1 Introduction et objet

1.1 Objet

Cet Accord de traitement des données (« ATD ») complète et fait partie intégrante de l'Accord principal entre le Responsable et le Sous-traitant. Il établit les responsabilités de chaque partie en ce qui concerne le traitement des renseignements personnels par le Sous-traitant pour le compte du Responsable dans le cadre des Services fournis en vertu de l'Accord principal.

1.2 Cadre juridique

Cet ATD est conçu pour assurer la conformité avec :

• La Loi sur la protection des renseignements personnels (LPRP), S.A. 2003, c. P-6.5 — régissant les organisations du secteur privé en Alberta
• La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), S.C. 2000, c. 5 — régissant les organisations sous réglementation fédérale et les transferts de données interprovinciaux
• Toute réglementation sectorielle applicable (ex. exigences de rapport en matière de santé et sécurité au travail)

1.3 Prévalence

En cas de conflit entre cet ATD et l'Accord principal, cet ATD prévaut en ce qui concerne le traitement des renseignements personnels.

2 Définitions

En plus des termes définis dans l'Accord principal :

• « Renseignements personnels » a le sens prévu à l'article 1(1)(k) de la LPRP : renseignements sur un individu identifiable.
• « Traitement » désigne toute opération effectuée sur des renseignements personnels, incluant la collecte, l'utilisation, la divulgation, le stockage, la modification, l'extraction, la destruction et la déshumanisation.
• « Responsable » désigne la partie qui détermine les finalités et les moyens du traitement des renseignements personnels.
• « Sous-traitant » désigne la partie qui traite les renseignements personnels pour le compte et selon les instructions du Responsable.
• « Sous-traitant ultérieur » désigne toute tierce partie engagée par le Sous-traitant pour l'aider dans le traitement des renseignements personnels.
• « Brèche de confidentialité » a le sens prévu à l'article 34.1 de la LPRP : la perte de renseignements personnels, ou l'accès ou la divulgation non autorisés de ceux-ci.
• « Personne concernée » désigne un individu identifiable auquel les renseignements personnels se rapportent.

3 Portée du traitement

3.1 Détails du traitement

Les détails suivants du traitement sont convenus :

Objet

Traitement de renseignements personnels tel que nécessaire pour fournir les Services en vertu de l'Accord principal

Durée

La durée de l'Accord principal plus la période de conservation des données à l'article 9

Nature et finalité

Analyse propulsée par l'IA, prédiction, rapport, stockage et extraction de données opérationnelles industrielles

Types de renseignements personnels

[ex. noms d'employés, titres de postes, dossiers de sécurité, affectations d'équipement, contacts d'approvisionnement, dossiers de formation]

Catégories de personnes concernées

[ex. employés du Responsable, entrepreneurs, clients, fournisseurs]

3.2 Instructions du Responsable

Le Sous-traitant doit traiter les renseignements personnels uniquement conformément aux instructions documentées du Responsable, telles qu'établies dans l'Accord principal, tout ÉD applicable et cet ATD. Si le Sous-traitant estime qu'une instruction du Responsable enfreint la législation applicable sur la vie privée, il doit en informer rapidement le Responsable.

4 Obligations du Sous-traitant

4.1 Légalité

Le Sous-traitant doit traiter les renseignements personnels en conformité avec toute la législation applicable sur la vie privée, incluant la LPRP et la LPRPDE, et ne doit traiter aucun renseignement personnel à une fin autre que celle instruite par le Responsable ou requise par la loi.

4.2 Personnel

Le Sous-traitant doit s'assurer que tout membre du personnel autorisé à traiter les renseignements personnels :

1. Est soumis à des obligations de confidentialité (contractuelles ou statutaires)
2. A reçu une formation appropriée en matière de vie privée et de sécurité
3. Accède aux renseignements personnels uniquement selon le principe du besoin de connaître

4.3 Mesures de sécurité

Le Sous-traitant doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger les renseignements personnels, tel que requis par l'article 34 de la LPRP. Ces mesures incluent, au minimum :

• Chiffrement : AES-256 au repos, TLS 1.2+ en transit
• Contrôles d'accès : Accès basé sur les rôles avec principe du moindre privilège
• Authentification : Authentification multi-facteur pour l'accès administratif
• Sécurité réseau : Pare-feu, détection d'intrusion et segmentation réseau
• Surveillance : Surveillance continue de la sécurité et journalisation avec rétention des journaux de 90 jours
• Gestion des vulnérabilités : Évaluations de sécurité régulières et correctifs
• Sauvegarde : Sauvegardes chiffrées avec procédures de restauration testées
• Sécurité physique : Centres de données sécurisés avec contrôles d'accès

Les mesures de sécurité doivent être revues et mises à jour au moins une fois par an, ou plus fréquemment en fonction de l'évolution des menaces ou des réglementations applicables.

