Politique sur les données et la vie privée

ADDITIF SUR LE TRAITEMENT DES DONNÉES  
Date d'entrée en vigueur : 1er mars 2024

Cet Additif sur le Traitement des Données (« ATD ») fait partie intégrante de, et est soumis à, l’Entente principale de services (« Entente ») conclue entre Converso Inc. (faisant affaire sous le nom de Motion Meetings) (« MOTION ») et le Client.

DÉFINITIONS  
« Client » désigne la personne morale ou physique ayant accepté l’Entente de MOTION, incluant le présent ATD.

« Données du Client » désigne toute donnée personnelle traitée par MOTION au nom du Client dans le cadre de la prestation des Services conformément à l’Entente.

« Lois applicables en matière de protection des données » désigne l’ensemble des lois applicables à la collecte, au stockage, au traitement et à l’utilisation des Données du Client, telles que modifiées, remplacées ou mises à jour de temps à autre.

« Services » désigne l’utilisation du système de vote en ligne MOTION ainsi que les services connexes fournis au Client conformément à l’Entente.

Les termes « consentement », « responsable du traitement », « personne concernée », « État membre », « données personnelles », « violation de données personnelles », « sous-traitant », « sous-sous-traitant », « traitement », « autorité de contrôle » et « tiers » ont les significations qui leur sont attribuées en vertu des Lois applicables en matière de protection des données, et peuvent apparaître en minuscules ou en majuscules dans le présent document.

RÔLES ET OBJECTIF  
Le Client autorise MOTION à traiter les Données du Client selon les besoins afin de fournir les Services pour lesquels le Client a conclu un contrat avec MOTION dans le cadre de l’Entente, tel que décrit à l’Annexe 1.  
Les parties conviennent que le Client est le responsable du traitement, et que MOTION agit en tant que sous-traitant au nom du Client.  
Les parties s’engagent à respecter les dispositions et obligations qui leur incombent en vertu des Lois applicables en matière de protection des données en ce qui concerne le traitement des Données du Client.  
Les parties conviennent que les Données du Client demeurent la propriété du Client.  
Pour plus de clarté, le présent ATD ne s’applique pas aux données personnelles pour lesquelles MOTION agit en tant que responsable du traitement.
  

OBLIGATIONS DE MOTION  
MOTION ne traitera les Données du Client que dans le but spécifique de fournir les Services au Client et conformément aux instructions du Client. Ces instructions doivent être documentées dans la description applicable des services, une demande de soutien, toute autre communication écrite ou telles que définies par le Client via les interfaces en libre-service de l’application.  
MOTION ne conservera, n’utilisera ni ne divulguera les Données du Client à aucune autre fin que celle de fournir les Services au Client, tel que stipulé dans l’Entente et le présent ATD.  
MOTION désignera en tout temps un Responsable de la protection des données, chargé de veiller au respect du présent ATD et agissant comme point de contact principal pour le Client lorsqu’il souhaite obtenir de l’aide pour respecter ses obligations en vertu des Lois applicables en matière de protection des données.  
MOTION informera immédiatement le Client si, à son avis, les instructions de traitement du Client enfreignent les Lois applicables en matière de protection des données. Dans un tel cas, MOTION aura le droit de reporter l’exécution de l’instruction concernée jusqu’à ce qu’elle soit modifiée par le Client ou convenue mutuellement par le Client et MOTION.  

  

OBLIGATIONS DU CLIENT  
Le Client est et demeure responsable du respect de toutes les exigences imposées aux responsables du traitement, y compris, sans s’y limiter, la confirmation de la base légale pour toutes les activités de traitement effectuées par MOTION en son nom, ainsi que l’obtention du consentement des personnes concernées, le cas échéant. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Données du Client ainsi que des moyens par lesquels elles ont été obtenues.  
Le Client s’engage à ne transférer à MOTION, ou à ne donner accès à MOTION aux fins de traitement, que les Données du Client nécessaires à la prestation des Services.  
Le Client devra s’assurer que le traitement des Données du Client par MOTION, conformément aux instructions du Client, ne provoquera pas une violation de toute loi, règlement ou règle applicable, y compris, sans s’y limiter, des Lois applicables en matière de protection des données.

