Addenda relatif au traitement des données

Date d’entrée en vigueur : 25 mai 2018

Sauf entente écrite à l’effet du contraire, le présent Addenda relatif au traitement de données (« ATD ») fait partie de l’Accord sur les conditions de service (« Accord ») régissant l’utilisation du système de vote en ligne (« Services ») détenu et exploité par Simple Vote Inc. (« Simple Vote ») pour le Traitement de données personnelles, y compris les données personnelles en provenance de l’UE.

Eu égard aux obligations mutuelles énoncées aux présentes, Simple Vote et le Client (collectivement appelés « les Parties ») conviennent par les présentes que les conditions énoncées ci-dessous seront ajoutées sous forme d’addenda à l’Accord afin de régir le traitement par Simple Vote de toute donnée personnelle provenant de l’UE qui est soumise au règlement no 2016/679, dit Règlement général sur la protection des données (« RGPD ») de l’Union européenne (« UE ») et à d’autres lois analogues, qui exigent que certaines obligations en matière de protection et de confidentialité des données soient fixées contractuellement.

Dans la mesure où des conditions énoncées dans d’autres accords entre les Parties, y compris des accords signés après la date du présent ATD, sont en conflit avec les conditions de cet ATD, il est expressément entendu et convenu que les conditions énoncées dans cet ATD s’appliqueront à la place des conditions contraires contenues dans tout autre accord écrit, à moins d’une entente écrite et explicite à l’effet du contraire entre les Parties. En aucun cas les Parties ne s’entendront pour fournir moins de protection aux données personnelles provenant de l’UE que ce qu’exigent les lois, réglementations, directives, règles, normes et cadres en vigueur.

