Modalités de confidentialité et de sécurité des données

Les présentes modalités de confidentialité et de sécurité des données (les « Modalités ») sont convenues entre De Lage Landen Financial Services Canada Inc. et les membres de son groupe (« DLL ») ainsi que le vendeur, le fournisseur, le fournisseur de services, le partenaire commercial, le concessionnaire ou une autre entité pour laquelle elles sont prévues (la « Société »; avec DLL, individuellement, une « Partie », et collectivement, les « Parties »). Dans les cas où DLL et la Société ont dûment conclu d’autres Conventions (collectivement la « Convention ») par lesquelles la Société reçoit ou recevra des renseignements confidentiels de DLL, malgré toute disposition contraire de la Convention, les Modalités sont sous réserve de la Convention et y sont par les présentes intégrées. En cas de conflit entre les modalités de la Convention et les Modalités, ces dernières prévalent quant à l’objet du conflit. Tous les termes utilisés aux présentes sans y être définis ont le sens qui leur est donné à l’annexe A.

2.2En contrepartie de la retenue par DLL des services de la Société et/ou de la fourniture à celle-ci, par DLL, d’un accès aux renseignements confidentiels de DLL, ainsi que pour d’autres contreparties à titre onéreux et valables dont la réception et le caractère suffisant sont reconnus, la Société convient de ce qui suit et entend être juridiquement liée par les présentes :

1. Respect des exigences et des lois applicables.

La Société et ses employés, mandataires, entrepreneurs, sous-traitants et fournisseurs de services autorisés (les « Représentants ») sont tenus de respecter les Modalités (les « Exigences de base ») tant qu’ils auront accès à des renseignements confidentiels, sans égard à la résiliation de toute Convention. La Société déclare et garantit qu’elle respectera toutes les lois applicables à l’égard des renseignements confidentiels et des DEF qu’elle reçoit, recueille, utilise, communique ou conserve conformément à la Convention. La Société est responsable des actes ou omissions de ses Représentants qui contreviennent à la Convention ou aux Modalités comme si elle était elle-même directement l’auteure du manquement. De temps à autre, DLL peut mettre à jour les Modalités par la modification ou l’ajout d’exigences de sécurité des données (les « Exigences supplémentaires » et, collectivement, avec les Exigences de base, les « Exigences »). La Société doit se conformer à toute exigence supplémentaire (et veillera à ce que ses Représentants en fassent autant) dans les trente (30) jours – ou dans le délai plus long que fixe DLL à sa seule discrétion – suivant la réception d’un avis de DLL. Si elle manque à une exigence supplémentaire ou établit raisonnablement qu’elle ne pourra pas s’y conformer dans le délai convenu, la Société en avise DLL par écrit, laquelle pourra alors, à sa discrétion, prolonger le délai ou résilier la Convention ou tout bon de commande, énoncé des travaux ou autre document complémentaire à la Convention immédiatement, moyennant un avis à la Société.

2. Confidentialité

Limites à l’utilisation et à la communication de renseignements confidentiels
Il ne peut y avoir de collecte, d’utilisation, de communication ou de conservation de renseignements confidentiels qu’afin de remplir les obligations de la Société aux termes de la Convention, sauf dans la mesure où DLL l’exige ou le permet. Il est interdit à la Société de communiquer, de vendre, de céder ou de transférer à un tiers, incluant un sous-traitant, ou de disposer autrement de tout renseignement confidentiel sans l’autorisation écrite préalable de DLL, sauf si la communication ou le transfert est exigé par la loi ou permis par d’autres Conventions entre DLL et la Société. Qui plus est, nul renseignement confidentiel ne peut être autrement exploité à des fins commerciales par la Société ou ses Représentants, ou en leur nom. La Société mettra en œuvre et maintiendra des mesures de sécurité raisonnables, appropriées et conformes aux lois applicables afin de protéger les renseignements confidentiels des utilisations, communications, modifications, destructions, conservations et traitements non autorisés.