  

CONFORMITÉ AVEC LES LOIS SUR LA PROTECTION DE LA VIE PRIVÉE AU QUÉBECbr>  
Nous nous engageons à respecter la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur la vie privée du Québec). À ce titre, nous convenons que les données personnelles sont collectées, traitées et stockées en pleine conformité avec les dispositions de la Loi. Nous exigeons que le Client obtienne une autorisation explicite de ses parties prenantes pour la collecte et l’utilisation des renseignements personnels avant de télécharger ou de partager des données dans notre système. Les clients doivent fournir des informations claires à leurs parties prenantes sur la manière dont leurs données seront utilisées et s’assurer que le consentement nécessaire est documenté.  
Les individus ont également le droit d’accéder à leurs données personnelles, de les corriger et de demander leur suppression conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. Si vous avez des questions concernant vos droits ou si vous souhaitez les exercer, veuillez contacter directement MOTION.

SOUS-TRAITANCE  
Le Client accepte que MOTION puisse faire appel à des sous-traitants pour traiter les Données du Client en son nom. Les sous-traitants actuellement engagés par MOTION et autorisés par le Client sont listés à l’Annexe 3. MOTION informera le Client de l’ajout ou du retrait de sous-traitants au moins 10 jours avant toute modification, si le Client choisit de recevoir de telles notifications en envoyant un courriel à privacy@motionmeetings.co.  
Si, dans les 5 jours suivant la réception de cet avis, le Client informe MOTION par écrit de toute objection raisonnable fondée sur la protection des données concernant la nomination proposée, les parties discuteront de ces préoccupations de bonne foi afin d’arriver à une solution commercialement raisonnable. Si aucune solution ne peut être trouvée, chaque partie aura le droit de résilier l’Entente pour motif valable.  
MOTION conclura une entente écrite avec chaque sous-traitant incluant des obligations en matière de protection des données offrant un niveau de protection au moins équivalent à celui prévu dans le présent ATD.  
MOTION sera responsable des actes et omissions de tout sous-traitant, comme elle l’est pour ses propres actes et omissions envers le Client dans le cadre des dispositions du présent ATD.
  

SÉCURITÉ  
MOTION mettra en place et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données du Client contre les violations de données personnelles, tel que décrit à l’Annexe 2. Nonobstant toute disposition contraire, MOTION peut modifier ou mettre à jour ces mesures à sa discrétion, à condition que cela ne dégrade pas de manière significative la sécurité générale des Services.  
MOTION s’assurera que toute personne autorisée par MOTION à traiter les Données du Client (y compris son personnel, ses agents et sous-traitants) soit soumise à une obligation appropriée de confidentialité (contractuelle ou légale).  
MOTION avisera le Client conformément aux Lois applicables en matière de protection des données, sans délai indu, mais dans tous les cas dans un délai de quarante-huit (48) heures, en cas de violation confirmée de données personnelles affectant les Données du Client, et prendra les mesures appropriées pour en atténuer les effets potentiels. Sur demande écrite, MOTION fournira rapidement au Client toute aide raisonnable nécessaire afin de lui permettre de notifier les violations pertinentes aux autorités compétentes et/ou aux personnes concernées, si requis par les Lois applicables en matière de protection des données.
  
Le Client est responsable d’examiner les informations mises à disposition par MOTION concernant la sécurité des données et de déterminer de manière indépendante si les Services répondent à ses besoins et obligations légales en vertu des Lois applicables en matière de protection des données.  
Le Client est responsable de l’utilisation sécurisée des Services, incluant la protection de ses identifiants d’authentification, la sécurité des Données du Client pendant leur transmission vers ou depuis les Services, ainsi que la prise de mesures appropriées pour chiffrer ou sauvegarder de façon sécurisée toute Donnée du Client téléversée vers les Services.
  

