Télécharger le PDF
Accord de traitement des données
(à jour au 13 avril 2026)
« Services »). Le présent ATD prend effet à la date d’acceptation du Contrat.
ou conditions et les remplaceront à l’égard de l’objet visé.
Les Parties conviennent de ce qui suit :
1. Définitions
et « personne physique » comme indiqué dans la Loi sur la protection des renseignements personnels du Québec ;
« Lois de l’UE sur la protection des données » désigne les lois, actes, déclarations, décrets, directives, textes de loi, ordonnances, arrêtés, règlements, règles ou tout autre instrument juridiquement contraignant se rapportant à la protection des données personnelles qui sont en vigueur dans le territoire de l’Union européenne, notamment la Directive sur la protection des données, le RGPD, la Directive vie privée et communications électroniques et le Règlement vie privée et communications électroniques ;
« Clauses types » désigne les clauses contractuelles types pour le transfert de données à l’échelle internationale (du responsable de traitement au sous-traitant, module 2) comme établi dans la Décision d’exécution de la Commission européenne (CE) 2021/914 du 4 juin 2021 ;
« Organisme de réglementation » désigne l’autorité de contrôle de la protection des données qui a compétence sur le Traitement des Données à caractère personnel par un Responsable du traitement. Cela comprend, mais sans s’y limiter, la Commission d’accès à l’information au Québec, ainsi que les organismes de réglementation dans chaque État membre de l’Espace économique européen (« EEE ») et du Royaume-Uni ;
« Pays tiers » désigne tous les pays qui ne relèvent pas du champ d’application des lois sur la protection des données de l’EEE et le Royaume-Uni, à l’exclusion des pays que la Commission européenne considère comme des pays offrant une protection adéquate des Données à caractère personnel, le cas échéant.
Les termes en majuscules utilisés mais non définis dans le présent document ont la signification qui leur est attribuée dans le Contrat.
2. Traitement des données personnelles
2.1 Les Parties reconnaissent et conviennent que relativement au Traitement des Données à caractère personnel, le Client est le « Responsable du traitement » et Nectari le « Sous-traitant », et que Nectari pourrait engager d’« Autres sous-traitants » conformément aux exigences énoncées dans la clause 8 ci-dessous.
2.2 La durée du Traitement, la nature et la finalité du Traitement, les types de Données à caractère personnel et les catégories de Données à caractère personnel Traitées en vertu du présent ATD sont plus amplement décrits à l’annexe 1 « Détails relatifs au Traitement » de cet ATD.
2.3 Le Sous-traitant traite les Données à caractère personnel uniquement pour le compte du Responsable du traitement et conformément aux instructions documentées de celui-ci. Les Parties conviennent que le présent ATD constitue les instructions complètes et définitives du Client à Nectari en lien avec le traitement de toute Donnée à caractère personnel, comme indiqué à l’annexe 1. Le Responsable du traitement assume l’entière responsabilité de l’exactitude, de la qualité et de la légalité des Données à caractère personnel et des moyens par lesquels le Responsable du traitement a acquis les Données à caractère personnel, et établit le fondement juridique du Traitement en vertu des Lois applicables sur la protection des données. Sans limiter ce qui précède, le Responsable du traitement déclare, garantit et s’engage à ce que : Il a fourni (ou fournira) tout avis et obtenu tous les consentements et droits exigés par les Lois applicables sur la protection des données pour permettre au Sous-traitant de Traiter légalement les Données à caractère personnel comme le permet le présent ATD et le Contrat.
2.4 Chaque Partie respectera l’ensemble des lois, règles et règlements qui s’appliquent à elle et qui la lient dans le cadre de l’exécution de cet ATD, y compris les Lois applicables sur la protection des données.
2.5 Le Responsable du traitement a le droit de vérifier le Traitement des Données à caractère personnel par le Sous-traitant, tel que prévu dans les Lois applicables sur la protection des données.
