Dernière mise à jour : Octobre 2023
Engagement des fournisseur·euse·s à la confidentialité
Averna Technologies Inc. et ses sociétés affiliées (collectivement, « Averna ») s'engagent à la protection des données personnelles en conformité avec les actes législatifs applicables, y compris, mais sans s'y limiter, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada, le Règlement général sur la protection des données (RGPD) de l'Europe, le California Consumer Privacy Act (CCPA) et la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, telle que modifiée par la Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels (Loi 25).
Cet engagement des fournisseur·euse·s à la confidentialité (cet « engagement ») s'applique aux les sous-traitant·e·s, fournisseur·euse·s, prestataires de services tiers, vendeur·euse·s, ainsi qu'à leurs employé·e·s et sous-traitant·e·s (collectivement, les « fournisseur·euse·s ») qui entretiennent des relations commerciales avec Averna et qui recueillent, utilisent, accèdent, divulguent ou traitent d'une autre manière les données personnelles provenant d’Averna (c.-à-d., sous-traitant·e).
Le présent engagement définit les attentes et les exigences minimales concernant la manière dont les fournisseur·euse·s doivent traiter les données personnelles provenant d'Averna dans le cadre d'un contrat commercial conclu avec Averna. Le présent engagement ne remplace pas, mais complète, les obligations énoncées dans un tel contrat commercial.
Dans le présent engagement, les termes « données personnelles » englobent toute information concernant une personne identifiée ou identifiable et excluent les données anonymes ou dépersonnalisées qui ne sont pas associées à une personne en particulier.
- Exigences de conduite
Les fournisseur·euse·s ont la responsabilité de veiller à ce que l'ensemble de leur personnel et de leurs sous-traitant·e·s impliqué·e·s dans la collecte, l'utilisation, la divulgation et la conservation de données personnelles provenant d'Averna soient informé·e·s du présent engagement et soient lié·e·s par les contrats nécessaires au respect des dispositions qu'il contient.
Les fournisseur·e·s sont également tenu·e·s d’assister Averna dans le respect ses obligations législatives en matière de sécurité des données, de notification des violations de données et d'évaluation de l'impact sur la protection des données, ainsi que dans le traitement des demandes provenant des personnes concernées par le traitement de leurs données personnelles.
Le non-respect de cet engagement peut avoir des conséquences négatives pour Averna. Le non-respect de cet engagement ou le fait de ne pas signaler en temps voulu une violation de celui-ci aura une incidence sur la capacité du·de la fournisseur·euse à poursuivre ses activités avec Averna et peut conduire à la résiliation de la relation avec le·la fournisseur·euse.
2. Principes de traitement des données
Les fournisseur·euse·s ne peuvent traiter les données personnelles reçues d'Averna que conformément à des instructions documentées fournies par Averna, y compris en ce qui concerne les transferts transfrontaliers et internationaux de données personnelles.
Les fournisseur·euse·s doivent s'assurer que la collecte, l'utilisation, la divulgation et la conservation des données personnelles soient limitées à l'objectif défini dans l'accord commercial conclu entre le fournisseur et Averna. Les fournisseur·euse·s sont tenu·e·s d'obtenir les consentements appropriés pour utiliser et divulguer les données personnelles selon ce que requiert l’objectif défini.
Les fournisseur·euse·s doivent limiter l'accès aux données personnelles reçues d'Averna au personnel impliqué dans le traitement des données personnelles sur la base du strict "besoin de savoir". En outre, les fournisseur·euse·s ne peuvent avoir recours aux services de sous-traitant·e·s sans l'accord écrit préalable d'Averna.
Les fournisseur·euse·s doivent immédiatement signaler à Averna toute violation de données personnelles. Lorsqu'un·e fournisseur·euse a connaissance d'inexactitudes ou d'irrégularités dans les données personnelles provenant d'Averna, il·elle doit en informer Averna dans les meilleurs délais et lui fournir l'aide pour effectuer les rectifications nécessaires.
Les fournisseur·euse·s doivent en tout temps maintenir les mesures techniques et organisationnelles appropriées pour assurer l'intégrité et la protection des données, en particulier contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles transmises, stockées ou traitées d'une autre manière pour le compte d'Averna. Ces mesures techniques et organisationnelles doivent inclure des programmes et des politiques de confidentialité des données complets, une documentation facilement disponible pour démontrer la conformité, et des évaluations de l'impact sur la protection de données si nécessaire.
Au minimum, les fournisseur·euse·s doivent maintenir et assurer les garanties suivantes : la pseudonymisation et le cryptage des données personnelles ; la garantie de la confidentialité, de l'intégrité, de la disponibilité et de la résilience des systèmes et services de traitement ; la capacité à restaurer la disponibilité et l'accès aux données personnelles en temps voulu en cas d'incident physique ou technique ; et un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.
Averna se réserve le droit de vérifier que le·la fournisseur·euse respecte le présent engagement, auquel cas les fournisseur·euse·s s’engagent à mettre à la disposition d'Averna toutes les informations nécessaires pour démontrer le respect de l'engagement, et autorisent les audits, y compris les inspections menées par Averna ou par un tiers mandaté par Averna, et s’engagent à y contribuer.
En cas de résiliation du contrat commercial conclu avec Averna, les fournisseur·euse·s sont tenu·e·s de veiller à ce que toutes les données personnelles appartenant à Averna soient restituées ou détruites, comme indiqué par Averna au moment de la résiliation du contrat.
