ATD - Wazotechnology

ACCORD DE TRAITEMENT DE DONNÉES

Cet Accord de traitement de données (« ATD ») est un accord contraignant entre l’administrateur immobilier numérique Wazo Inc. (« Wazo ») et l’Utilisateur. Cet accord régit le Traitement des Renseignements personnels d’un Individu. Ce ATD est complémentaire aux Conditions d’utilisation de Wazo (« Conditions »), auxquelles il est joint.

1. DÉFINITIONS

Lorsqu’ils sont utilisés dans ce ATD, les termes et expressions en majuscules ont la signification correspondante qui leur est attribuée par le ATD et les termes en majuscules utilisés dans ce ATD, mais non définis dans le ATD, ont le sens indiqué dans les Conditions:

1.1 « Violation » signifie une violation de la sécurité menant à la destruction accidentelle ou illégale, à la perte, à l’altération, à la divulgation non autorisée ou à l’accès aux Renseignements personnels transmis, stockés ou autrement traités;

1.2 « Responsable du traitement » désigne l’Utilisateur, ou toute autre personne physique ou morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Renseignements personnels;

1.3 « Lois sur la protection des données et la vie privée » désigne tous les lois, textes, réglementations, ordonnances, politiques réglementaires applicables concernant la confidentialité des données, la sécurité des données et/ou la protection des Renseignements personnels;

1.4 « Renseignements personnels » désigne toute information relative à une personne physique identifiée ou identifiable (« Individu »); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques au physique, au physiologique, à l’identité génétique, mentale, économique, culturelle ou sociale de cette personne physique;

1.5 « Traitement » désigne toute opération ou ensemble d’opérations effectué sur des Renseignements Personnels ou sur des ensembles de Renseignements Personnels, que ce soit par des moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction;

1.6 « Sous-traitant » désigne Wazo, ou toute autre personne physique ou morale, autorité publique, agence ou autre organisme qui traite les Renseignements personnels au nom du Responsable du traitement;

1.7 « Pseudonymisation » signifie le Traitement des Renseignements personnels de telle manière que les Renseignements personnels ne peuvent plus être attribués à un Individu spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles pour s’assurer que les Renseignements personnels ne sont pas attribués à une personne physique identifiée ou identifiable;

1.8 « Service » désigne les services fournis par Wazo tels que définis dans les Conditions.

1.9 « Utilisateur » désigne la personne physique ou la société utilisant les services de Wazo tels que définis dans les Conditions.

2. RECONNAISSANCES ET ACCORDS MUTUELS.

Les parties reconnaissent et acceptent les termes énoncés dans la présente Section 2 en ce qui concerne chacun des éléments suivants:

2.1. Wazo comme sous-traitant. Wazo traite les Renseignements personnels au nom de l’Utilisateur, qui agit en tant que Responsable du traitement en déterminant, seul ou conjointement avec d’autres, les objectifs et les moyens du Traitement de ces Renseignements personnels.

2.2. Contrat régissant l’exécution du Traitement. L’exécution du Traitement par le Sous-traitant est régi par le présent ATD qui définit l’objet et la durée du Traitement, la nature et le but du Traitement, le type de Renseignements personnels et les catégories d’Individus ainsi que les obligations et droits de l’Utilisateur en tant que Responsable du traitement, et inclut certaines conditions spécifiques conçues pour garantir que le Traitement effectué par le Sous-traitant respecte toutes les exigences des lois sur la protection de la vie privée, le cas échéant.

2.3. Loi applicable. Ce ATD est régi et fait sous les lois et règlements de la province de Québec, Canada.

2.4. Conflit avec les Conditions. En cas d’incohérence entre les dispositions de ce ATD et celles des Conditions, ce ATD prévaudra.

2.5. Durée. La durée du Traitement par le Sous-traitant au nom du Responsable du traitement correspondra à la durée du droit de l’Utilisateur d’utiliser le Service et jusqu’à ce que tous les Renseignements personnels dont l’Utilisateur est le seul Responsable du traitement soient supprimés ou retournés conformément aux instructions du Responsable du traitement ou conformément aux Conditions.

2.6. Nature et But. La nature et le but du Traitement sont de fournir le Service au Responsable du traitement conformément aux Conditions et à toute autre documentation fournie par Wazo à l’Utilisateur.

2.7. Type de Renseignements personnels. Les types de Renseignements personnels traités par le Service comprennent ceux relatifs aux :

  • Coordonnées (nom, adresse, numéro de téléphone, adresse e-mail);
  • Détails de facturation;
  • Informations comptables;
  • Informations relatives aux immeubles.