3. Personnel autorisé
3.1 Le Sous-traitant veille à ce que son personnel autorisé à traiter les Données à caractère personnel s’engage à respecter la confidentialité ou soit soumis à une obligation légale appropriée de confidentialité. Le Sous-traitant veille à ce que ces obligations de confidentialité demeurent en vigueur après la cessation de l’engagement du personnel.
4. Droits des personnes concernées
4.1 Le Sous-traitant, dans la mesure autorisée par la loi, avise rapidement le Responsable du traitement s’il reçoit une demande d’une Personne concernée qui veut accéder à ses propres Données à caractère personnel, ou qui veut rectifier ou effacer ces Données à caractère personnel, ou toute autre demande ou requête d’une Personne concernée qui concerne ses propres Données à caractère personnel (y compris l’exercice par les Personnes concernées de leurs droits en vertu des Lois applicables sur la protection des données, tels que le droit d’opposition, et les droits à la restriction de traitement, à la portabilité des données et à l’oubli notamment les droits de désindexation, ou le droit de ne pas faire l’objet de décisions automatisées) (la « Demande d’une Personne concernée »). En tenant compte de la nature du Traitement, le Sous-traitant aide le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de l’obligation du Responsable du traitement de donner suite à la Demande d’une Personne concernée en vertu des Lois applicables sur la protection des données. De plus, dans la mesure où le Responsable du traitement, dans son utilisation des Services, n’a pas la possibilité de répondre à la Demande d’une Personne concernée, le Sous-traitant doit, à la demande du Responsable du traitement, déployer des efforts raisonnables sur le plan commercial en vue d’aider le Responsable du traitement à répondre à cette Demande d’une Personne concernée, dans la mesure où le Sous-traitant est légalement autorisé à le faire et dans la mesure où la réponse à cette Demande d’une Personne concernée est exigée en vertu des Lois applicables sur la protection des données. En vertu de ce que la loi autorise, le Responsable du traitement assume tout coût découlant de la fourniture par le Sous-traitant de cette assistance.
5. Demande d'accès du gouvernement
5.1 Le Sous-traitant avise rapidement le Responsable du traitement de toute demande juridiquement contraignante de divulgation de Données à caractère personnel émanant d’un organisme chargé de l’application de la loi, sauf s’il lui est interdit par ailleurs de le faire. Le Responsable du traitement a le droit de contester cette action à la place et/ou pour le compte du Sous-traitant. Le Sous-traitant coopère raisonnablement avec le Responsable du traitement dans le cadre de cette contestation.
6. Sécurité
6.1 Le Sous-traitant et le Responsable du traitement doivent chacun mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour assurer la sécurité (y compris la protection contre le Traitement non autorisé ou illicite, et contre la destruction, la perte ou l’altération ou les dommages d’origine accidentelle ou illicite, et contre la divulgation non autorisée des Données à caractère personnel ou l’accès non autorisé à celles-ci), la confidentialité et l’intégrité des Données à caractère personnel.
7. Conformité
7.1 Le Sous-traitant déploie des efforts raisonnables pour mettre à la disposition du Responsable du traitement tous les renseignements nécessaires pour démontrer le respect des obligations énoncées dans cet ATD et les Lois applicables sur la protection des données.
7.2 À la demande du Responsable du traitement, le Sous-traitant offre au Responsable du traitement la coopération et l’assistance raisonnables de manière à permettre au Responsable du traitement de s’acquitter de son obligation en vertu du RGPD et de la Loi sur la protection des renseignements personnels du Québec en vertu de laquelle il est tenu d’effectuer une analyse d’impact relative à la protection des données en lien avec l’utilisation par le Responsable du traitement des Services, dans la mesure où le Responsable du traitement n’a pas accès par ailleurs aux renseignements pertinents, et dans la mesure où ces renseignements sont accessibles au Sous-traitant. Le Sous-traitant procure une assistance raisonnable au Responsable du traitement dans le cadre de la coopération ou lors de la consultation préalable avec l’Organisme de réglementation aux fins de l’exécution des tâches en lien avec la clause 7 de cet ATD, dans la mesure exigée par les Lois applicables sur la protection des données. Dans la mesure où la loi le permet, le Responsable du traitement assume tout coût découlant de la fourniture par le Sous-traitant de cette assistance.