Dans la mesure où cela s’applique, la Société déploie des moyens commercialement raisonnables pour que les systèmes de la Société et ceux de ses Représentants qui ont accès, utilisent ou contiennent des renseignements confidentiels soient séparés logiquement des systèmes servant à des tiers. Le fournisseur doit fournir à DLL la preuve de toute certification à cet égard, de même que l’aviser de la suspension, du retrait ou de l’annulation de celle-ci, de même que de tout autre changement important à son égard.

Instructions concernant les renseignements confidentiels
Dans la mesure où cela s’applique, la Société doit i) se conformer à toute instruction reçue de DLL concernant les renseignements confidentiels (y compris, mais sans s’y limiter, à la restriction ou l’interdiction de leur communication ultérieure, la fourniture d’une copie intégrale de ceux-ci, leur élimination permanente ou leur destruction sécuritaire) et ii) aider par ailleurs DLL dans la mesure nécessaire pour qu’elle se conforme aux lois applicables.

Destruction de renseignements confidentiels
Dans les cinq (5) jours ouvrables après avoir reçu l’instruction de DLL de détruire des renseignements confidentiels, la Société devra détruire ceux-ci de manière sécuritaire et conforme au présent article, et elle en fournira à DLL la confirmation écrite. Les moyens que prend la Société pour détruire ou éliminer des renseignements confidentiels conformément aux modalités de la Convention ou aux Modalités doivent être sécuritaires et conformes aux pratiques exemplaires du secteur. Tous les renseignements confidentiels, peu importe leur forme (physique ou électronique), doivent être rendus illisibles et irrécupérables, notamment par suppression logique, nettoyage de données ou démagnétisation, selon la sensibilité des renseignements confidentiels en cause.

3. Sécurité des données

Plan écrit.
La Société déclare et garantit avoir adopté, documenté, mis en œuvre et observé un plan de sécurité des renseignements écrit et commercialement raisonnable prévoyant le maintien de contrôles physiques, organisationnels, administratifs et techniques pour protéger tous les renseignements confidentiels sous la garde ou le contrôle de la Société, quel qu’en soit le support ou le format, contre la destruction, les pertes, les altérations, la communication, l’utilisation et les accès accidentels, non autorisés ou illicites et contre toute autre activité illicite conformément aux Exigences énoncées à l’annexe B (le « Plan »). Périodiquement, mais au moins chaque année, la Société évalue son plan et y apporte les modifications nécessaires. Si elle y décèle une lacune importante, la Société prend des mesures appropriées selon les circonstances pour la combler.

Sécurité et surveillance des réseaux et systèmes.
La Société déploie des mécanismes de protection des réseaux conformes aux pratiques exemplaires du secteur pour tous ses réseaux qui accèdent à des renseignements confidentiels. Tous les renseignements confidentiels conservés sous forme électronique par la Société ou en son nom doivent se trouver derrière un pare-feu configuré adéquatement et conforme aux normes du secteur. De plus, la Société doit employer des technologies d’authentification et de détection des intrusions conformes aux normes du secteur pour prévenir les destructions, pertes, communications, utilisations, altérations et accès non autorisés de renseignements confidentiels. À tout le moins, des pare-feu et des systèmes de détection ou de prévention des intrusions doivent être utilisés pour les réseaux connectés à l’Internet. Les pare-feu ne doivent permettre que le trafic réseau explicitement connu ou autorisé. Tout autre trafic réseau doit être refusé. La Société doit réduire au minimum les accès aux renseignements confidentiels au moyen de réseaux sans fil, et veiller à ce que l’authentification, le cryptage et la sécurité relatifs à ces réseaux soient conformes aux pratiques exemplaires généralement acceptées du secteur. Les accès aux renseignements confidentiels sur l’Internet public doivent être limités aux seules connexions émanant d’adresses IP préautorisées par la Société; les autres doivent être refusés. De plus, la Société convient que si des renseignements confidentiels électroniques sont transmis sur des réseaux publics ou tiers ou s’ils sont conservés ou transportés hors des systèmes ou des locaux de la Société, y compris lorsqu’ils sont stockés sur un dispositif ou un appareil portatif (ordinateur portable, tablette, téléphone, clé USB), ceux-ci doivent être cryptés à l’aide de technologies de cryptage conformes aux pratiques exemplaires du secteur ainsi qu’aux orientations en vigueur du National Institute of Standards and Technology (NIST).