RAPPORTS DE SÉCURITÉ ET AUDIT  
MOTION mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité au présent ATD et permettra et contribuera à la réalisation d’audits, y compris des inspections par le Client, afin d’évaluer cette conformité. Le Client reconnaît et accepte qu’il exercera ses droits d’audit en vertu du présent ATD (y compris la présente section) et de toute disposition des Lois applicables en matière de protection des données, en demandant à MOTION de respecter les mesures d’audit décrites aux sections 7.2 et 7.3 ci-dessous.  
Sur demande écrite, MOTION fournira, de manière confidentielle et sans frais, un sommaire de ses rapports d’audit les plus récents au Client, afin que ce dernier puisse vérifier la conformité de MOTION aux normes d’audit applicables et au présent ATD.  
En plus des rapports décrits à la section 7.2 ci-dessus, MOTION répondra à toutes les demandes raisonnables d’informations faites par le Client pour confirmer sa conformité au présent ATD, y compris les réponses aux questionnaires sur la sécurité de l’information, la diligence raisonnable et les audits, en rendant disponible de l’information supplémentaire sur son programme de sécurité de l’information, sur demande écrite du Client, à condition que ce dernier n’exerce pas ce droit plus d’une fois par année civile. Le Client sera responsable de tous les frais liés à l’audit, y compris le temps que MOTION y consacre, selon les tarifs de services professionnels alors en vigueur chez MOTION.

DEMANDES DES PERSONNES CONCERNÉES  
Dans le cadre des Services, MOTION fournit des outils spécifiques afin d’aider les clients à répondre aux demandes reçues de la part de personnes concernées exerçant leurs droits en vertu des Lois applicables en matière de protection des données. Ces outils incluent des services professionnels ainsi que des interfaces en libre-service permettant de récupérer, corriger, supprimer ou restreindre l’utilisation des Données du Client. De plus, MOTION fournira (en tenant compte de la nature du traitement) une assistance raisonnable supplémentaire au Client, dans la mesure du possible, afin de lui permettre de respecter ses obligations en matière de droits des personnes concernées conformément aux Lois applicables en matière de protection des données.  
Dans le cas où MOTION reçoit une telle demande directement d’une personne concernée, elle devra, sauf interdiction légale, diriger cette personne vers le Client (dans la mesure où MOTION est en mesure d’associer la personne concernée au Client). Si le Client est incapable de traiter la demande de la personne concernée, MOTION devra, à la demande du Client, répondre directement à la personne concernée, tel que requis en vertu des Lois applicables en matière de protection des données.
  

ÉVALUATION DES IMPACTS RELATIFS À LA PROTECTION DES DONNÉES  
Dans la mesure requise par les Lois applicables en matière de protection des données, MOTION devra (en tenant compte de la nature du traitement et des informations à sa disposition) fournir toutes les informations raisonnablement demandées concernant les Services afin de permettre au Client de réaliser des évaluations d’impact sur la protection des données ou des consultations préalables avec les autorités de protection des données, selon ce qui est requis par les Lois applicables. MOTION satisfera à cette obligation en : (i) respectant la Section 7 ci-dessus ; (ii) fournissant les informations contenues dans l’Entente, y compris le présent ATD ; et (iii) si les sous-sections (i) et (ii) ci-dessus s’avèrent insuffisantes pour permettre au Client de remplir ses obligations, MOTION fournira, sur demande, une assistance raisonnable supplémentaire. Le Client sera responsable de tous les frais liés à cette assistance supplémentaire, y compris le temps consacré par MOTION, selon les tarifs de services professionnels alors en vigueur chez MOTION.

RETOUR OU DESTRUCTION DES DONNÉES  
Le Client peut, par avis écrit adressé à MOTION, demander le retour de toutes les copies des Données du Client sous le contrôle ou en possession de MOTION et de ses sous-traitants. MOTION fournira rapidement une copie des Données du Client dans un format lisible et pouvant être traité ultérieurement. Le Client peut également, par avis écrit, demander à MOTION un certificat de suppression de toutes les copies des Données du Client sous le contrôle ou en possession de MOTION et de ses sous-traitants. Dans les 30 jours suivant la réception de cet avis, MOTION supprimera toutes les Données du Client traitées conformément au présent ATD et fournira un certificat de suppression. Dans les 15 jours suivant la résiliation du compte du Client, MOTION supprimera toutes les Données du Client traitées en vertu du présent ATD. Ces dispositions ne s’appliquent pas dans la mesure où MOTION est tenue, en vertu de la loi applicable, de conserver tout ou partie des Données du Client. Le Client reconnaît et accepte que le certificat de suppression des Données du Client, tel que décrit dans les Clauses contractuelles types ou dans toute Loi applicable en matière de protection des données, sera fourni par MOTION uniquement sur demande écrite du Client.
  


