EXIGENCES EN MATIÈRE DE SÉCURITÉ DES DONNÉES DE L’ENTREPRISE ET DES RENSEIGNEMENTS PERSONNELS

Ces exigences s’appliquent à tous les fournisseurs, sous-traitants, consultants, partenaires de consortium ou de coentreprise (« Entité contractante ») qui conclut une entente avec le Groupe CIMA+ inc. ou une de ses sociétés affiliées (« Entreprise »). Ces exigences s’appliquent à la cueillette, à l’utilisation, à la divulgation, au stockage et à tout autre type de traitement (collectivement « Traitement ») des données de l’entreprise et des renseignements personnels, définies ci-dessous, fournie à l’entité contractante (collectivement « Données de l’entreprise et renseignements personnels ») pour lui permettre de livrer les services ou d’effectuer les travaux (« Services ») pour le compte de ou de concert avec l’entreprise à la suite de la conclusion d’une entente entre les parties (« Entente »). Ces exigences peuvent être mises à jour de temps à autre pour s’assurer que l’entreprise se conforme aux lois applicables et aux pratiques exemplaires de l’industrie en matière de protection des données de l’entreprise et des renseignements personnels.

Définitions :

« Information personnelle » fait référence à toute l’information qui sert à identifier, évoque, décrit ou peut, isolément ou en combinaison avec d’autres données, être associée à une personne en particulier, incluant sans s’y limiter, son nom, sa signature, son numéro d’assurance sociale, ses caractéristiques physiques, ses données, son adresse, son numéro de téléphone, son numéro de passeport, le numéro de son permis de conduire ou le numéro sur une pièce d’identité émise par les instances gouvernementales, le numéro de sa police d’assurance, son information médicale ou d’assurance-maladie, sa scolarité, son statut et ses détails d’emploi, le numéro de son compte de banque, de sa carte de crédit ou de débit, ou toute autre information financière.

« Données de l’entreprise » fait référence aux données, au matériel, aux travaux, expressions ou autres contenus, (i) divulgués ou rendus disponibles par d’autres moyens par leur propriétaire relativement à cette entente ; (ii) recueillis, téléchargés ou obtenus par l’ingénieur par d’autres moyens à la suite de cette entente ; et (iii) incluent tous les extrants, copies, reproductions, modifications, et tous autres ouvrages dérivés de, fondés sur ou utilisant les données de l’entreprise.

« Systèmes » fait référence à tout ordinateur, réseau et dispositif de stockage TI, application, appareil, mobile, équipement, logiciel et autre matériel ou installations exploités relativement à cette entente.

Exigences :

