Accord Canadien de Traitement des Données
Cette Entente canadienne de traitement des données ("DPA") complète l'Accord de services principaux, le(s) Formulaire(s) de commande, les Annexes, et tout Annexes de service applicables (collectivement, l'"Accord") entre PaymentEvolution ("PaymentEvolution", "nous", "notre", "nos") et le Client identifié dans la Commande ("Client", "vous", "votre").
Ce DPA s'applique lorsque PaymentEvolution traite des Informations personnelles pour le compte du Client dans le cadre des Services. Ce DPA supplante le MSA mais pas l'Accord Beta pour les Matériaux de Pré-Lancement.
1. Objet et portée
1.1 Rôle de PaymentEvolution.
Aux fins de la LAI, des lois provinciales sur la confidentialité substantiellement similaires (y compris la LCAP Alberta, la LCAP Colombie-Britannique, la Loi 25 du Québec), et d'autres Lois sur la protection de la vie privée applicables, PaymentEvolution agit en tant que :
Fournisseur de services / Processeur / Gestionnaire d'informations / Agent,
traitant des Informations personnelles uniquement pour le compte de Client et conformément à ce DPA et à l'Accord.
1.2 Portée.
Ce DPA régit le traitement par PaymentEvolution des Informations personnelles en lien avec :
l'administration et les calculs de la paie,
les remises gouvernementales,
les paiements et distributions,
les RH, avantages sociaux, planification, et les flux de travail du relevé d'emploi,
la vérification de l'identité,
la sécurité et la prévention des fraudes,
l'intégration des API et des plateformes, et
tout service additionnel commandé par le Client.
1.3 Interprétation.
Si ce DPA est en conflit avec une disposition de l'Accord, ce DPA prévaut dans la mesure nécessaire pour se conformer à la Loi sur la protection de la vie privée applicable. Pour clarifier, les obligations de protection des consommateurs du Québec concernant l'annulation de contrat et les avis de tarification ne s'appliquent pas à ce DPA.
2. Définitions clés
Loi sur la protection de la vie privée applicable désigne toutes les lois fédérales et provinciales canadiennes sur la protection de la vie privée et des données, y compris la LAI, la Loi 25 du Québec, la LCAP Alberta, la LCAP Colombie-Britannique, les lois du secteur de la santé lorsqu'elles sont applicables, et les règlements et directives associés.
Informations personnelles désigne toute information liée à une personne identifiable que PaymentEvolution traite pour le compte du Client, y compris les informations sur la paie, les documents d'identité, les adresses, les informations de rémunération, les détails fiscaux, les informations bancaires, les dossiers d'emploi, et les Informations personnelles sur la santé lorsque requis pour les Services.
Données dépersonnalisées désigne des données qui ont été altérées, agrégées, anonymisées, ou transformées de manière à ne plus identifier une personne et ne peuvent raisonnablement être réidentifiées.
Registres désigne toutes les données, documents, journaux, rapports ou informations stockées ou traitées par PaymentEvolution pour le compte du Client, à l'exclusion des Informations exclues.
But autorisé signifie le traitement des Informations personnelles tel que nécessaire pour fournir les Services, assurer la fonctionnalité de la plateforme, maintenir la sécurité, se conformer à la loi, améliorer la performance du système, et exécuter les instructions documentées du Client.
Ordre étranger en conflit a la signification donnée dans votre accord original.
3. Rôles et responsabilités
3.1 Client en tant que contrôleur.
Le Client reste responsable de :
déterminer la base légale du traitement ;
obtenir tous les consentements nécessaires ;
fournir les avis requis ;
l'exactitude des Informations personnelles soumises à PaymentEvolution ; et
respecter ses propres obligations légales en tant qu'employeur ou dépositaire de données.
3.2 PaymentEvolution en tant que Processeur / Fournisseur de services.
PaymentEvolution traitera les Informations personnelles :
uniquement pour les Buts autorisés ;
conformément aux instructions documentées du Client ;
en conformité avec la Loi sur la protection de la vie privée applicable ;
en utilisant du Personnel soumis à des obligations de confidentialité.