  1. Période effective. Le présent ATD prend effet le 25 mai 2018 et demeurera en vigueur aussi longtemps que Simple Vote et tout Sous-traitant auquel Simple Vote a divulgué des Données personnelles en provenance de l’UE conservent de telles Données reçues de la part du Client.
  2. Définitions.
    1. Aux fins de cet ATD, les termes suivants se définissent comme suit :
      1. Contrôleur : la personne physique ou morale, l’autorité publique, l’agence ou toute autre entité qui, seule ou conjointement avec d’autres, détermine les objectifs et les moyens du Traitement des données personnelles.
      2. Client : la personne morale ou physique qui a accepté l’Accord de Simple Vote, lequel comprend cet ATD.
      3. Analyse d’impact relative à la protection des données (« AIPD ») : un processus conçu pour permettre la description du Traitement, évaluer la nécessité et la proportionnalité du Traitement et aider à gérer les risques pour les droits et libertés de personnes physiques résultant du Traitement de données personnelles (en évaluant ces risques et en déterminant les mesures permettant de les aborder).
      4. Personne concernée : une personne physique identifiée ou identifiable et dont les données personnelles sont en train d’être traitées.
      5. Données personnelles provenant de l’UE : toute information liée à une personne physique identifiée ou identifiable située dans l’UE.
      6. Données personnelles : toute information liée à une personne physique identifiée ou identifiable (« Personne concernée »); une personne physique identifiable est une personne susceptible d’être identifiée, que ce soit directement ou indirectement, tout particulièrement en référence à un identifiant tel qu’un nom, un numéro d’identification, des données relatives au lieu, un identifiant en ligne, ou à un ou plusieurs facteurs liés spécifiquement à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
      7. Violation de Données à caractère personnel : une violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée, que ce soit accidentellement ou illégalement, de Données personnelles transmises, stockées ou traitées d’une autre manière, y compris tout accès fortuit ou illégal à ces Données.
      8. Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à caractère personnel ou à des ensembles de Données à caractère personnel, tels la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
      9. Responsable du traitement : toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite les Données à caractère personnel pour le compte du Contrôleur.
      10. Sous-traitant : un Sous-traitant qui aide au traitement de Données à caractère personnel pour le compte d’un Responsable du traitement.
    2. Les termes liés à la protection des données et portant la majuscule qui ne sont pas définis dans cet ATD auront la signification qui leur est attribuée dans le RGPD.
  3. Respect de la protection des Données à caractère personnel provenant de l’UE.
    1. Obligations générales des Parties en matière de conformité. Concernant les services visés par l’Accord et par cet ATD, Simple Vote et le Client se conformeront à toutes les dispositions applicables du RGPD à partir du 25 mai 2018, ainsi qu’à toutes les lois et réglementations applicables des États membres.
    2. Détails concernant le Traitement. Conformément à l’article 28 du RGPD, les détails concernant le Traitement couvert par l’Accord et par cet ATD sont présentés dans l’annexe (« Annexe : détails relatifs au Traitement des données ») de cet ATD.
    3. Obligations du Client et autorisation de Traitement.
      1. Les Parties conviennent que le Client est le Contrôleur et que Simple Vote est le Responsable du traitement. Le Client est et demeurera responsable de se conformer à toutes les exigences imposées aux Contrôleurs, y compris, mais sans s’y restreindre, en ce qui a trait à la confirmation du bien-fondé juridique de toute activité de traitement menée par Simple Vote pour le compte du Client, et à l’obtention du consentement des personnes concernées, lorsque nécessaire.
      2. Le Client autorise Simple Vote à collecter et à traiter les Données à caractère personnel provenant de l’UE nécessaires pour effectuer les Services pour lesquels le Client a conclu un contrat avec Simple Vote dans le cadre de l’Accord.
      3. Le Client accepte de limiter les Données à caractère personnel provenant de l’UE qu’il transfère à Simple Vote, ou auxquelles Simple Vote a autrement accès à des fins de traitement, aux seules Données à caractère personnel provenant de l’UE dont Simple Vote a besoin pour remplir ses obligations en vertu de l’Accord.
      4. Le Client autorise le transfert, le traitement et le stockage de Données à caractère personnel provenant de l’UE à l’extérieur de l’Espace économique européen (EEE) qui sont nécessaires aux fins des Services.
      5. Le Client accorde une autorisation générale à Simple Vote pour permettre l’embauche ou le remplacement de Sous-traitants pour accomplir une partie des Services, à condition que Simple Vote respecte toutes les exigences prévues par le RGPD en ce qui a trait à la désignation de Sous-traitants.
      6. Le Client consent par les présentes à l’embauche de Sous-traitants en lien avec le traitement des Données à caractère personnel. Sur présentation d’une demande écrite, Simple Vote mettra une liste de Sous-traitants à la disposition du Client. Le Client peut s’objecter raisonnablement à la présence de tout nouveau Sous-traitant, dans quel cas Simple Vote déploiera tous les efforts raisonnables pour modifier les Services ou recommander un changement raisonnable sur le plan commercial afin d’éviter que le traitement soit confié au Sous-traitant en question. Si Simple Vote n’est pas en mesure d’offrir une solution de rechange, le Client pourra annuler les services concernés. Simple Vote conclura avec chaque Sous-traitant des accords écrits contenant des dispositions raisonnables s’appliquant à la mise en œuvre de mesures techniques et organisationnelles conformes au RGPD. Simple Vote demeurera responsable des actes et des omissions de ses Sous-traitants en lien avec la prestation des Services.
    4. Obligations de Simple Vote en matière de protection des Données à caractère personnel en provenance de l’UE.
      1. Le Traitement par Simple Vote de Données à caractère personnel en provenance de l’UE pour le compte du Client sera mené conformément aux instructions documentées reçues de la part du Client. Simple Vote informera le Client dans les meilleurs délais si, de l’avis de Simple Vote, une instruction du Client enfreint le RGPD ou les dispositions d’autres États membres en matière de protection des données.
      2. Simple Vote accordera des droits d’accès aux Données à caractère personnel en provenance de l’UE aux seuls associés qui se sont engagés à respecter la confidentialité.
      3. Simple Vote a mis en œuvre des mesures techniques et organisationnelles appropriées, conformément à l’article 32 du RGPD.
      4. Simple Vote respectera les exigences énoncées dans le RGPD relativement à la désignation de Sous-traitants.
      5. Simple Vote a mis en œuvre des mesures pour aider le Client à répondre à des demandes de la part de personnes concernées qui souhaitent exercer leur droit d’accès aux données les concernant.
      6. Si Simple Vote constate une violation de Données à caractère personnel concernant des Données personnelles en provenance de l’UE reçues de la part du Client ou collectées en son nom, elle en avisera le Client sans délai.
      7. Simple Vote aidera le Client à se conformer à ses obligations en vertu du RGPD relativement aux Services qui concernent la sécurité du Traitement, la notification d’une violation de Données à caractère personnel en provenance de l’UE, les Évaluations d’impact sur la protection des données (EIPD) et les consultations antérieures.
      8. En fonction du choix confirmé par le Client, Simple Vote peut, après la fin de la prestation de Services, soit supprimer, soit retourner au Client toutes les Données à caractère personnel en provenance de l’UE qui le concernent, sauf si les lois de l’UE ou celles d’un État membre exigent le stockage des Données à caractère personnel en provenance de l’UE.
      9. Sur présentation d’une demande écrite, Simple Vote fournira au Client les renseignements nécessaires pour démontrer sa conformité aux obligations de l’article 28 du RGPD. Le Client ou un autre vérificateur choisi par le Client peuvent mener des vérifications, y compris des inspections, auxquelles Simple Vote contribuera également.
  4. Droit de résiliation de l’Accord. En cas de violation de cet ATD par le Client, Simple Vote se réserve le droit de résilier les Services et l’Accord sans pénalité pour Simple Vote, sur présentation d’un avis écrit au Client.
  5. Indemnisation. Le Client s’engage à indemniser pleinement, à dégager de toute responsabilité et à défendre Simple Vote, ses affiliés ainsi que leurs dirigeants, administrateurs, employés, agents et contractants respectifs (collectivement appelés « Parties indemnisées ») contre toute réclamation, demande, action, poursuite, dommage, responsabilité, perte, règlement, jugement, enquête réglementaire, mesure d’exécution, pénalité administrative, frais, pénalité, coût et dépense (y compris, sans s’y limiter, les honoraires d’avocats et les frais engagés, dans les limites raisonnables) (chacune constituant une « Réclamation ») encourues par l’une de ces Parties à la suite d’une violation par le Client ou ses employés, représentants, agents ou contractants des obligations du Client énoncées dans cet ATD; une violation des Données à caractère personnel causée par tout acte, omission ou négligence du Client ou de ses employés, représentants, agents ou contractants; ou la violation par le Client ou ses employés, représentants, agents ou contractants du RGPD ou de toute autre loi, réglementation, directive, règlement, norme ou cadre applicables en matière de protection des données ou de la confidentialité, incluant, sans s’y limiter, une atteinte aux droits d’une personne concernée et les violations liées à l’utilisation des produits et/ou services de Simple Vote. Simple Vote se réserve le droit d’assurer la défense exclusive et le contrôle de toute question passible d’une indemnisation de la part du Client, et, dans un tel cas, le Client consent à participer avec Simple Vote à la défense d’une telle Réclamation.
  6. Dissociabilité. Si une disposition de cet ATD s’avère invalide ou inapplicable, dans quelque mesure que ce soit, toutes les autres dispositions de cet ATD resteront pleinement en vigueur. Dans les limites permises et possibles, la disposition invalide et inapplicable sera considérée comme étant remplacée par une condition valide et applicable et qui exprime le mieux l’intention de la condition invalide ou inapplicable en question. Dans la mesure où ce qui précède n’est pas autorisé ou possible, alors l’ATD sera interprété comme si la disposition invalide ou inapplicable ne faisait pas partie de l’ATD.
  7. Les droits ou les recours que peut exercer Simple Vote sont illimités. Rien dans cet ATD ne limitera les droits ou les recours dont Simple Vote peut se prévaloir en vertu de l’Accord ou en justice.
  8. Lois applicables/compétence. Les Parties au présent ATD acceptent le choix de la compétence fixé dans cet Accord pour régler tout litige ou toute réclamation découlant de cet ATD. Les Parties précisent en outre que tout litige concernant l’élaboration et l’interprétation de cet ATD et/ou les obligations des Parties en vertu de cet ATD sera traité conformément aux dispositions pertinentes de l’Accord qui régissent les litiges ou les réclamations.