4.4 Obligations spécifiques à l'IA

Lorsque des renseignements personnels sont traités par les systèmes d'IA/AA de l'Entreprise :

1. Les renseignements personnels ne doivent pas être utilisés pour entraîner ou affiner les modèles d'IA du Sous-traitant sans le consentement écrit explicite préalable du Responsable
2. Le traitement par l'IA doit être journalisé et auditable
3. Le Sous-traitant doit maintenir une supervision humaine pour toute prise de décision automatisée produisant des effets significatifs sur les personnes concernées
4. Les entrées et sorties de modèles d'IA contenant des renseignements personnels sont soumises aux mêmes contrôles de sécurité et de conservation que les autres renseignements personnels

5 Obligations du Responsable

Le Responsable déclare, garantit et s'engage à ce que :

1. Il dispose de l'autorité légale et de tous les consentements nécessaires pour collecter et divulguer les renseignements personnels au Sous-traitant aux fins décrites dans cet ATD
2. Il a fourni l'avis approprié aux personnes concernées concernant l'utilisation de services de traitement propulsés par l'IA
3. Ses instructions de traitement sont conformes à toute la législation applicable sur la vie privée
4. Il répondra aux demandes d'accès et de correction des personnes concernées (articles 24-25 de la LPRP) et informera rapidement le Sous-traitant de toute demande nécessitant l'assistance de ce dernier
5. Les renseignements personnels fournis sont exacts, complets et à jour

6 Sous-traitants ultérieurs

6.1 Autorisation préalable

Le Sous-traitant ne doit engager aucun Sous-traitant ultérieur sans le consentement écrit préalable du Responsable. Le Responsable approuve par les présentes les Sous-traitants ultérieurs listés à l'Annexe A.

6.2 Nouveaux Sous-traitants ultérieurs

Le Sous-traitant doit informer le Responsable au moins 30 jours avant d'engager tout nouveau Sous-traitant ultérieur, en fournissant : son nom, sa localisation et une description des activités de traitement. Le Responsable peut s'y opposer par écrit dans le délai de 30 jours. En cas d'objection, les parties doivent négocier de bonne foi pour résoudre la situation.

6.3 Obligations des Sous-traitants ultérieurs

Le Sous-traitant doit s'assurer que chaque Sous-traitant ultérieur est lié par des obligations de protection des données non moins restrictives que celles du présent ATD, par un accord écrit. Le Sous-traitant demeure pleinement responsable des actes et omissions de ses Sous-traitants ultérieurs.

6.4 Sous-traitants ultérieurs actuels

Les Sous-traitants ultérieurs actuels du Sous-traitant sont listés à l'Annexe A. Cette liste doit être tenue à jour et fournie au Responsable sur demande.

7 Localisation des données et transferts

7.1 Localisation des données

Les renseignements personnels sont stockés et traités au Canada, sauf convention écrite contraire. Les centres de données principaux sont situés à : [ex. Montréal, Toronto].

7.2 Transferts internationaux

Le Sous-traitant ne doit pas transférer de renseignements personnels à l'extérieur du Canada sans le consentement écrit préalable du Responsable. Lorsque les transferts sont approuvés, le Sous-traitant doit assurer des niveaux de protection comparables par des garanties contractuelles et doit se conformer aux exigences de la LPRPDE pour les transferts internationaux (Principe 4.1.3 de la LPRPDE).

7.3 Demandes gouvernementales

Si le Sous-traitant reçoit une demande d'une autorité gouvernementale ou policière pour accéder à des renseignements personnels, il doit : (a) en informer rapidement le Responsable (sauf interdiction légale) ; (b) contester la demande s'il existe des motifs raisonnables ; et (c) ne divulguer que le strict minimum requis par la loi.

8 Gestion des brèches de confidentialité

8.1 Notification

Le Sous-traitant doit informer le Responsable de toute brèche de confidentialité confirmée ou suspectée sans délai déraisonnable et au plus tard 72 heures après en avoir pris connaissance. La notification doit inclure :

1. Description de la nature de la brèche, incluant les catégories et le nombre approximatif de personnes concernées affectées
2. Catégories et volume approximatif de renseignements personnels affectés
3. Nom et coordonnées du contact pour la vie privée du Sous-traitant
4. Description des conséquences probables de la brèche
5. Description des mesures prises ou proposées pour remédier à la brèche et atténuer ses effets

8.2 Coopération

Le Sous-traitant doit coopérer pleinement avec le Responsable dans l'enquête et la réponse à toute brèche, incluant : (a) la préservation des preuves ; (b) la fourniture d'informations supplémentaires dès qu'elles sont disponibles ; (c) l'assistance pour la notification aux individus et aux régulateurs telle que requise par l'article 34.1 de la LPRP ; et (d) la mise en œuvre de mesures correctives.

8.3 Obligations de notification du Responsable

Le Responsable conserve la responsabilité de déterminer si la notification : (a) aux individus affectés ; et (b) au Commissaire à l'information et à la protection de la vie privée de l'Alberta (OIPC), est requise en vertu de l'article 34.1 de la LPRP. Le Sous-traitant assistera mais n'effectuera pas de notifications de brèche de manière indépendante sauf instruction du Responsable.

