Accord sur le traitement des données

Le présent Accord sur le traitement des données et ses Annexes (l' "Accord sur le traitement des données") reflètent l'accord des parties en ce qui concerne le traitement des Données personnelles qui est effectué par OroLogic pour le compte du Client en lien avec le logiciel web OroTimesheet de OroLogic ("OroTimesheet") conformément aux Conditions générales d'utilisation de OroTimesheet disponibles à l'adresse https://fr.orotimesheet.com/conditions-utilisation.php établies entre OroLogic et le Client (les "Conditions").

Le présent Accord sur le traitement des données complète les Conditions, dont il fait partie intégrante. Nous pouvons mettre à jour ces Conditions de temps à autre.

La durée du présent Accord sur le traitement des données sera identique à celle des Conditions. Les termes qui ne sont pas autrement définis dans cette section le sont dans les Conditions.

1. Définitions

Le "Responsable du traitement" est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données personnelles.

Les "Lois sur la protection des données" désignent l'ensemble de la législation mondiale applicable en matière de protection des données et de la vie privée qui s'impose à la partie gérant le traitement des Données personnelles en question dans le cadre du présent Accord, y compris, mais sans s'y limiter, les lois européennes sur la protection des données, la loi 25 de la province de Québec et les autres lois fédérales et nationales du Canada relatives à la vie privée; en ce qui concerne OroLogic, les Lois sur la protection des données excluent les lois régissant les Informations sensibles telles qu'elles sont définies dans les Conditions générales d'utilisation de OroTimesheet.

Une "Personne concernée" est une personne à laquelle se rapportent les Données personnelles.

Le terme "Europe" désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

L'expression "Données européennes" désigne les Données personnelles régies par les Lois européennes sur la protection des données.

Les "Lois européennes sur la protection des données" renvoient aux lois de protection des données applicables en Europe, notamment : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) ("RGPD").

Le terme "Instructions" désigne toute instruction écrite et documentée, émise par un Responsable du traitement à l'intention d'un Sous-traitant, lui demandant d'effectuer une action spécifique ou générale en ce qui concerne les Données personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression et la mise à disposition).

L'expression "Filiales autorisées" désigne toute Filiale du Client (i) qui est autorisée à utiliser le logiciel web OroTimesheet conformément aux Conditions, mais qui n'a signé aucun accord propre avec OroLogic et ne constitue pas un "Client" tel que défini dans les Conditions, (ii) qui est considérée comme un Responsable du traitement des Données personnelles traitées par OroLogic, et (iii) qui est régie par les Lois européennes sur la protection des données.

Les "Données personnelles" incluent toutes les informations relatives à un individu identifié ou identifiable lorsque (i) ces informations sont contenues dans les Données des clients ; et (ii) sont protégées de la même manière que les données et informations personnelles, ou les informations personnellement identifiables en vertu des Lois sur la protection des données applicables.

"Violation de Données personnelles" signifie une violation de la sécurité conduisant à la destruction accidentelle ou illicite, à la perte, à l'altération, ou à la divulgation non autorisée ou à l'accès aux Données personnelles transmises, stockées, ou autrement traitées par OroLogic et/ou ses Sous-traitants ultérieurs dans le cadre de la fourniture du logiciel web OroTimesheet. Ce type de violation exclut les tentatives ou activités infructueuses qui n'ont pas pour conséquence d'altérer la sécurité des Données personnelles, y compris les tentatives infructueuses de connexion, d'envoi de commandes ping, d'analyse de port, d'attaques par déni de service ou d'autres attaques réseau sur des pare-feu ou des systèmes réseau.

Le terme "Traitement" désigne toute opération ou tout ensemble d'opérations effectuées sur des Données personnelles, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données. Les termes "Traitement(s)" et "traité(e)(s)" seront interprétés en conséquence.

Le terme "Sous-traitant" désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.

Les "Clauses contractuelles types" désignent les clauses contractuelles types annexées à la Décision de la Commission européenne (2021/914) du 4 juin 2021 actuellement disponibles sur la page https://eur-lex.europa.eu/eli/dec_impl/2021/914, telles qu'amendées, modifiées ou remplacées.

Un "Sous-traitant ultérieur" désigne un Sous-traitant engagé par OroLogic ou ses Filiales pour aider à remplir les obligations de OroLogic en ce qui concerne la fourniture du logiciel web OroTimesheet en vertu des Conditions. Les Sous-traitants ultérieurs peuvent comprendre des tiers ou des Filiales de OroLogic; ils excluent les salariés ou consultants de OroLogic.