4. Collecte, utilisation et divulgation
4.1 Traitement autorisé.
PaymentEvolution collectera, accédera, utilisera, stockera, divulguera, modifiera, ou traitera des Informations personnelles uniquement comme requis pour :
fournir les Services ;
maintenir, dépanner et sécuriser la plateforme ;
détecter et prévenir la fraude ou l'accès non autorisé ;
se conformer à des obligations légales ou réglementaires ;
détecter la fraude ;
se conformer à la RPAA, la LRPCFAT ;
améliorer le système ;
fournir assistance, analyses, optimisation de services, et assurance qualité ;
développer et améliorer les Services de PaymentEvolution, à condition que ces améliorations utilisent des Données dépersonnalisées.
4.2 Processus automatisés.
Le Client autorise PaymentEvolution à utiliser des systèmes automatisés, des flux de travail, des moteurs de règles et des processus basés sur API, au besoin pour fournir les Services.
4.3 Traitement interdit.
À moins d'obligation légale, PaymentEvolution ne :
vendra pas d'Informations personnelles ;
utilisera pas les Informations personnelles pour du marketing envers les personnes concernées ;
utilisera pas les Informations personnelles sauf tel que permis sous ce DPA.
5. Traitement transfrontalier et infrastructure en nuage
5.1 Hébergement en nuage.
Le Client reconnaît et consent que PaymentEvolution peut stocker ou traiter des Informations personnelles :
au Canada,
aux États-Unis,
ou dans d'autres juridictions avec des mesures contractuelles, de sécurité, et de confidentialité appropriées.
5.2 Obligations du Client.
Le Client confirme qu'il a fourni tous les avis requis et obtenu tous les consentements requis des personnes concernées pour le traitement international.
5.3 Protections adéquates.
PaymentEvolution utilise des contrôles de sécurité de pointe, des mesures contractuelles, le cryptage, et des sauvegardes organisationnelles pour garantir que tout traitement offshore est conforme à la LAI et aux autres Lois sur la protection de la vie privée applicables.
6. Mesures de sécurité
6.1 Garanties.
PaymentEvolution mettra en œuvre et maintiendra des garanties administratives, techniques, et physiques appropriées à la sensibilité des Informations personnelles, y compris :
le cryptage en transit et au repos ;
les contrôles d'accès, MFA, permissions basées sur les rôles ;
tests de pénétration réguliers et analyses de vulnérabilité ;
détection et surveillance des intrusions ;
minimisation des données et processus sécurisés de sauvegarde/restauration ;
cycle de développement de logiciel sécurisé (SDLC).
6.2 Accès au Personnel.
PaymentEvolution limite l'accès au Personnel ayant un besoin opérationnel légitime et s'assure qu'ils sont soumis à des accords de confidentialité et à une formation sur la protection de la vie privée.
6.3 Sous-processeurs tiers.
PaymentEvolution peut utiliser des fournisseurs de services cloud vérifiés, des processeurs de paiements, et des fournisseurs d'infrastructure et imposera des obligations contractuelles équivalentes à ce DPA. Une liste des sous-processeurs est disponible pour le Client sur demande.
7. Demandes des individus et autorités
7.1 Demandes des personnes concernées.
Si PaymentEvolution reçoit une demande d'accès, de correction, ou de suppression directement d'une personne, PaymentEvolution :
référera la demande au Client, et
en informera le Client rapidement.
7.2 Coopération du Client.
PaymentEvolution aidera le Client à répondre aux demandes légales dans des délais raisonnables.
7.3 Demandes des forces de l'ordre ou étrangères.
Si PaymentEvolution reçoit une demande de divulgation (y compris un Ordre étranger en conflit) :
PaymentEvolution notifiera le Client sauf si la loi l'interdit ;
les parties chercheront des protections ou un examen par un tribunal canadien ;
PaymentEvolution divulguera des Informations personnelles uniquement lorsqu'il est légalement obligé en vertu de la loi canadienne.