TRANSFERTS INTERNATIONAUX
  
Le Client autorise le transfert, le traitement et le stockage des Données du Client partout dans le monde où MOTION et ses sous-traitants maintiennent des opérations de traitement de données, afin de remplir les objectifs des Services. MOTION veillera en tout temps à ce que ces transferts soient effectués en conformité avec les exigences des Lois applicables en matière de protection des données et du présent ATD.

  

LIMITATION DE RESPONSABILITÉ  
La responsabilité de chaque partie découlant du présent ATD ou liée à celui-ci sera soumise aux exclusions et limitations de responsabilité énoncées dans l’Entente. Toute réclamation contre MOTION au titre du présent ATD ne pourra être introduite que par l’entité du Client partie à l’Entente. En aucun cas, une partie ne pourra limiter sa responsabilité à l’égard des droits en matière de protection des données d’un individu en vertu du présent ATD ou autrement.

  

DISPOSITIONS GÉNÉRALES  
Le présent ATD restera en vigueur tant que MOTION traitera des Données du Client ou jusqu’à la résiliation de l’Entente (et que toutes les Données du Client auront été retournées ou supprimées conformément à la Section 10 ci-dessus). Les parties conviennent que le présent ATD remplace tout accord existant relatif au traitement des données ou tout document similaire que les parties auraient pu conclure antérieurement en lien avec les Services. En cas d’incohérence entre les dispositions du présent ATD et celles de l’Entente, les dispositions du présent ATD prévaudront. Si une disposition du présent ATD est jugée invalide par un tribunal compétent, ce tribunal devra s’efforcer de donner plein effet à l’intention des parties exprimée dans cette disposition, et les autres dispositions du présent ATD resteront pleinement en vigueur. La loi applicable et la juridiction seront régies par l’Entente, sauf indication contraire dans le présent document. Tout différend relatif à l’interprétation ou à l’application du présent ATD sera réglé conformément aux dispositions prévues dans l’Entente.
  


ANNEXE 1
  
A. LISTE DES PARTIES  
Exportateur de données :  
Nom : tel que fourni dans le bloc de signature de l’Entente  
Rôle : Responsable du traitement  
Adresse : Adresse du Client – telle que fournie dans le bloc de signature de l’Entente  
Personne contact : Bureau de la protection des données du Client ou autre représentant légal. Le Client fournira ces renseignements sur demande de MOTION.  
Activités liées au transfert : Utilisation des Services, comme précisé davantage dans la documentation des Services.  

Importateur de données :  
Nom : Converso Inc. (faisant affaire sous le nom de Motion Meetings)  
Rôle : Sous-traitant  
Adresse : 1600 – 401 rue Bay, Toronto, Ontario, M5H 2Y4, Canada  
Personne contact : Sean Holt, Responsable de la protection des données, privacy@motionmeetings.co  
Activités liées au transfert : Fourniture des Services, comme précisé davantage dans la documentation des Services.
  

B. DESCRIPTION DU TRANSFERT  
Catégories de personnes concernées  
Le Client peut soumettre des Données du Client aux Services, dans la mesure qu’il détermine et contrôle à sa seule discrétion, incluant, sans s’y limiter, les catégories suivantes de personnes concernées :  
- Utilisateurs du Client autorisés à utiliser les Services  
- Organisateurs  
- Conférenciers  
- Participants  

Catégories de données personnelles  
Le Client peut soumettre des Données du Client aux Services, dans la mesure qu’il détermine et contrôle à sa seule discrétion, incluant, sans s’y limiter, les catégories suivantes de données personnelles :  
- Informations de contact (ex. : nom, adresse courriel, nom de l’organisation, numéro de téléphone)  
- Informations sur les membres (ex. : nom, adresse courriel, nom de l’organisation, numéro de téléphone)  

Données sensibles transférées  
Les Données du Client transférées sont déterminées et contrôlées par l’exportateur de données et peuvent inclure des données sensibles telles que l’affiliation politique ou l’appartenance syndicale, ou toute autre donnée sensible devant être traitée pour exécuter les Services. Les mesures de sécurité techniques et organisationnelles décrites à l’Annexe 2 assurent un niveau de sécurité approprié pour protéger les données sensibles.  