2. Responsabilités du Client

a. Conformité avec la loi. Dans le cadre des Conditions et lors de son utilisation des services, le Client est responsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles qu'il assure et des Instructions qu'il donne à OroLogic.

En particulier, mais sans préjudice du caractère général de ce qui précède, le Client reconnaît et accepte qu'il est seul responsable : (i) de l'exactitude, de la qualité et de la légalité des Données des clients et des moyens par lesquels il a acquis les Données personnelles ; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des Lois sur la protection des données applicables pour la collecte et l'utilisation des Données personnelles, y compris l'obtention de tous les consentements et autorisations nécessaires (en particulier pour leur utilisation par le Client à des fins marketing) ; (iii) de vérifier qu'il est habilité à transférer les Données personnelles à OroLogic, ou de les mettre à sa disposition, à des fins de Traitement conformément aux termes des Conditions (y compris du présent Accord sur le traitement des données) ; (iv) de s'assurer que les Instructions qu'il transmet à OroLogic concernant le Traitement des Données personnelles sont conformes aux lois applicables, y compris aux Lois sur la protection des données ; et (v) de se conformer à l'ensemble des lois (y compris aux Lois sur la protection des données) applicables aux e-mails ou autres contenus créés, envoyés ou gérés par le biais du logiciel web OroTimesheet, y compris celles relatives à l'obtention de consentements (le cas échéant) pour envoyer des e-mails, au contenu des e-mails et à ses pratiques de déploiement des e-mails. Le Client s'engage à informer OroLogic dans les meilleurs délais s'il n'est pas en mesure de respecter ses responsabilités en vertu de la présente section "Conformité avec la loi" ou des Lois sur la protection des données applicables.

b. Instructions applicables au Responsable du traitement. Les parties conviennent que les Conditions (y compris le présent Accord sur le traitement des données), ainsi que l'utilisation par le Client du logiciel web OroTimesheet conformément aux dites Conditions, forment les Instructions complètes que le Client donne à OroLogic en ce qui concerne le Traitement des Données personnelles, dans la mesure où le Client peut donner, des instructions supplémentaires cohérentes avec les Conditions ainsi que la nature et l'utilisation légitime du logiciel web OroTimesheet.

c. Sécurité. Le Client doit déterminer de manière indépendante si les mesures de sécurité des données fournies dans le cadre de l’utilisation du logiciel web OroTimesheet remplissent correctement ses obligations découlant des Lois sur la protection des données applicables. Il est également responsable de l’utilisation sécurisée du logiciel web OroTimesheet, et notamment de la protection de la sécurité des Données personnelles en transit depuis et vers le logiciel web OroTimesheet (y compris pour sauvegarder ou chiffrer de manière sécurisée de telles Données personnelles).

3. Obligations de OroLogic

a. Respect des Instructions. OroLogic s'engage à traiter les Données personnelles uniquement aux fins décrites dans le présent Accord sur le traitement des données ou comme convenu autrement dans le cadre des Instructions légales du Client, sauf si et dans la mesure où le droit applicable l'exige. OroLogic n'est pas responsable du respect des Lois sur la protection des données applicables au Client ou à son secteur d'activité qui ne sont pas généralement applicables à OroLogic.

b. Conflit de lois. Si la société OroLogic se rend compte qu'elle ne peut pas traiter les Données personnelles conformément aux Instructions du Client en raison d'une exigence légale applicable, elle (i) en informera rapidement le Client dans la mesure permise par la loi en vigueur, et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et la protection des Données personnelles concernées) jusqu'à ce que le Client lui transmette de nouvelles Instructions que OroLogic pourra appliquer. Si cette disposition est invoquée, OroLogic ne sera pas responsable envers le Client en vertu des Conditions de tout défaut d'exécution du logiciel web OroTimesheet jusqu'à ce que le Client donne de nouvelles Instructions légales concernant le Traitement.

c. Sécurité. OroLogic met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles contre toute violation, comme décrit à l'Annexe 2 du présent Accord sur le traitement des données ("Mesures de sécurité"). Nonobstant toute disposition contraire, OroLogic peut modifier ou mettre à jour les Mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une dégradation importante de la protection offerte par les Mesures de sécurité.

d. Confidentialité. OroLogic s'engage à veiller à ce que tous les membres du personnel que la société autorise à traiter des Données personnelles en son nom soient soumis aux obligations de confidentialité appropriées (qu'il s'agisse d'obligations contractuelles ou légales) à l'égard de ces Données.

