages potentiels; et 

6. Le nom et les coordonnées du Responsable de la protection des Renseignements personnels d’Amisgest et, le cas échéant, de tout autre point de contact chez Amisgest auprès duquel le Client peut obtenir des informations supplémentaires. 

2. Collaboration. Si ces informations ne sont pas disponibles au moment de la divulgation initiale, Amisgest fera un suivi rapidement dès qu’elles le seront. Les Parties s’engagent à collaborer de bonne foi pour faciliter l’échange entre elles d’informations utiles ou nécessaires à la gestion de l’Incident de confidentialité, raisonnablement demandées dans un délai opportun, notamment pour évaluer la portée de l’Incident de confidentialité, en atténuer les conséquences et permettre que soient transmis, le cas échéant, les avis requis par les Lois sur la vie privée. 

3. Avis au Responsable des renseignements personnels. En cas de Violation de la vie privée, Amisgest s’engage à informer le Responsable de la protection des Renseignements personnels du Client et à lui permettre d’effectuer toute vérification relative à la confidentialité à l’intérieur d’un délai raisonnable. 

8. MINIMISATION DU TRAITEMENT 

1. Ordonnance de conservation. Le Client est responsable de communiquer toute ordonnance de conservation à l’égard des fichiers journaliers, ou autrement, de ses Données. Autrement, Amisgest ne sera pas tenue responsable de la suppression ou de la non-disponibilité des Données après les périodes de conservation déterminées suivant cette Annexe. 

2. Délai de conservation. Les Données seront conservées uniquement pour la durée nécessaire à la poursuite des Fins permises. À l’expiration de cette période, les Données seront supprimées, sauf si une conservation plus longue est requise par la loi, ou par des obligations contractuelles spécifiques, comme la fourniture des Services. 

3. Suppression sécuritaire. Amisgest s’engage à supprimer de manière sécuritaire les Données à la fin de la Durée visée par un Bon de commande, ou à la résiliation de la présente Convention, selon le cas. Amisgest applique également, sous réserve des exigences légales ou réglementaires applicables, les périodes de rétention prévues dans la Documentation, disponibles en ligne à Conservation et suppression des données. 

4. Anonymisation. Amisgest peut anonymiser les Renseignements personnels conformément à la Convention. L’anonymisation doit être faite conformément aux Lois sur la vie privée, de manière qu’il soit raisonnable de prévoir que les renseignements produits ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne concernée.  

5. Calendrier de rétention. Sous réserve des obligations d’Amisgest dans les présentes, le Client détermine des périodes de rétention appropriées selon le type de Données Traitées par la Plateforme et est responsable de prendre les mesures appropriées afin d’assurer la suppression des Données lorsqu’elles ne sont plus nécessaires, ou leur conservation pour la période de rétention obligatoire applicable. Cela s’applique particulièrement si le Client fait usage de la Plateforme pour des tâches de gestion des ressources humaines, incluant la planification des horaires et la gestion des absences, présences, congés ou dossiers d’employés. Dans ce cas, le Client demeure responsable de s’assurer que ces usages soient conformes aux lois applicables en matière de travail et fiscales, incluant dans le cadre de ses configurations. 

9. COLLABORATION ENTRE LES PARTIES 

1. Droits. Chaque Partie s’engage à collaborer avec l’autre Partie pour répondre aux Requêtes conformément aux Lois sur la vie privée. Amisgest s’engage à mettre en place des mesures techniques et organisationnelles raisonnables afin de répondre aux Requêtes. Amisgest informe le Client sans délai indu lors de la réception d’une Requête et collabore avec le Client afin que celui-ci puisse répondre à l’individu concerné. Amisgest se réserve le droit de répondre directement aux Requêtes, lorsqu’approprié, notamment s’il appert que le Client n’ait pas l’intention ou la capacité de répondre à une Requête dans les délais impartis. 

2. EFVP. Si le Client est tenu de réaliser une Évaluation des facteurs relatifs à la vie privée («EFVP») conformément aux Lois sur la vie privée, Amisgest collaborera de bonne foi, notamment en fournissant les informations raisonnablement demandées dans un délai opportun. Toute participation additionnelle sera aux frais du Client. 

3. Audit. Une fois par année calendaire, moyennant un préavis écrit de 30 jours à Amisgest, le Client peut auditer, à ses frais, la conformité d’Amisgest à cette Politique de traitement des données. Cet audit pourra, subséquemment à la mise en place de mesures de protection de la confidentialité destinées à protéger les Renseignements confidentiels d’Amisgest qui soient substantiellement similaires à celles prévues à la Convention, être effectué par le Client ou par un auditeur désigné par le Client, à ses frais. Amisgest fournira les informations et les preuves raisonnables demandées par le Client électroniquement. Si l’audit initial révèle des non-conformités, le Client pourra faire un audit de suivi à l’égard de la remédiation de ces non-conformités durant la même année calendaire. L’audit doit être conçu et effectué de manière à minimiser les perturbations sur les opérations du Amisgest. Dans le cas selon lequel l’audit révèle une non-conformité, Amisgest adoptera un plan de remédiation raisonnable et tiendra le Client raisonnablement informé du progrès des activités détaillées dans le plan. 

4. Amendements. Amisgest peut modifier cette Annexe, notamment afin de se conformer aux Lois sur la vie privée. Le cas échéant, Amisgest s’engage à informer le Client au moins 30 jours avant l’entrée en vigueur des modifications. Durant cette période, le Client aura l’opportunité de présenter des objections raisonnables aux changements. Si les Parties ne sont pas d’accord sur les changements après cette période, chacune des Parties peut mettre fin à la Convention.