Retour

Annexe sur la Protection des Renseignements personnels (DPA)

Dernière mise à jour : mars 2026

1. Objet

La présente Annexe sur la Protection des Renseignements personnels (« Annexe ») fait partie intégrante des Conditions commerciales conclues entre le Partenaire et le Réseau des Fournisseurs du Québec (« RFQ »). Elle encadre le traitement des renseignements personnels effectué par RFQ en tant que sous-traitant pour le compte du Partenaire dans le cadre de la prestation des Services convenus. En cas de contradiction entre les termes de la présente Annexe et ceux des Conditions commerciales, les termes de l'Annexe priment.

2. Définitions principales

  • Autorité de protection : désigne l'Office de la protection du consommateur (OPC) et les autorités provinciales compétentes en matière de protection des renseignements personnels, notamment celles du Québec, de la Colombie-Britannique et de l'Alberta.
  • Loi principale : désigne la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA / LPRPDE) ainsi que les législations provinciales applicables en matière de protection des renseignements personnels.
  • Affilié : désigne toute entité juridique placée sous contrôle commun avec l'une ou l'autre des Parties, que ce soit par participation majoritaire, par droit de vote ou par tout autre mécanisme de contrôle reconnu.
  • Lois sur la protection : désignent collectivement la PIPEDA, les lois provinciales applicables sur la protection des renseignements personnels, ainsi que la Loi canadienne anti-pourriel (LCAP).

3. Communication des renseignements personnels

Dans le cadre de la prestation des Services, des renseignements personnels peuvent être transférés ou accessibles depuis des juridictions situées hors du Canada. RFQ s'engage à mettre en place des mesures contractuelles et techniques appropriées pour assurer un niveau de protection adéquat lors de tout transfert transfrontalier, incluant notamment le chiffrement des données en transit et au repos, l'anonymisation lorsque applicable, ainsi que des contrôles d'accès stricts.

Tout sous-traitant auquel RFQ fait appel est tenu aux mêmes obligations de protection que celles prévues dans la présente Annexe. Chaque partie demeure responsable du respect des Lois sur la protection applicables à ses propres activités de traitement.

4. Responsabilités et notifications

RFQ s'engage à informer le Partenaire sans délai de toute demande émanant d'une autorité de protection ou de toute autre autorité compétente concernant les renseignements personnels du Partenaire, dans la mesure où cela est permis par la loi applicable. En cas d'incident de sécurité impliquant des renseignements personnels, RFQ notifiera le Partenaire dans les meilleurs délais et lui fournira une assistance raisonnable et diligente pour remédier à la situation, évaluer les risques et satisfaire aux obligations de notification réglementaire.

5. Description du traitement

RFQ traite les renseignements personnels uniquement aux fins de la prestation des services convenus entre les Parties, conformément à la Politique de confidentialité de RFQ. Tout traitement s'effectue sur instruction du Partenaire et dans les limites prévues par les Conditions commerciales. L'anonymisation des données peut être effectuée à des fins analytiques ou d'amélioration des services, à condition que ce processus soit irréversible et que les données anonymisées ne permettent plus, directement ou indirectement, d'identifier une personne physique.

6. Mesures de sécurité

RFQ met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des renseignements personnels traités dans le cadre des Services, incluant notamment :

  • Le chiffrement des données en transit et au repos conformément aux normes de l'industrie ;
  • L'anonymisation des données lorsque le traitement le permet ;
  • Des contrôles d'accès stricts limitant l'accès aux seules personnes autorisées qui en ont besoin dans le cadre de leurs fonctions ;
  • Des mécanismes de journalisation et d'audit des accès aux renseignements personnels.

L'accès aux renseignements personnels est strictement limité aux personnes autorisées de RFQ et de ses sous-traitants. Un résumé des mesures de sécurité en vigueur peut être fourni au Partenaire sur demande écrite.

7. Incidents de confidentialité et gestion des demandes

  • Notification des violations : RFQ s'engage à notifier le Partenaire de tout incident de confidentialité dans un délai de 72 heures suivant sa découverte, dans la mesure du possible.
  • Demandes des personnes concernées : Toute demande d'accès, de rectification, de suppression ou de portabilité émanant d'une personne concernée relative aux renseignements personnels du Partenaire sera transmise sans délai au Partenaire, qui en demeure responsable.
  • Outils de gestion : Le Partenaire est responsable de la mise en place et de la maintenance des outils nécessaires à la gestion des droits des personnes concernées sur ses propres systèmes.
  • Assistance : RFQ fournit une assistance raisonnable au Partenaire pour répondre aux demandes des personnes concernées et aux obligations réglementaires. Des frais additionnels peuvent s'appliquer pour les prestations d'assistance dépassant le cadre ordinaire des Services.

8. Sous-traitance

RFQ peut faire appel à des sous-traitants pour l'aider dans la prestation des Services, incluant notamment des fournisseurs de centres de données et de services d'hébergement infonuagique (cloud). Tout sous-traitant auquel RFQ recourt est lié par un contrat écrit contenant des clauses de protection des renseignements personnels équivalentes à celles de la présente Annexe. RFQ demeure responsable envers le Partenaire des manquements de ses sous-traitants aux obligations de protection des renseignements personnels prévues dans la présente Annexe.