8. Traitement confié à un autre sous-traitant
8.1 Le Responsable du traitement convient que le Sous-traitant peut engager d’Autres sous-traitants pour Traiter les Données à caractère personnel. Les Autres sous-traitants engagés actuellement par Nectari et autorisés par le Client sont indiqués à l’annexe 2 « Liste des Autres sous-traitants ».
8.2 Le Sous-traitant veille à ce que cet Autre sous-traitant signe une entente écrite en vertu de laquelle l’Autre sous-traitant est tenu de respecter des modalités dont le degré de protection n’est pas inférieur à celui figurant dans le présent ATD en lien avec la protection des Données à caractère personnel, dans la mesure applicable à la nature des services fournis par cet Autre sous-traitant. Le Sous-traitant est responsable des actes et omissions de tout Autre sous-traitant dans la même mesure que si les actes ou omissions étaient commis par le Sous-traitant.
8.3 Le Sous-traitant met à la disposition du Responsable du traitement la Liste des Autres sous-traitants et procure au Responsable du traitement un mécanisme qui permet d’être informé de toute mise à jour apportée à la Liste des Autres sous-traitants. L’avis concernant l’existence d’un nouvel Autre sous-traitant
est délivré avant que ce nouvel Autre sous-traitant soit autorisé à Traiter les Données à caractère personnel en lien avec le Contrat.
8.4 Le Responsable du traitement peut s’opposer au fait que le Sous-traitant fasse appel à un nouvel Autre sous-traitant lorsqu’il y a des raisons de croire que le nouvel Autre sous-traitant ne sera pas en mesure de respecter les modalités du présent ATD ou du Contrat. Si le Responsable du traitement s’oppose à ce que le Sous-traitant fasse appel à un nouvel Autre sous-traitant, le Responsable du traitement avisera rapidement le Sous-traitant par écrit dans un délai de dix (10) jours après avoir été informé de l’existence de cet Autre sous-traitant. L’omission par le Responsable du traitement de s’opposer par écrit dans le délai prescrit constitue une autorisation à faire appel au nouvel Autre sous-traitant. Le Responsable du traitement reconnaît que l’incapacité d’utiliser un nouvel Autre sous-traitant particulier peut entraîner une interruption des Services ou une augmentation des frais. Le Sous-traitant avisera le Responsable du traitement par écrit (y compris par courriel) de toute interruption des Services ou de toute augmentation des frais qui résulterait de l’incapacité du Sous-traitant d’utiliser un nouvel Autre sous-traitant auquel le Responsable du traitement s’est opposé. Le Responsable du traitement peut soit signer un avenant écrit au Contrat mettant en œuvre un tel changement, soit exercer son droit de résilier le Contrat conformément à ses dispositions relatives à la résiliation. Une telle résiliation ne constitue pas une résiliation pour inexécution du Contrat. Le Sous-traitant a le droit de résilier le Contrat si le Responsable du traitement s’oppose de façon déraisonnable à un Autre sous-traitant, ou n’accepte pas de signer un avenant écrit au Contrat mettant en œuvre des modifications des frais ou des Services résultant de l’incapacité d’utiliser l’Autre sous-traitant en cause.
9. Renvoi et suppression des données
9.1 Le Sous-traitant doit, au choix du Responsable du traitement, supprimer ou renvoyer les Données à caractère personnel au Responsable du traitement au moment de la résiliation du Contrat (et de la fourniture des Services) et supprimer les copies existantes des Données à caractère personnel, sauf si la loi ou l’ordonnance d’un organisme gouvernemental ou réglementaire l’interdisent. Pour plus de certitude, le retour de l’ensemble des Données à caractère personnel stockées par le Responsable du traitement, ou pour son compte, dans le Logiciel à la résiliation du Contrat (et de la fourniture des Services) s’effectue lorsque le Responsable du traitement exporte ses Données du Client (telles que définies dans le Contrat) à partir du Logiciel, au moyen des fonctionnalités d’exportation de données mises à disposition dans le Logiciel. Le Sous-traitant peut également anonymiser ces Données à caractère personnel et conserver des copies des Données à caractère personnel anonymisées, si les Lois applicables sur la protection des données le permettent.