Contrôle des accès et gestion de l’identité.
La Société doit :

  1. ne donner accès à des renseignements confidentiels qu’à ses Représentants qui en ont besoin;
  2. avant de donner leurs droits d’accès à ces Représentants, les informer de la nature confidentielle des renseignements et des systèmes et les tenir contractuellement obligés de respecter les Exigences;
  3. utiliser l’authentification multifacteur dans la mesure du possible, de même que des politiques de mot de passe appropriées.

Sensibilisation et formation en matière de sécurité.
La Société déclare et garantit disposer d’un programme de formation en matière de sécurité enseignant à ses Représentants la protection des renseignements confidentiels. Avant d’obtenir l’accès à des renseignements confidentiels, tous les employés de la Société qui ont accès à des renseignements professionnels doivent réussir une formation initiale de sensibilisation à la sécurité adaptée à la nature des renseignements confidentiels que DLL communique à la Société. Ils doivent également suivre une formation d’appoint chaque année.

4. Incidents de sécurité.

Dès la survenance d’un incident de sécurité.
Si la Société ou un représentant découvrent un incident de sécurité ou en sont avisés, y compris tout événement devant être déclaré à une personne ou un organisme de réglementation en vertu des lois applicables, la Société doit en informer DLL dans les quarante-huit (48) heures suivant sa prise de connaissance de l’incident. Les incidents de sécurité doivent être signalés au chef de la protection des renseignements confidentiels de DLL, par courriel à l’adresse canadianprivacy@dllgroup.com ou au 1 416 357-3280. La Société doit alors i) enquêter et préserver tous les dossiers et autres éléments de preuve relatifs à l’incident de sécurité, ainsi que prendre toutes les mesures appropriées pour remédier aux effets de celui-ci et limiter les risques qui en découlent; ii) fournir à DLL un rapport écrit des fruits de son enquête, y compris les risques susceptibles de menacer les renseignements confidentiels, les mesures prises ou à prendre et tout autre renseignement que DLL peut raisonnablement demander; iii) fournir à DLL une assurance qui lui est raisonnablement satisfaisante que l’incident de sécurité ne se reproduira pas. La Société ne peut agir indépendamment pour remédier à un incident de sécurité d’une façon qui puisse affecter DLL sans d’abord l’en aviser, sauf lorsque le défaut de réagir immédiatement causerait un préjudice irréparable à DLL.

Avis externes.
DLL peut informer les personnes concernées, les autorités gouvernementales et les organismes d’application de la loi de la survenance d’incidents de sécurité faisant intervenir des DEF, de même que donner tout autre avis requis par la loi ou qu’elle juge nécessaire ou prudent à sa seule discrétion (les « avis »). La Société et ses Représentants ne peuvent faire aucune déclaration publique ni communiquer avec les emprunteurs, clients, consommateurs et fournisseurs touchés de DLL à propos d’un incident de sécurité sans le consentement préalable écrit de DLL, sauf si la loi l’exige, le cas échéant la Société en avisera promptement DLL. DLL a le contrôle exclusif du contenu de ces déclarations et avis, dans la mesure où le permettent les lois applicables.

Coopération et communication avec la Société.
La Société doit coopérer de bonne foi avec DLL lorsque celle-ci traite d’un incident de sécurité, y compris, mais sans s’y limiter, la conduite d’enquêtes, à la préparation de rapports, le moment et à la façon de donner avis et aux autres obligations en vertu des lois applicables, ou encore selon ce qu’exige DLL par ailleurs afin d’enquêter sur un incident, d’y répondre et d’en limiter les dommages.