8. Précision, correction et rétention
8.1 Précision.
PaymentEvolution fera tous les efforts raisonnables pour maintenir des Informations personnelles précises là où il collecte ou met à jour ces données pour le compte du Client.
8.2 Rétention.
PaymentEvolution conserve les Registres requis pour fournir les Services ou se conformer aux obligations légales (par exemple, ARC, normes d'emploi). Le Client peut demander la destruction lorsqu'elle est légalement autorisée.
8.3 Destruction sécurisée.
À la résiliation ou sur instruction écrite, PaymentEvolution supprimera ou renverra de manière sécurisée les Informations personnelles, sauf si la rétention est requise par la loi.
9. Notification de violation
9.1 Notification.
PaymentEvolution notifiera le Client sans retard injustifié de tout incident impliquant :
accès non autorisé,
divulgation,
perte,
modification, ou
autre violation
d'Informations personnelles.
9.2 Coopération.
PaymentEvolution assistera avec :
l'enquête et la remédiation ;
notifications réglementaires ;
rapports d'incidents ; et
communications selon les exigences de la Loi sur la protection de la vie privée applicable.
10. Données dépersonnalisées et agrégées
10.1 Droits de PaymentEvolution.
PaymentEvolution peut créer et utiliser des Données dépersonnalisées pour :
analyses,
modèles d'apprentissage machine,
amélioration du système,
dépannage,
étalonnage,
recherche et développement,
rapports,
améliorer la précision et la performance des Services.
10.2 Propriété.
Les Données dépersonnalisées sont la propriété de PaymentEvolution et ne sont plus soumises à ce DPA.
10.3 Non-réidentification.
PaymentEvolution ne réidentifiera pas les Données dépersonnalisées sauf si requis pour la sécurité, la détection de fraude ou la conformité légale.
11. Sous-traitants
PaymentEvolution peut utiliser des sous-traitants et sous-processeurs pour soutenir les Services. PaymentEvolution garantit :
des contrats écrits avec des obligations de confidentialité et de sécurité ;
une supervision appropriée ;
des protections équivalentes à celles de ce DPA.
PaymentEvolution reste responsable de la conformité des sous-traitants.
12. Responsabilités du Client
Le Client doit :
obtenir tous les consentements et avis requis ;
fournir des données précises ;
respecter les lois sur la protection de la vie privée et de l'emploi ;
configurer correctement les contrôles d'accès ;
ne pas utiliser les Services d'une manière qui viole les lois sur la protection de la vie privée.
PaymentEvolution n'est pas responsable de la configuration incorrecte du Client ou des soumissions de données illégales.
13. Audit et supervision
13.1 Assistance envers les régulateurs.
PaymentEvolution coopérera raisonnablement avec les enquêtes des régulateurs canadiens en matière de protection de la vie privée concernant les Services fournis au Client.
13.2 Droits d'audit du Client.
Sur un préavis raisonnable et sous réserve des exigences de confidentialité et de sécurité, PaymentEvolution fournira :
résumés des audits de tierces parties (par exemple, SOC 2),
documentation de sécurité,
politiques de confidentialité,
résumés des incidents.
14. Résiliation et survie
14.1 Droits de résiliation.
Une violation matérielle de ce DPA donne au Client le droit de résilier l'Accord sous-jacent si elle n'est pas corrigée dans les 30 jours, sous réserve du MSA.
14.2 Survie.
Les obligations de PaymentEvolution continuent jusqu'à ce que toutes les Informations personnelles soient restituées ou supprimées, sauf si la rétention est légalement requise.
15. Dispositions générales
Ce DPA peut être divulgué lorsqu'exigé par la loi sur la protection de la vie privée.
Si une disposition est en conflit avec la loi sur la protection de la vie privée, la loi prévaut.
Si une disposition est en conflit avec l'Accord, ce DPA prévaut.
Ce DPA ne limite pas les droits de PaymentEvolution à conserver ou utiliser les Données dépersonnalisées.