9.2 Le Responsable du traitement reconnaît et convient que le Sous-traitant n’assume aucune responsabilité à l’égard des pertes subies par le Responsable du traitement découlant de ou en lien avec l’incapacité du Sous-traitant de fournir les Services, lorsque cette incapacité résulte du fait que le Sous-traitant se conforme à une demande de suppression ou de renvoi de Données à caractère personnel présentée par le Responsable du traitement conformément à la clause 9.1.
10. Violation de données
10.1 Dans l’éventualité où il y a, ou si le Sous-traitant croit raisonnablement qu’il y a, un accès, une utilisation ou une divulgation inappropriés, non autorisés ou illicites de Données à caractère personnel, ou toute autre compromission ayant une incidence sur la disponibilité, l’intégrité ou la confidentialité des Données à caractère personnel qui sont Traitées par le Sous-traitant en vertu du présent ATD et/ou du Contrat, ou en lien avec ceux-ci (une « Violation de données »), alors, dès qu’il a connaissance d’une telle Violation
de données, le Sous-traitant avise promptement le Responsable du traitement et lui fournit les renseignements suivants dès qu’ils sont disponibles:
(i) une description de la nature de la Violation de données, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées ;
(ii) le nom et les coordonnées de la personne-ressource du Sous-traitant auprès duquel des informations supplémentaires peuvent être obtenues ; et
(iii) une description des mesures prises ou qu’il est proposé de prendre pour remédier à la Violation de données, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
10.2 Les Parties consentent à coopérer de bonne foi en vue de rédiger le contenu de toute déclaration publique afférente et de tout avis requis à destination des Personnes concernées touchées et/ou des Organismes de réglementation pertinents en rapport avec une Violation de données, sous réserve qu’aucune disposition dans la présente clause 10.2 n’empêche l’une ou l’autre des Parties de respecter leurs obligations en vertu des Lois applicables sur la protection des données. Les obligations dans cette clause 10 ne s’appliqueront pas aux incidents qui sont causés par le Client ou tout Utilisateur (tel que ce terme est défini dans le Contrat).
11. Transferts internationaux et interprovinciaux
11.1 Le Sous-traitant traitera uniquement les données dans un Pays tiers, ou transférera uniquement les Données à caractère personnel vers un Pays tiers, dans lequel ce traitement ou ce transfert se déroule sur la base et en vertu des Clauses types, des détails relatifs au traitement qui forment l’annexe 1 des Clauses types, et des mesures de sécurité techniques et organisationnelles qui forment l’annexe 2 des Clauses types. Le Sous-traitant respecte les obligations qui incombent à l’importateur de données et le Responsable du traitement respecte les obligations qui incombent à l’exportateur des données, tel qu’énoncé dans les Clauses types.
11.2 Si le Sous-traitant désigne une société affiliée ou un Autre sous-traitant pour traiter les Données à caractère personnel dans un Pays tiers, le Sous-traitant doit veiller à ce que ce traitement se déroule conformément aux exigences des Lois applicables sur la protection des données. Les Parties conviennent que les Données à caractère personnel peuvent être transférées à une société affiliée ou un Autre sous-traitant aux États-Unis qui consent à traiter les Données à caractère personnel conformément aux Clauses types.
11.3 Le Sous-traitant ne traitera les données, ou ne transférera les Données à caractère personnel à d’Autres sous-traitants, dans une province autre que le Québec qu’après avoir effectué une « évaluation des facteurs relatifs à la vie privée » (une « EFVP »), conformément à la Loi sur la protection des renseignements personnels du Québec, avant que les Données à caractère personnel ne quittent le Québec. Si l’EFVP n’est pas conforme aux normes du Sous-traitant et aux normes exigées en vertu de la
Loi sur la protection des renseignements personnels du Québec, le Sous-traitant ne transférera pas les Données à caractère personnel à l’Autre sous-traitant en question.