e. Violations des Données personnelles. OroLogic informera le Client dans les meilleurs délais de toute Violation des Données personnelles portée à sa connaissance et fournira en temps opportun les informations relatives à ladite Violation dès qu'elles seront connues ou raisonnablement demandées par le Client. À la demande du Client, OroLogic fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de signaler les Violations de Données personnelles aux autorités compétentes et/ou aux Personnes concernées, si les Lois sur la protection des données l'y obligent.

f. Suppression des Données personnelles. Après la résiliation ou l'expiration de l’abonnement au logiciel web OroTimesheet, OroLogic supprimera toutes les Données des clients, y compris les Données personnelles et les copies de celles-ci, traitées en vertu du présent Accord sur le traitement des données. Ces conditions s'appliqueront, sauf dans la mesure où OroLogic est tenu, en vertu du droit applicable, de conserver tout ou partie des Données des clients, ou a archivé des données sur des systèmes de sauvegarde, que OroLogic isolera et protégera de manière sûre de tout Traitement et suppression ultérieurs conformément à ses pratiques en matière de suppression. Après l'expiration ou la résiliation de son abonnement, le Client peut demander à ce que son compte du logiciel web OroTimesheet soit supprimé en envoyant une requête à OroLogic.

OroLogic conseille fortement au Client de récupérer ses Données du client avant la fin de sa période d'abonnement.

4. Demandes des Personnes concernées

Dans le cadre du logiciel web OroTimesheet, le Client dispose d'un certain nombre de moyens pour récupérer, corriger, supprimer ou restreindre les Données personnelles, qu'il peut utiliser pour respecter les obligations qui lui incombent en vertu des Lois sur la protection des données, notamment pour répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu des Lois sur la protection des données applicables ("Demandes des personnes concernées").

Si le Client n'est pas en mesure de répondre de manière indépendante à une demande d'une Personne concernée par le biais du logiciel web OroTimesheet, alors OroLogic fournira, sur demande écrite du Client, une assistance raisonnable au Client pour répondre aux demandes de la Personne concernée ou à toute demande des autorités de protection des données relatives au Traitement des Données personnelles dans le cadre de l'Accord. Le Client s'engage à rembourser à OroLogic les coûts commerciaux raisonnables découlant de cette assistance.

Si une demande d'une Personne concernée ou une autre communication concernant le Traitement des Données personnelles dans le cadre des Conditions est transmise directement à OroLogic, OroLogic en informera le Client et conseillera à la Personne concernée de soumettre sa demande à ce dernier. Le Client est seul tenu de répondre de manière substantielle aux demandes des Personnes concernées ou à toute communication impliquant des Données personnelles.

5. Sous-traitants ultérieurs

Le Client accepte que OroLogic puisse engager des Sous-traitants ultérieurs pour traiter les Données personnelles en son nom.

Lorsque OroLogic fait appel à des Sous-traitants ultérieurs, OroLogic impose à ces derniers des conditions de protection des données qui assurent au moins le même niveau de protection des Données personnelles que celles prévues dans le présent Accord sur le traitement des données, dans la mesure applicable à la nature des services fournis par ces Sous-traitants ultérieurs. OroLogic demeure responsable du respect par chaque Sous-traitant ultérieur des obligations du présent Accord sur le traitement des données, et de tous les actes ou omissions des Sous-traitants ultérieurs qui font que OroLogic manque à l'une de ses obligations au titre dudit Accord.

6. Transferts de données

Le Client reconnaît et accepte que OroLogic puisse accéder aux Données personnelles et les traiter de façon globale selon les besoins afin de fournir les services conformément à l'Accord, et plus particulièrement que lesdites données puissent être transférées à et traitées par OroLogic au Canada et dans les autres sites où les Filiales de OroLogic et ses Sous-traitants ultérieurs opèrent. Si des Données personnelles sont transférées en dehors de leur pays d'origine, chaque partie veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.

7. Preuve de conformité

OroLogic mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité avec le présent Accord sur le traitement des données, et pourra autoriser dans certains cas, des audits au frais du client et y contribuera, y compris les inspections par le Client ou son auditeur afin d'évaluer la conformité avec ledit Accord dès lors que le droit applicable l'exige. Le Client reconnaît et accepte qu'il doit exercer ses droits de vérification en vertu du présent Accord sur le traitement des données en donnant instruction à OroLogic de se conformer aux mesures de vérification décrites dans la présente section "Preuve de conformité". En outre, à la demande écrite du Client, OroLogic fournira des réponses écrites (à titre confidentiel) à toutes les demandes d'information raisonnables faites par le Client et nécessaires pour confirmer la conformité de OroLogic avec le présent Accord sur le traitement des données, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile , sauf s'il suppose, pour des motifs raisonnables, que la conformité de OroLogic avec le présent Accord n'est pas respectée.