Annexe : détails relatifs au Traitement des données

Objet :

L’objet du traitement de données visé par cet ATD est la prestation des Services ainsi que tout soutien technique connexe offert au Client.

Durée du Traitement :

Les Données à caractère personnel seront traitées pendant toute la durée de l’Accord et conformément aux conditions de celui-ci, sauf si les lois applicables en disposent autrement.

Nature et objectif du Traitement :

Simple Vote procédera au Traitement des Données à caractère personnel en utilisant les moyens nécessaires à la prestation des Services conformément à l’Accord, tel que précisé également dans la documentation des Services, et selon toute autre instruction du Client quant à son utilisation des Services.

Catégories de personnes concernées :

Le Client peut fournir des Données à caractère personnel aux Services. L’étendue des données fournies est déterminée et contrôlée par le Client à sa seule discrétion. Ces données peuvent comprendre, sans s’y limiter, des Données à caractère personnel liées aux catégories de personnes concernées suivantes :

  • Utilisateurs du Client
  • Membres du Client
  • Employés du Client
  • Étudiants du Client
  • Affiliés du Client
  • Résidants du Client
  • Partenaires du Client
  • Actionnaires du Client
  • Clients du Client
  • Participants du Client

Catégories de Données à caractère personnel :

  • Coordonnées (c.-à-d., nom, adresse courriel, adresse postale, nom de l’organisation, numéro de téléphone cellulaire)
  • Information électorale (c.-à-d., identité, mot de passe, segment de vote, poids du vote)
  • Information sur l’usage (c.-à-d., adresse IP, type de navigateur, activité de navigation, votes)