Cet Addendum sur le traitement des données (DPA) fait partie des Termes et conditions ou d'un autre accord pour les services entre Protection Ordinateur AS (le Processeur) et le client identifié dans la commande ou le cahier des charges applicable (le Contrôleur). Il reflète les obligations des parties en vertu des lois applicables sur la protection des données (y compris la Loi 25 du Québec, la LPRPDE du Canada et, le cas échéant, le RGPD).
1. Portée & Rôles
Le Processeur traitera les Données Personnelles pour le compte du Contrôleur uniquement pour fournir les services contractés (par ex., informatique gérée, sécurité des terminaux, sauvegarde & reprise, administration Microsoft 365, réseautage, assistance technique). Le Contrôleur détermine les finalités et les moyens du traitement ; le Processeur agit selon les instructions documentées du Contrôleur.
2. Définitions
Données Personnelles : toute information concernant une personne physique identifiée ou identifiable.
Traitement : toute opération effectuée sur les Données Personnelles (par ex., collecte, stockage, utilisation, divulgation, suppression).
Contrôleur : l'entité qui détermine les finalités et les moyens du traitement.
Processeur : l'entité qui traite les Données Personnelles pour le compte du Contrôleur.
Sous-traitant : un tiers engagé par le Processeur pour traiter les Données Personnelles.
Loi Applicable : les lois sur la protection des données applicables aux parties, y compris la Loi 25 du Québec, la LPRPDE et, le cas échéant, le RGPD.
3. Détails du traitement
La nature, la finalité, les catégories de Personnes Concernées et de Données Personnelles, ainsi que la rétention, sont décrites dans l'Annexe I. Le traitement se poursuit pour la durée des services plus les périodes de rétention applicables.
4. Obligations du Processeur
Instructions documentées. Le Processeur traitera les Données Personnelles uniquement selon les instructions écrites du Contrôleur, y compris en ce qui concerne les transferts vers un pays tiers, sauf si requis par la loi (dans ce cas, le Processeur informera le Contrôleur sauf si interdit).
Confidentialité. Le Processeur s'assure que le personnel est tenu à la confidentialité et reçoit une formation sur la vie privée/sécurité adaptée à leurs rôles.
Assistance. Le Processeur aide le Contrôleur avec la sécurité, les notifications de violation, les DPIA et les consultations avec les autorités, en tenant compte de la nature du traitement et des informations disponibles pour le Processeur.
Registres. Le Processeur tient des registres du traitement comme requis par la Loi Applicable.
Usages interdits. Le Processeur ne vendra pas les Données Personnelles ni ne les utilisera pour de la publicité/marketing non lié aux services.
5. Mesures de sécurité
Le Processeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé, comme décrit dans l'Annexe II.
6. Sous-traitants
Le Contrôleur autorise le Processeur à utiliser des Sous-traitants pour la prestation de services, sous réserve d'accords écrits imposant des protections au moins aussi strictes que ce DPA.
Le Processeur fournira au Contrôleur une liste actuelle des Sous-traitants principaux sur demande et informera le Contrôleur à l'avance des changements significatifs. Le Contrôleur peut raisonnablement s'opposer à un nouveau Sous-traitant pour des raisons de confidentialité/sécurité ; les parties travailleront de bonne foi pour résoudre les objections.
Le Processeur reste responsable des obligations des Sous-traitants.
7. Demandes des personnes concernées
Lorsque requis par la loi, le Processeur informera le Contrôleur sans délai indu des demandes reçues directement des Personnes Concernées (par ex., accès, correction, suppression) et ne répondra pas sauf selon les instructions documentées du Contrôleur. Le Processeur fournira une assistance raisonnable pour que le Contrôleur puisse répondre dans les délais légaux.
8. Notification de violation
En cas de découverte d'une violation des Données Personnelles dans l'environnement du Processeur affectant les Données Personnelles du Contrôleur, le Processeur informera le Contrôleur sans délai indu et au plus tard 72 heures après confirmation. La notification inclura les détails connus sur la nature de la violation, les catégories/nombre approximatif de Personnes Concernées et d'enregistrements concernés, les conséquences probables, les mesures prises et un point de contact. Le Processeur prendra rapidement des mesures correctives appropriées et coopérera avec les demandes raisonnables du Contrôleur.
9. Audits & Rapports
Sur demande, le Processeur mettra à disposition les informations nécessaires pour démontrer la conformité (par ex., résumés de sécurité, extraits de politiques, certifications tierces ou résultats de tests si disponibles).
Le Contrôleur peut effectuer un audit pas plus d'une fois tous les 12 mois (sauf si requis par une autorité de contrôle ou après un incident significatif), avec un préavis de 30 jours, pendant les heures ouvrables, sous confidentialité et sans perturbation déraisonnable. Chaque partie supporte ses propres coûts ; le Processeur peut facturer des frais raisonnables pour un soutien au-delà de l'assistance standard.
Le Processeur corrigera les constatations significatives dans des délais raisonnables.