9 Conservation et suppression des données

9.1 Conservation

Le Sous-traitant doit conserver les renseignements personnels uniquement aussi longtemps que nécessaire pour fournir les Services ou tel que requis par la loi. La période de conservation ne doit pas dépasser la durée de l'Accord principal plus 30 jours, sauf convention contraire.

9.2 Restitution ou suppression

À la résiliation de l'Accord principal ou à l'expiration de la période de conservation :

1. Le Sous-traitant doit rendre tous les renseignements personnels disponibles pour exportation par le Responsable dans un format standard lisible par machine (CSV, JSON ou équivalent) pendant une période de 30 jours
2. Après la période d'exportation, le Sous-traitant doit supprimer de manière sécurisée ou déshumaniser tous les renseignements personnels, en utilisant l'effacement cryptographique ou des méthodes équivalentes
3. Le Sous-traitant doit fournir une certification écrite de suppression dans les 10 jours ouvrables suivant la réalisation

9.3 Exceptions

Le Sous-traitant peut conserver des renseignements personnels au-delà de la période de conservation uniquement dans la mesure requise par la loi applicable (ex. exigences fiscales, d'audit ou réglementaires). Ces données conservées continueront d'être protégées conformément au présent ATD.

10 Droits d'audit

10.1 Audit par le Responsable

Le Responsable (ou son auditeur désigné, soumis à des obligations de confidentialité) a le droit d'auditer la conformité du Sous-traitant au présent ATD, moyennant un préavis écrit de 30 jours et au plus une fois par an (sauf suspicion de brèche de confidentialité ou de non-conformité matérielle). Les audits doivent être effectués pendant les heures normales d'ouverture et ne doivent pas interférer déraisonnablement avec les opérations du Sous-traitant.

10.2 Coopération du Sous-traitant

Le Sous-traitant doit coopérer avec les audits et fournir un accès raisonnable aux : dossiers pertinents, systèmes, personnel et installations. Le Sous-traitant peut exiger que l'auditeur signe un accord de confidentialité.

10.3 Frais d'audit

Chaque partie assume ses propres frais pour tout audit. Si un audit révèle une non-conformité matérielle du Sous-traitant, ce dernier assumera les frais de l'audit et remédiera rapidement à la non-conformité à ses propres frais.

10.4 Certifications

En lieu et place d'un audit, le Sous-traitant peut fournir : (a) des rapports SOC 2 de type II ; (b) la certification ISO 27001 ; ou (c) d'autres certifications de sécurité reconnues, à condition que ces certifications soient à jour (moins de 12 mois) et couvrent les Services.

11 Demandes des personnes concernées

11.1 Notification

Si le Sous-traitant reçoit une demande d'une personne concernée pour exercer ses droits en vertu de la LPRP (accès, correction ou plainte), il doit rapidement transmettre la demande au Responsable et ne doit pas y répondre directement sans l'autorisation écrite préalable du Responsable.

11.2 Assistance

Le Sous-traitant doit fournir une assistance technique et organisationnelle raisonnable au Responsable pour répondre aux demandes des personnes concernées, incluant : l'extraction, la correction ou la suppression de renseignements personnels au sein des Services.

12 Durée et résiliation

12.1 Durée

Cet ATD entre en vigueur à la Date d'entrée en vigueur et se poursuit pendant toute la durée de l'Accord principal.

12.2 Résiliation

Cet ATD prend fin automatiquement à la résiliation de l'Accord principal, sous réserve des obligations du Sous-traitant concernant la conservation et la suppression des données (article 9), qui survivent à la résiliation.

12.3 Survie

Les articles 4.3 (Sécurité), 5 (Obligations du Responsable), 8 (Gestion des brèches), 9 (Conservation et suppression), 10 (Audit) et 13 (Droit applicable) survivent à la résiliation du présent ATD.

13 Dispositions générales

13.1 Droit applicable

Cet ATD est régi par les lois de la Province de l'Alberta et les lois fédérales du Canada qui s'y appliquent.

13.2 Responsabilité

La responsabilité globale totale du Sous-traitant en vertu du présent ATD est soumise à la limitation de responsabilité prévue dans l'Accord principal. La responsabilité du Sous-traitant pour les brèches de confidentialité causées par sa négligence ou son défaut de se conformer au présent ATD n'est pas soumise à une telle limitation.

13.3 Intégralité de l'accord

Cet ATD, ainsi que ses Annexes et l'Accord principal, constitue l'intégralité de l'accord entre les parties concernant le traitement des données.

13.4 Modification

Cet ATD ne peut être modifié que par un écrit signé par les représentants autorisés des deux parties.

13.5 Plaintes

Chaque partie peut déposer une plainte concernant des questions de vie privée auprès du Commissaire à l'information et à la protection de la vie privée de l'Alberta (OIPC) au 780-422-6860.

A Annexe A — Sous-traitants ultérieurs approuvés