2.8. Catégories d’Individus. Le Traitement des Renseignements personnels par le Sous-traitant au nom du Responsable du traitement concerne les catégories d’individus suivantes:

  • Tout Individu qui utilise le Service;
  • Tout Individu pouvant être lié à des immeubles; et
  • Le Responsable du traitement, ou toute personne agissant en son nom

3. OBLIGATIONS ET RESPONSABILITÉS DU RESPONSABLE DU TRAITEMENT

3.1. En conformité avec les Lois sur la protection des données et la vie privée. Le Responsable du traitement doit, dans son utilisation du Service, traiter les Renseignements personnels et fournir des instructions pour le Traitement des Renseignements personnels, conformément aux exigences de toutes les Lois applicables en matière de Protection des données et de la vie privée.

3.2. Exactitude, qualité, légalité et ressources Le Responsable du traitement est le seul responsable de l’exactitude, de la qualité et de la légalité des Renseignements personnels et des moyens par lesquels le Responsable du traitement a acquis les Renseignements personnels.

3.3. Détermination indépendante. Le Responsable du traitement est le seul responsable de la détermination, de manière indépendante, si les mesures techniques et organisationnelles du Service répondent aux exigences du Responsable du traitement (y compris les obligations de sécurité en vertu des lois et réglementations applicables en matière de protection des données et de la vie privée, le cas échéant).

3.4. Pratiques et politiques de sécurité. Le Responsable du traitement reconnaît et accepte que, compte tenu de l’état de la technologie, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du Traitement de ses Renseignements personnels ainsi que des risques pour les Individus, les pratiques et politiques de sécurité mises en œuvre et maintenues par le Sous-traitant fournissent un niveau de sécurité approprié au risque en ce qui concerne les Renseignements personnels dont l’Utilisateur est le Responsable du traitement.

3.5. Protections de la vie privée et mesures de sécurité. Le Responsable du traitement est responsable de la mise en œuvre et du maintien des protections de la confidentialité et des mesures de sécurité pour les composants que le Responsable du traitement fournit ou contrôle, le cas échéant.

3.6. Indemnisation pour violation des droits individuels. Si un Individu dépose une réclamation directement contre le Sous-traitant pour une violation de ses droits individuels, le Responsable du traitement indemnisera le Sous-traitant pour tout dommage causé au Sous-traitant par une telle réclamation, dans la mesure où le Sous-traitant a informé le Responsable du traitement de la réclamation et donné au Responsable du traitement la possibilité de coopérer avec le Sous-traitant dans la défense et le règlement de la réclamation.

4. OBLIGATIONS ET RESPONSABILITÉS DU SOUS-TRAITANT

4.1. Instructions documentées. Le Sous-traitant traitera les Renseignements personnels uniquement de la manière décrite dans les Conditions, y compris en ce qui concerne les transferts de Renseignements personnels vers un pays tiers, à moins que cela ne soit requis par une loi à laquelle le Sous-traitant est soumis; dans un tel cas, le Sous-traitant informera le Responsable du traitement de cette exigence légale avant le Traitement, à moins que cette loi n’interdise de telles informations pour des raisons importantes d’intérêt public.

4.2. Confidentialité. Le Sous-traitant s’assurera que les personnes autorisées à traiter les Renseignements personnels se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

4.3. Sécurité. Compte tenu de l’état de la technologie, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du Traitement ainsi que du risque variable de la probabilité et de la gravité pour les droits et libertés des Individus, le Sous-traitant mettra en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant:

4.3.1. la Pseudonymisation et le cryptage des Renseignements personnels;

4.3.2. la capacité à garantir, en continu, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de Traitement;

4.3.3. la capacité de restaurer la disponibilité et l’accès aux Renseignements personnels dans un délai convenable en cas d’incident physique ou technique;

4.3.4. un processus pour tester, vérifier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement; et

4.3.5. des mesures pour s’assurer que toute personne agissant sous l’autorité du Sous-traitant qui a accès aux Renseignements personnels ne les traite pas sauf sur les instructions du Responsable du traitement, à moins qu’il ou elle ne soit obligé de le faire par la loi.

4.4. Engager un autre Sous-traitant. Ce paragraphe 4.4 constitue une autorisation générale préalablement écrite du Responsable du traitement permettant au Sous-traitant de recruter tout autre sous-traitant. Le Sous-traitant respectera les conditions suivantes pour engager un autre sous-traitant, à savoir que:

4.4.1. Le Sous-traitant informera le Responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants; et

4.4.2. lorsque le Sous-traitant engage un autre sous-traitant pour effectuer des activités de Traitement spécifiques pour le compte du Responsable du traitement, les mêmes obligations de protection des données que celles énoncées dans le présent Addenda entre le Responsable du traitement et le Sous-traitant seront imposées à cet autre sous-traitant, en fournissant en particulier des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées, de manière à ce que le Traitement satisfasse aux exigences des lois et règlements relatifs à ce Traitement.