  1. Conformité aux lois et pratiques exemplaires en matière de protection des données. L’entreprise et l’entité contractante doivent se conformer aux lois et règlements fédéraux et provinciaux canadiens régissant le traitement des données de l’entreprise et des renseignements personnels (« Lois sur la protection des données ») et à toutes les normes de l’industrie concernant la protection de la vie privée, la protection des données, la confidentialité et la sécurité de l’information.
  2. Programme de sécurité des données. L’entité contractante est responsable de la sécurité de ses systèmes et doit maintenir un programme complet de sécurité de l’information qui contient des mesures de protection appropriées pour assurer la protection et la sécurité des données de l’entreprise et des renseignements personnels (« Programme de sécurité »). Le programme de l’entité contractante doit inclure des mesures conçues pour : (a) protéger la confidentialité, l’intégrité et la disponibilité des données de l’entreprise et des renseignements personnels en sa possession ou sous son contrôle ou auxquelles elle a accès ; (b) protéger contre toute menace anticipée ou tout danger à l’endroit de la confidentialité, de l’intégrité et de la disponibilité des données de l’entreprise et des renseignements personnels ; (c) protéger contre tout accès non autorisé ou illégal, utilisation, divulgation, modification ou destruction des données de l’entreprise et renseignements personnels ; (d) protéger contre la perte ou la destruction accidentelle des ou dommages aux données de l’entreprise et renseignements personnels ; et (e) protéger les données de l’entreprise et renseignements personnels conformément aux Lois sur la protection des données.
  3. Limitation de la finalité. Tout traitement des données de l’entreprise et des renseignements personnels par l’entité contractante doit être limité au strict minimum pour fournir les services ou à toute autre fin expressément autorisée par l’entreprise.
  4. Sous-traitants. Si l’entité contractante engage un sous-traitant pour traiter les données de l’entreprise et les renseignements personnels, elle doit s’assurer que l’arrangement entre elle et le sous-traitant est régi par un contrat écrit qui offre au moins le même niveau de protection des données de l’entreprise et des renseignements personnels que celui qui est défini dans ces exigences. L’entité contractante doit maintenir une liste de ces sous-traitants avec des détails pertinents à leur sujet, comme le nom, l’adresse, les activités de sous-traitance et l’endroit où elles sont menées et les rendre disponibles à l’entreprise sur demande. L’entité contractante est seule responsable pour les actions et omissions de telles tierces parties.
  5. Transferts transfrontaliers. L’entité contractante ne doit traiter, et doit s’assurer que les sous-traitants ne traitent les données de l’entreprise et les renseignements personnels qu’au Canada, à moins d’une autorisation écrite de l’entreprise. Si le traitement doit avoir lieu à l’extérieur du pays, l’entité contractante doit produire des preuves satisfaisantes que des lois aussi sévères que les lois sur la protection des données sont appliquées dans la juridiction étrangère et sont juridiquement contraignantes.
  6. Avis de demande. Si l’entité contractante reçoit une demande des instances gouvernementales ou réglementaires pour l’obtention de données de l’entreprise et de renseignements personnels, elle convient d’en aviser immédiatement l’entreprise pour que celle-ci puisse y répondre.
  7. Incident relatif aux données
    1. Informer l’entreprise d’un incident touchant les données. L’entité contractante doit immédiatement informer l’entreprise de toute perte, utilisation, divulgation ou tout accès non autorisé, réel ou soupçonné des données de l’entreprise et des renseignements personnels, ou de tout autre violation ou tentative de violation à l’encontre du programme de sécurité de l’entité contractante impliquant les données de l’entreprise et les renseignements personnels (« Incident relatif aux données »). Bien que l’avis initialement donné de vive voix par téléphone puisse être sommaire, un avis écrit complet doit être donné à l’entreprise dans les 24 heures et mis à jour par la suite. Cet avis doit résumer avec suffisamment de détails la nature et l’ampleur de l’incident relatif aux données et les mesures correctives déjà mises en place ou à être mises en place par l’entité contractante. L’avis doit être mis à jour de façon ponctuelle avec les détails raisonnablement demandés par l’entreprise, incluant les rapports d’expertise pertinents. L’entité contractante doit rapidement prendre toutes les mesures correctives nécessaires et recommandables, et coopérer pleinement avec l’entreprise dans toute démarche raisonnable pour atténuer les impacts négatifs de l’incident et empêcher qu’il se produise à nouveau.
    2. Avis d’incident relatif aux données. Les parties doivent collaborer pour déterminer si un avis d’incident relatif aux données doit être donné à quiconque (incluant les personnes touchées et les représentants d’organismes de réglementation), et dans l’affirmative, s’entendre sur le contenu de cet avis. L’entreprise est seule responsable de décider quelle partie doit signaler l’incident relatif aux données et l’entité contractante assumera tous les coûts liés à l’avis.
  8. Services particuliers requérant une collaboration additionnelle
    1. Évaluation de l’impact sur la vie privée. Si le service implique la cueillette, l’utilisation, la conservation, la divulgation, la destruction ou toute autre forme de traitement des données de l’entreprise et des renseignements personnels qui exige que l’entreprise procède à une évaluation de l’impact sur la vie privée en vertu des lois sur la protection des données, l’entité contractante consent à coopérer entièrement et rapidement avec l’entreprise pour mener cette évaluation.
  9. Responsabilité et indemnisation
    1. Limitation de responsabilité et indemnisation. L’entité contractante doit indemniser l’entreprise et la dégager de toute responsabilité à l’égard de toute réclamation, demande, poursuite ou procédure engagée à l’encontre de l’entreprise en raison du manquement de l’entité contractante (ou ses sous-traitants) à toute obligation en vertu de ces exigences. Toute limitation de responsabilité établie dans l’entente ne s’applique pas aux obligations d’indemnisation et à la responsabilité de l’entité contractante à l’égard de son manquement à toute obligation en vertu de ces exigences.
  10. Examen de sécurité et audit
    1. Sous réserve d’un préavis raisonnable, l’entité contractante doit permettre à l’entreprise et collaborer avec elle pour procéder à des vérifications et à des audits sur la confidentialité et la sécurité des données de l’entreprise et des renseignements personnels.
  11. Interprétation, résiliation et disposition sécuritaire
    1. S’il existe des incohérences entre les dispositions de ces exigences et toute autre entente entre les parties, incluant cette entente, ces exigences auront préséance sur l’entente et toutes autres ententes.
    2. L’entreprise peut résilier l’entente avec motif immédiatement au moment d’en aviser l’entité contractante si cette dernière a substantiellement contrevenu à une de ces exigences et n’a pas remédié à ce manquement et ne s’est pas conformée aux dispositions de la section 7.
    3. À la résiliation de l’entente, l’entité contractante doit soit disposer de façon sécuritaire ou retourner les données de l’entreprise et les renseignements personnels en sa possession ou en possession de toute tierce partie à laquelle elle les a transférés, selon les instructions de l’entreprise et conformément aux lois sur la protection des données.
    4. Ces exigences sont conçues pour survivre à la résiliation, à l’annulation ou à l’expiration de cette entente.
    5. EN FOI DE QUOI, l’entreprise et l’entité contractante ont conclu et exécuté cet addenda comme en fait foi la signature de leurs représentants dûment autorisés en date du jour et de l’année indiqués ci-dessus.

Version : 30 juin 2022

Outils d'accessibilités