10. Transferts internationaux
Les Données Personnelles peuvent être traitées à l'extérieur de la province ou du pays où elles ont été collectées. Lorsque requis, les transferts reposeront sur des garanties appropriées (par ex., Clauses Contractuelles Types (EU 2021/914), protections contractuelles ou autres mécanismes reconnus par la Loi Applicable). Sur demande, le Processeur identifiera le mécanisme de transfert utilisé pour le traitement concerné.
11. Retour & Suppression
À la fin des services ou sur demande écrite, le Processeur retournera les Données Personnelles au Contrôleur dans un format couramment utilisé et/ou supprimera celles-ci, sauf si la rétention est requise par la loi.
Les sauvegardes de routine contenant des Données Personnelles seront écrasées selon les calendriers de rétention ; le Processeur complétera les suppressions associées dans un délai de jusqu'à 90 jours, sauf si une période plus longue est requise par des contraintes système ou la loi.
Sur demande, le Processeur fournira une confirmation de suppression.
12. Priorité, Responsabilité & Divers
Priorité. En cas de conflit entre ce DPA et l'accord sous-jacent concernant la protection des données, ce DPA prévaut.
Responsabilité. Les dispositions de responsabilité de l'accord sous-jacent s'appliquent ; toutefois, rien dans ce DPA ne limite la responsabilité pour inconduite intentionnelle ou violation intentionnelle de la Loi Applicable.
Loi applicable & Juridiction. Comme indiqué dans l'accord sous-jacent (généralement les lois du Québec et les lois fédérales applicables du Canada).
Mises à jour. Le Processeur peut mettre à jour ce DPA pour refléter les changements légaux ou améliorer les garanties ; les changements significatifs seront communiqués au Contrôleur.
Annexe I – Description du traitement
Contrôleur
Votre organisation telle qu'identifiée dans la commande/SOW.
Processeur
Protection Ordinateur AS, Québec, QC.
Finalité
Prestation d'informatique gérée, sécurité des terminaux (EDR), sauvegarde & reprise après sinistre, administration Microsoft 365, réseautage, surveillance et assistance technique.
Catégories de Personnes Concernées
Employés, contractants, administrateurs du Contrôleur ; dans des cas limités, clients/fournisseurs du Contrôleur présents dans les systèmes sous gestion.
Catégories de Données Personnelles
Données d'identification (nom, courriel, téléphone), identifiants de compte, identifiants d'appareil, contenu des tickets, télémétrie/journaux, données de configuration, coordonnées professionnelles limitées. Les catégories spéciales ne sont pas destinées à être traitées.
Pendant la durée du service plus la rétention opérationnelle/légale (par ex., tickets/journaux selon la politique ; sauvegardes selon les calendriers de rétention convenus dans la Commande).
Lieu du traitement
Canada et autres juridictions où opèrent les Sous-traitants autorisés, sous réserve des garanties de transfert.
Annexe II – Mesures techniques & organisationnelles
Contrôle d'accès : accès basé sur les rôles, moindre privilège, MFA pour l'accès admin, comptes uniques, délais d'expiration de session.
Gestion des actifs & Correctifs : inventaire des appareils gérés ; application régulière de correctifs pour OS/applications/firmware ; remediation des vulnérabilités.
Chiffrement : TLS pour les données en transit ; chiffrement au repos pour les plateformes et cibles de stockage prises en charge.
Sécurité réseau : pare-feu/IDS/IPS le cas échéant ; segmentation ; accès à distance sécurisé ; journalisation.
Sauvegarde & Reprise : sauvegardes planifiées avec rétention ; copies immuables/hors site lorsque contractées ; tests de restauration périodiques.
Surveillance & Journalisation : santé des points finaux/agents, alertes, journaux d'audit pour les actions privilégiées ; synchronisation horaire.
Changement & Configuration : changements documentés, configurations standard sécurisées, revue des accès.
Sécurité du personnel : accords de confidentialité ; vérification des antécédents selon le rôle ; formation à la sécurité et à la vie privée.
Réponse aux incidents : guides d'exécution, procédures d'escalade, examens post-incident et actions correctives.
Sécurité physique : contrôles des centres de données via les fournisseurs ; contrôles des locaux du Processeur.
Gestion des fournisseurs : diligence raisonnable des Sous-traitants ; DPA contractuels ; revue périodique.
Annexe III – Sous-traitants autorisés (principaux)
Canada/Est ; États-Unis ; UE (selon configuration)
Fournisseur d'outil de soutien à distance
Assistance à distance sécurisée (par ex., QuickSupport)
Canada/États-Unis/UE (selon fournisseur)
Fournisseur de stockage de sauvegarde
Stockage d'objets immuable/hors site et dépôts
Canada/Est ; autres régions selon contrat
Plateforme de sécurité/EDR
Détection & réponse aux menaces des points finaux
Canada/États-Unis/UE (selon fournisseur)
Note : La liste spécifique des fournisseurs peut varier selon la pile du Contrôleur. Une liste actuelle peut être fournie sur demande et mise à jour avec notification selon la Section 6.
Avertissement : Ce modèle de DPA est fourni pour des raisons de clarté opérationnelle et ne constitue pas un conseil juridique. Les Contrôleurs doivent le revoir avec leur conseiller juridique.