5. Vérification diligente et contrôle de la conformité par DLL

En réponse aux demandes périodiques de DLL à cet égard, la Société doit exécuter à ses propres frais les demandes d’information de DLL visant les pratiques de protection des renseignements confidentiels et de sécurité des données de la Société. DLL et ses auditeurs ont le droit d’examiner tous les livres et registres se rapportant au respect des Exigences par la Société et ses Représentants durant les heures normales d’ouverture, et la Société doit collaborer à ces évaluations et fournir les renseignements qu’on lui demande en lien avec celles-ci (y compris tout rapport sur le contrôle organisationnel de service). Ces évaluations sont effectuées moyennant un avis d’au moins dix (10) jours ouvrables, et de manière à ne pas entraver de façon significative les activités commerciales de la Société. La Société corrigera dans les plus brefs délais les défauts et manquements aux Exigences décelés et signalés par DLL.

6. Obligation d’assistance de la Société

La Société doit donner à DLL et à ses auditeurs toute l’aide nécessaire à la conduite de ces vérifications dans le respect des lois applicables. Cette aide peut notamment consister en :

  1. l’accès physique et électronique à distance à des copies de dossiers et à d’autres renseignements conservés dans les locaux de la Société ou sur des systèmes contenant des renseignements personnels;
  2. un accès au personnel de la Société raisonnablement nécessaire à l’obtention des explications nécessaires et à la réalisation efficace de la vérification et des réunions avec lui-ci;
  3. l’inspection de tous les dossiers et de l’infrastructure, des données et systèmes électroniques, des installations, de l’équipement et des logiciels utilisés pour conserver, traiter ou transporter des renseignements personnels.

7. Droits des personnes concernées

La Société doit informer DLL immédiatement, tout au plus dans les vingt-quatre (24) heures, du dépôt par une personne concernée d’une demande d’exercice de ses droits en vertu des lois et règlements applicables en matière de protection des données. La Société doit assister DLL quant à toute demande d’information reçue d’une personne concernée en lien avec des renseignements confidentiels. La Société ne communiquera avec des personnes concernée, et ne traitera de leurs demandes d’information, qu’avec le consentement écrit préalable de DLL.

Il se peut que la Société ait la garde ou le contrôle de DEF pour lesquelles des personnes physiques ont certains droits en vertu des lois applicables (ces droits étant individuellement et collectivement désignés les « Droits sur les données personnelles »). Les Droits sur les données personnelles peuvent comprendre le droit a) de recevoir une copie des DEF sous la garde ou le contrôle de la Société; b) de recevoir de l’information sur l’utilisation et la communication de DEF; c) d’exiger la prise de certaines mesures relativement aux DEF, dont leur élimination, leur correction, l’accès à ceux-ci ou la réception de copies de ceux-ci dans un format portable, de même que l’interdiction ou la limitation de certaines utilisations et communications des DEF. Dans l’éventualité où la Société reçoit d’une personne physique une demande visant des droits sur les données personnelles, la Société doit immédiatement en aviser DLL, ne serait-ce que par courriel. La Société doit, à ses frais, aider DLL à répondre aux demandes visant des Droits sur les données personnelles qui ont trait à des DEF se trouvant sous la garde ou le contrôle de la Société, à évaluer l’incidence d’activités de traitement sur la protection des données ou des renseignements personnels, à protéger la sécurité des DEF, à répondre aux demandes et enquêtes gouvernementales visant des DEF ou à se conformer par ailleurs aux lois applicables relativement aux DEF. Il est interdit à la Société de i) vendre, louer, publier, communiquer, distribuer, rendre disponible, transférer ou autrement transmettre oralement, par écrit ou par voie électronique tout renseignement confidentiel (y compris, mais sans s’y limiter, les DEF) à un tiers, que ce soit à titre onéreux ou pour toute autre contrepartie; ii) conserver, communiquer, utiliser ou autrement traiter tout renseignement confidentiel dans tout but (dont un but commercial) autre que la fin particulière de fournir les services précisés dans la Convention ou autrement convenus entre les Parties; et/ou iii) conserver, utiliser ou communiquer tout renseignement confidentiel hors du cadre de la relation commerciale directe entre la Société et DLL. La Société atteste par les présentes qu’elle comprend les restrictions énoncées à la phrase précédente et qu’elle les respectera.