4.5. Demandes d’exercice des droits individuels. En tenant compte de la nature du Traitement, le Sous-traitant assistera, autant que possible, le Responsable du traitement avec des mesures techniques et organisationnelles appropriées pour respecter l’obligation du Responsable du traitement de répondre aux demandes d’exercice des droits accordés aux Individus par les lois applicables, qui peuvent comprendre:

  • La transparence de l’information, de la communication et des modalités d’exercice des droits de l’Individu;
  • Les informations à fournir lorsque les Renseignements personnels sont collectés auprès de l’Individu;
  • Les informations à fournir lorsque les Renseignements personnels n’ont pas été obtenus de l’Individu;
  • L’accès par l’Individu;
  • La rectification;
  • L’effacement (« droit à l’oubli »);
  • La restriction du Traitement;
  • L’obligation de notification concernant la rectification ou l’effacement des Renseignements personnels ou la restriction du Traitement;
  • La portabilité des données;
  • Le droit de se retirer des ventes;
  • Le droit contre la discrimination;
  • Le droit d’opposition; et
  • Le droit de ne pas faire l’objet d’une décision basée uniquement sur un Traitement automatisé.

Le Sous-traitant mettra à la disposition du Responsable du traitement (d’une manière compatible avec la fonctionnalité du Service et le rôle de Wazo en tant que sous-traitant) les Renseignements personnels des Individus et la capacité de répondre aux demandes des Individus d’exercer leurs droits. Si le Sous-traitant reçoit une demande d’un Individu pour exercer un ou plusieurs de ses droits en relation avec le Service, le Sous-traitant redirigera l’Individu pour qu’il fasse sa demande directement au Responsable du traitement. Le Responsable du traitement sera responsable de répondre à une telle demande, y compris, si nécessaire, en utilisant la fonctionnalité du Service.

4.6. Assistance du Responsable du traitement. Compte tenu de la nature du Traitement et des informations disponibles, le Sous-traitant aidera le Responsable du traitement à garantir le respect des Lois applicables en matière de Protection des données et de la vie privée, qui peuvent concerner:

  • La sécurité du traitement;
  • La notification d’une Violation à un commissaire à la protection de la vie privée ou à une autre autorité réglementaire compétente;
  • La communication d’une Violation à l’Individu;
  • L’analyse de l’impact sur la protection des données; et
  • La consultation avec une autorité réglementaire compétente avant le Traitement lorsqu’une analyse de l’impact sur la protection des données indique que le Traitement entraînerait un risque élevé en l’absence de mesures prises par le Responsable du traitement pour atténuer le risque.

4.7.  Violation. Le Sous-traitant informera le Responsable du traitement dans les meilleurs délais après avoir pris connaissance d’une Violation. Une telle notification permettra au moins de :

  • décrire la nature de la Violation, y compris, si possible, les catégories et le nombre approximatif d’Individus concernés ainsi que les catégories et le nombre approximatif de dossiers de Renseignements personnels concernés;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact auprès duquel des informations complémentaires peuvent être obtenues;
  • décrire les conséquences probables et / ou les risques de la Violation; et
  • décrire les mesures prises ou proposées par le Sous-traitant pour remédier à la Violation et protéger les Renseignements personnels, y compris, le cas échéant, les mesures pour inverser ou atténuer ses possibles effets négatifs.

Lorsque, et dans la mesure où, il n’est pas possible de fournir les informations en même temps, les informations peuvent être fournies par étapes sans autre retard supplémentaire injustifié.

4.8. Suppression ou retour de tous les Renseignements personnels. Le Sous-traitant, au choix du Responsable du traitement, supprimera ou restituera tous les Renseignements personnels au Responsable du traitement après la fin de la prestation de services liés au Traitement, et supprimera les copies existantes, à moins que les lois ou réglementations applicables n’exigent le stockage des Renseignements personnels;

4.8.1. Informations pour démontrer la conformité. Le Sous-traitant mettra à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité aux Lois sur la protection des renseignements personnels et la vie privée et permettre et contribuer aux audits, y compris les inspections, menés par le Responsable du traitement ou un autre auditeur mandaté par le Responsable du traitement.

4.9. Politique de confidentialité. La Politique de confidentialité s’applique uniquement au Service et ne s’applique à aucun site Web ou service tiers lié au Service ou recommandé ou référencé via le Service ou par le personnel du Sous-traitant ou un Utilisateur.

4.10. Données agrégées et anonymisées. Nonobstant les dispositions de cet ATD, le Sous-traitant peut utiliser, reproduire, vendre, publier ou exploiter de quelque manière que ce soit les données agrégées et anonymisées, à sa seule discrétion.