Fréquence du transfert  
Base continue, en fonction de l’utilisation des Services par le Client.  

Nature du traitement  
Les Données du Client seront traitées conformément à l’Entente (y compris le présent ATD) et pourront faire l’objet de stockage et d’autres traitements nécessaires à la fourniture des Services et de tout soutien technique connexe au Client.  

Objectif du transfert et traitement ultérieur  
MOTION traitera les Données du Client selon les besoins pour exécuter les Services, tel que précisé dans la documentation des Services, et selon les instructions du Client dans le cadre de son utilisation des Services.  

Durée de conservation  
Sous réserve de la Section 9 du présent ATD, les Données du Client seront conservées jusqu’à ce que le Client résilie son compte ou demande la suppression des données, sauf si la loi applicable exige autrement.  

Transferts à des sous-traitants  
Les transferts à des sous-traitants auront le même objet, la même nature et la même durée que ceux effectués par l’importateur de données.

ANNEXE 2  
SÉCURITÉ DE L’INFORMATION – MESURES TECHNIQUES ET ORGANISATIONNELLES
  

MOTION met en œuvre les mesures suivantes pour protéger les Données du Client.  

Contrôle d’accès physique  
Pour empêcher les personnes non autorisées d’accéder physiquement aux systèmes de traitement des données :  
MOTION utilise les infrastructures infonuagiques de fournisseurs de premier plan dans l’industrie. L’accès à leurs centres de données est strictement contrôlé. Tous les centres de données sont équipés de systèmes de surveillance et de contrôle d’accès. De plus, tous les fournisseurs possèdent des certifications conformes aux normes de l’industrie. Le siège social de MOTION est équipé de systèmes de surveillance, d’alarme anti-intrusion et de contrôle d’accès. Les invités et visiteurs doivent être accompagnés par un membre autorisé du personnel de MOTION.  

Contrôle d’accès au système  
Pour empêcher l’utilisation non autorisée des systèmes de traitement des données :  
Le personnel de MOTION reçoit un accès aux systèmes internes et externes selon le principe du besoin de savoir, basé sur leur rôle, et les accès sont révisés chaque trimestre. Les processus d’intégration et de départ sont documentés afin de garantir une bonne gestion des accès. Des identifiants uniques sont utilisés et ne peuvent être partagés ou réassignés. Lorsque possible, les services tiers utilisent l’authentification unique (SSO), permettant une gestion centralisée et appliquant l’authentification à deux facteurs (2FA). Le personnel de MOTION utilise un gestionnaire de mots de passe qui applique une longueur minimale et des exigences de complexité, et qui stocke les mots de passe sous forme chiffrée.  

Les applications de MOTION imposent également des exigences minimales de longueur et de complexité des mots de passe pour les utilisateurs Clients. Les Clients doivent s’authentifier avant d’accéder aux Données du Client non publiques. Les postes de travail se verrouillent automatiquement après une période prolongée d’inactivité. Les utilisateurs des applications de MOTION sont automatiquement déconnectés après un certain temps d’inactivité.  

Des pare-feux dotés de règles de trafic strictes sont utilisés pour limiter le trafic non désiré entrant et sortant de l’infrastructure de MOTION. Ces pare-feux incluent des systèmes de détection d’intrusion (IDS) pour détecter et prévenir les accès non autorisés potentiels. Les applications MOTION sont protégées par un pare-feu applicatif (WAF) pour détecter et empêcher les attaques. L’accès au réseau est protégé par un réseau privé virtuel (VPN) et l’authentification à deux facteurs (2FA).  