8. Indemnisation

Outre ses éventuelles obligations d’indemnisation envers DLL aux termes de la Convention, la Société doit indemniser et tenir indemne DLL, les membres de son groupe et leurs employés, dirigeants, administrateurs, actionnaires, gestionnaires, membres et mandataires respectifs quant aux dépenses, aux dommages, aux pertes, aux jugements, aux règlements et aux frais (y compris, mais sans s’y limiter, les honoraires d’avocat raisonnables) engagés ou subis en lien avec : a) tout incident de sécurité, incluant, sans restriction, les frais de reconstruction de données et de criminalistique informatique (y compris les audits de sécurité et les évaluations des systèmes de la Société qu’exige raisonnablement DLL), les frais de transmission d’avis et liés à la prestation de services de surveillance des vols d’identité et d’intervention en la matière (y compris ceux relatifs à des centres d’appel et à des services d’évaluation du crédit) aux parties touchées, les amendes et sanctions imposées par les organismes de réglementation et les éventuels frais raisonnables d’avocat externe engagés par DLL relativement à tel incident de sécurité (y compris les frais de contestation et de défense face aux réclamations, demandes, enquêtes réglementaires et procédures associées); b) les réclamations, demandes et procédures intentées par des tiers, les frais de défense y afférents et les sanctions pécuniaires et amendes imposées par des organismes de réglementation ou de supervision découlant d’allégations qui, si elles étaient démontrées, constitueraient un manquement par la Société aux Modalités, aux Exigences ou aux lois applicables. Il est interdit à la Société de conclure un règlement sans le consentement écrit préalable exprès de DDL relativement i) à l’assignation ou à l’imputation de toute faute ou responsabilité à DLL ou aux membres de son groupe; ii) à l’inclusion d’un consentement à une injonction ou à un recours similaire, ou à l’imposition, par un autre moyen, de toute obligation contraignante à DLL ou aux membres de son groupe; iii) l’acceptation d’un recours autre que des dommages-intérêts assumés uniquement par la Société. L’obligation d’indemnisation de la Société aux termes du présent article, ainsi que toute responsabilité engagée par la Société conformément aux présentes, ne sauraient faire l’objet de quelque limitation de responsabilité que ce soit aux termes de dispositions de la Convention ou d’un bon de commande, d’un énoncé des travaux ou d’un autre document complémentaire à la Convention, y compris toute disposition limitant le type et le montant de dommages-intérêts.

9. Déclarations et garanties

La Société déclare et garantit que : a) la Société et ses Représentants qui accèdent à des renseignements confidentiels en son nom ont suivi la formation nécessaire sur l’utilisation de renseignements confidentiels; b) la Société et ses Représentants qui mènent des activités en son nom traiteront les renseignements confidentiels conformément aux Modalités, à la Convention et à toutes les lois applicables; c) elle prendra les mesures techniques et organisationnelles appropriées pour prévenir le traitement non autorisé ou illicite de renseignements confidentiels, leur perte ou destruction accidentelle ou leur endommagement, ainsi que pour assurer un niveau de sécurité approprié eu égard : i) au préjudice pouvant résulter de ces traitements non autorisés ou illicites ou de ces pertes, cette destruction ou cet endommagement; ii) à la nature des renseignements confidentiels communiqués; et iii) au respect des lois applicables et de ses propres politiques de sécurité et sur les renseignements, tel que mentionné précédemment.

Annexe A

Définitions
« Lois applicables » s’entend de l’ensemble des lois et règlements internationaux, fédéraux, provinciaux et régionaux applicables qui se rapportent de quelque façon que ce soit à la protection des renseignements personnels, à la sécurité des données et/ou à la gouvernance des renseignements, dans leur version modifiée, mise à jour, complémentée, abrogée ou remplacée de temps à autre en ce qui concerne les renseignements confidentiels ou les DEF reçus, recueillis, traités ou conservés par la Société.