12. Dispositions générales
12.1 Cet ATD prendra fin à la résiliation du Contrat ou quand le Sous-traitant cesse de Traiter les Données à caractère personnel, la date la plus tardive étant retenue, sauf convention contraire écrite entre les Parties.
12.2 Par les présentes, les Parties reconnaissent et conviennent qu’une personne ayant des droits aux termes de cet ATD peut subir un préjudice irréparable en cas d’infraction de ses modalités et que des dommages-intérêts seuls peuvent ne pas constituer un recours adéquat. En conséquence, une personne qui porte une réclamation au titre de cet ATD a le droit aux recours de l’injonction et de l’exécution en nature ou à d’autres recours en équité, en cas de violation réelle ou menace de violation des modalités de cet ATD.
12.3 Si l’une ou l’autre des Parties souhaite modifier l’ATD pour se conformer à un changement dans les Lois applicables sur la protection des données ou à la décision définitive et exécutoire d’un Organisme de réglementation ayant compétence sur le Traitement des Données à caractère personnel de la Partie, les Parties discuteront de bonne foi de la manière de procéder à toute modification nécessaire.
12.4 Les en-têtes des clauses dans le présent ATD sont à titre de référence seulement et n’ont aucun effet sur la signification ou l’interprétation du présent ATD.
Annexe 1 : Détails Du Traitement
Activités de traitement
Les Données à caractère personnel traitées par le Sous-traitant seront soumises aux activités de Traitement de base suivantes :
Prestation des Services, tels que décrits dans le Contrat et tels que convenus autrement par les Parties.
Durée
Les Données à caractère personnel Traitées par le Sous-traitant seront Traitées pendant la durée suivante :
La durée du Contrat entre le Responsable du traitement et le Sous-traitant.
Personnes concernées
Les Données à caractère personnel Traitées par le Sous-traitant concernent les catégories suivantes de Personnes concernées :
a) les employés, consultants ou mandataires du Client qui sont autorisés par le Client à accéder au Logiciel et à l’utiliser (les « Utilisateurs »); et
b) toute autre personne physique dont les Données à caractère personnel sont saisies dans le Logiciel par un Utilisateur.
Catégories de données
Les Données à caractère personnel Traitées par le Sous-traitant incluent les catégories de données suivantes :
Informations sur le Logiciel et informations sur le Client :
a) Informations sur le compte : nom et adresse courriel
b) Données saisies dans le Logiciel : toute Donnée à caractère personnel qu’un Utilisateur soumet au Logiciel à titre de donnée d’entrée
• Informations additionnelles : toute autre Donnée à caractère personnel (i) que le Client collecte auprès de ses Utilisateurs au moyen du Logiciel; ou (ii) qui peut être soumise au Logiciel, ou utilisée ou Traitée en lien avec le Logiciel, par un Utilisateur relativement à une personne physique
Informations de paiement:
• numéro de carte de crédit, date d’expiration de la carte de crédit, code de sécurité de la carte de crédit (CVV), adresse de facturation et nom associé à la carte de crédit
Informations analytiques :
a) identifiants analytiques uniques
b) adresses IP
Catégories particulières de données (le cas échéant)
Les Données à caractère personnel Traitées par le Sous-traitant concernent les données personnelles sensibles suivantes :
Aucune par défaut.
Annexe 2 : Liste Des Autres Sous-Traitants
Nom de l’Autre sous-traitant | Localisation et où trouver plus d’informations |
Microsoft Azure: Hébergement du Logiciel; fournisseur de services d’intelligence artificielle. | Localisation: dépend de la localisation du Client |
Stripe: Traitement des paiements | Localisation: dépend de la localisation du Client |
Odoo: Fournisseur de services ERP | Localisation: Amérique du Nord |
Beamer: Fournisseur de services de communication logicielle (notifications; mises à jour) | Localisation: États-Unis |