La gestion des correctifs de sécurité et les analyses de vulnérabilités de routine sont effectuées sur tous les postes et serveurs pour assurer le déploiement régulier des mises à jour et une réponse rapide aux vulnérabilités critiques. Un logiciel antivirus à jour est utilisé pour protéger les postes de travail et les serveurs contre les virus connus.  

Le code source de MOTION est vérifié pour les vulnérabilités à l’aide d’un fournisseur reconnu d’analyse statique de code. MOTION fait appel à un fournisseur de tests d’intrusion reconnu dans l’industrie pour réaliser des tests d’intrusion annuels sur les couches applicatives et d’infrastructure.  

Contrôle d’accès aux données  
Pour garantir que les utilisateurs autorisés ont uniquement accès aux données auxquelles ils ont droit, et que les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur traitement, utilisation ou stockage :  
Les environnements clients sont toujours logiquement séparés. Les Clients ont accès uniquement à leurs propres données, via des interfaces applicatives en libre-service. Les Clients n’ont pas accès directement à l’infrastructure sous-jacente.  

Le modèle de permissions utilisateur est conçu pour s’assurer que seules les personnes autorisées peuvent accéder aux fonctionnalités et données pertinentes. Le personnel de MOTION a accès aux Données du Client pour fournir les services, le soutien technique, le développement de produits, la recherche et la résolution de problèmes. Les autorisations d’accès sont accordées selon le besoin de savoir, et les permissions sont revues chaque trimestre.  

Contrôle de la transmission  
Pour garantir que les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique :  
Les Données du Client sont chiffrées lors de leur transmission vers et depuis les systèmes de MOTION sur des réseaux publics. MOTION utilise TLS 1.2 avec des suites de chiffrement conformes aux standards de l’industrie pour se protéger contre les attaques de chiffrement.  

Les Données du Client stockées dans les systèmes MOTION sont chiffrées au repos à l’aide de l’AES-256. Les sauvegardes sont également chiffrées en transit et au repos à l’aide de l’AES-256. MOTION est alertée des problèmes de chiffrement par des évaluations de risques internes périodiques, des tests de robustesse SSL par des tiers, et des tests d’intrusion externes.  

Contrôle des entrées  
Pour garantir qu’il soit possible de vérifier si, quand et par qui des données personnelles ont été saisies, modifiées ou supprimées des systèmes de traitement :  
L’infrastructure de MOTION est conçue pour consigner des informations détaillées sur le comportement du système, le trafic, l’authentification et d’autres événements techniques. Un système centralisé d’agrégation des journaux stocke et indexe les événements, et alerte le personnel approprié en cas d’activités malveillantes, anormales ou involontaires.  

Les applications de MOTION consignent les événements relatifs à la saisie, la mise à jour et la suppression des Données du Client. Ces événements incluent les noms d’utilisateur uniques et les horodatages pour permettre l’investigation des écarts ou incidents de sécurité.  

Contrôle de la disponibilité  
Pour garantir que les données personnelles sont protégées contre toute perte ou destruction accidentelle ou non autorisée :  
Les centres de données sont dotés d’une redondance minimale de type N+1 pour l’alimentation électrique, le réseau et les systèmes de refroidissement. Des protections réseau sont déployées pour atténuer les attaques par déni de service distribué (DDoS). L’infrastructure de MOTION est conçue pour éviter les points de défaillance uniques.  

Toutes les données sont sauvegardées toutes les 15 minutes, et la restauration à un point dans le temps est disponible. Les stratégies de sauvegarde et de réplication assurent la redondance et la protection contre les pannes majeures. Les Données du Client sont sauvegardées hors site et répliquées dans plusieurs régions géographiques.  

MOTION maintient et teste régulièrement un plan de reprise après sinistre pour garantir la disponibilité des informations en cas d’interruption ou de défaillance de l’infrastructure critique.  

Certifications de sécurité  
MOTION détient les certifications suivantes, vérifiées par des auditeurs tiers indépendants :  
(À VENIR) Rapport SOC 2 Type 1  
(À VENIR) Conformité PCI-DSS  

ANNEXE 3

SOUS-TRAITANTS AUTORISÉS À LA DATE D’ENTRÉE EN VIGUEUR DE L’ATD