« Renseignements confidentiels » outre toute définition de « renseignements confidentiels » (ou d’un terme équivalent utilisé dans la Convention) dans la Convention, « renseignements confidentiels » s’entend de tout renseignement concernant DLL (ou un membre de son groupe), les logiciels (dont le code source, le code objet, l’architecture et les données y associées) ou aux renseignements relatifs les partenaires commerciaux, emprunteurs, clients ou employés passés, présents ou éventuels, identifiés ou identifiables, les DEF, les Modalités de prêt, les politiques de fixation des prix, les marges de profit, les renseignements financiers non publics, les méthodes d’exploitation, les plans de commercialisation, les bases de données, les réseaux, les systèmes, les autres éléments technologiques, les configurations, les comptes de système, les identifiants d’utilisateurs, les mots de passe, les plans, mesures et configurations de sécurité, les plans et mesures de reprise après sinistre ou de continuité des activités et les autres affaires commerciales de DLL (ou des membres de son groupe).

« Personne concernée » s’entend d’une personne physique identifiée ou identifiable à laquelle se rapporte des renseignements confidentiels.

« DEF » s’entend de tous les renseignements, information comportementale ou démographique, renseignements financiers et autres renseignements permettant d’identifier une personne qui sont communiqués par DLL (ou un membre de son groupe), ou que la Société ou ses Représentants acquièrent, auxquels ils accèdent ou qu’ils dérivent en lien avec la Convention qui, individuellement ou combinés avec d’autres renseignements, pourraient être utilisés pour identifier ou contacter une personne physique en particulier, ou encore dériver des renseignements la concernant, y compris son identité, ses nom et prénom (ou sa première initiale et son nom de famille), son numéro d’assurance sociale, son numéro de permis de conduire et toute autre pièce d’identité gouvernementale la visant, son numéro de téléphone, son numéro de carte de crédit, son numéro de carte bancaire, son adresse, son adresse courriel, son identifiant ou son mot de passe d’utilisateur, son numéro de compte, ses renseignements de paie, ses antécédents criminels ou d’emploi, le nom de jeune fille de sa mère, sa date de naissance ou d’autres facteurs particuliers à l’identité physique ou financière de cette personne physique. Constitue également un DEF toute information conservée ou traitée en lien avec des DEF.

« Incident de sécurité » s’entend a) de toute utilisation, modification, reproduction, élimination, communication, perte ou destruction non autorisée ou illicite de renseignements confidentiels de DLL, ainsi que de tout accès illicite ou non autorisé à ceux-ci, qu’ils soient démontrés ou soupçonnés; b) de tout événement dont il est prévisible qu’il entrave la confidentialité, l’intégrité ou la disponibilité de renseignements confidentiels de DLL.

Annexe B

Le plan de sécurité des renseignements de la Société doit comporter des mesures de contrôle physiques, organisationnelles, administratives et techniques dans les domaines suivants :

  1. la sécurité et le contrôle des réseaux et systèmes, y compris la sélection et l’utilisation appropriée de logiciels, de systèmes et de technologies de cryptage;
  2. la mise au point de systèmes et d’applications sécuritaires, y compris l’obtention sous licence d’applications conçues pour être sécuritaires;
  3. les tests de pénétration et les évaluations des vulnérabilités;
  4. l’inventaire des actifs et la gestion des appareils;
  5. le contrôle des accès et la gestion de l’identité, y compris, s’il y a lieu, l’utilisation de l’authentification à deux facteurs et de politiques sur les mots de passe appropriées;
  6. la sensibilisation et la formation en matière de sécurité;
  7. la gouvernance et le classement des données, y compris l’imposition de limites appropriées à la conservation de données;
  8. la planification et les ressources en matière de continuité des activités et de reprise après sinistre;
  9. les préoccupations relatives aux activités et à la disponibilité des systèmes;
  10. les contrôles environnementaux et de sécurité physique;
  11. la protection des données de clients;
  12. la gestion des fournisseurs et des fournisseurs de services externes;
  13. l’évaluation des risques; et
  14. les procédures de notification et d’intervention en cas d’incident (le « Plan » ).