8. Autres dispositions applicables aux Données européennes

a. Portée. La présente Section "Autres dispositions applicables aux Données européennes" concerne uniquement les Données européennes.

b. Rôles des parties. Lors du Traitement des Données européennes conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client agit en tant que Responsable du traitement des Données européennes (soit en tant que Responsable ou en tant que Sous-traitant au nom d'un autre Responsable) et que OroLogic est le Sous-traitant en vertu du présent Accord.

c. Instructions. Si OroLogic considère qu'une Instruction du Client enfreint les Lois européennes sur la protection des données (si applicables), OroLogic en informera sans délai le Client.

d. Évaluations de l'impact de la protection des données et consultation avec les Autorités de contrôle. Si OroLogic dispose raisonnablement des informations requises et que le Client n'a pas autrement accès auxdites informations, OroLogic lui offrira une assistance raisonnable pour effectuer des évaluations de l'impact de la protection des données, et effectuera des consultations préalables avec les Autorités de contrôle (par exemple, la Commission nationale de l'informatique et des libertés en France (CNIL), la Délégation berlinoise à la protection des données et à la liberté d'information en Allemagne (BlnBDI) et le Commissaire à l'information au Royaume-Uni (ICO)) ou d'autres autorités compétentes de protection des données dans la mesure requise par les Lois européennes sur la protection des données.

e. Mécanismes de transfert des données.

(A) OroLogic s'engage à ne transférer aucune Donnée européenne vers un pays ou un destinataire qui n'est pas reconnu comme assurant un niveau de protection adéquat des Données personnelles (au sens des Lois européennes sur la protection des données applicables), sauf s'il prend au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme auxdites Lois. Ces mesures peuvent inclure (sans limitation) (i) le transfert des données à un destinataire couvert par un cadre adapté ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les cours compétentes comme offrant un niveau de protection approprié pour les Données personnelles, y compris le Cadre de protection des données ; (ii) à un destinataire qui a obtenu l'autorisation de règles d'entreprise contraignantes conformément aux Lois européennes sur la protection des données ; ou (iii) à un destinataire qui a exécuté les Clauses contractuelles types dans chaque cas adoptées ou approuvées conformément aux Lois européennes sur la protection des données applicables.

(B) Le Client reconnaît que, dans le cadre de l'exécution des services, OroLogic est un destinataire de Données européennes au Canada. Dans la mesure où OroLogic reçoit des Données européennes au Canada, OroLogic se conformera aux éléments suivants :

(1) Cadre de confidentialité des données. OroLogic utilisera le Cadre de confidentialité des données pour recevoir légalement au Canada des Données européennes, et s'assurera de fournir au minimum le même niveau de protection pour ces Données européennes que celui requis par les Principes du cadre de confidentialité des données. OroLogic informera le Client s'il est impossible à l'entreprise de se conformer à cette exigence.

(2) Clauses contractuelles types. Si les Lois de protection des Données européennes nécessite la mise en place de protections appropriées (par exemple si le Cadre de confidentialité des données ne couvre pas le transferts vers OroLogic et/ou si le Cadre de confidentialité des données est invalidé), les Clauses contractuelles types seront incorporées par référence et feront partie de l'Accord de la façon suivante :

(a) Concernant les Données européennes soumises au RGPD, (i) le Client est l' "exportateur de données", et OroLogic est l' "importateur de données".

9. Dispositions générales

a. Modifications. Nonobstant toute autre disposition contraire de l'Accord et sans préjudice des sections "Respect des Instructions" ou "Sécurité" du présent Accord, OroLogic se réserve le droit d'apporter des mises à jour et des modifications au présent Accord sur le traitement des données et les termes applicables de la section "Modification" des Conditions devront s'appliquer.

b. Séparabilité. Si certaines dispositions du présent Accord sur le traitement des données sont jugées non valides ou inapplicables, la validité et l'applicabilité des autres dispositions dudit Accord ne sont pas remises en cause.

c. Limitation de responsabilité. La responsabilité de chaque partie et de chacune de ses Filiales, prise dans son ensemble, découlant du présent Accord sur le traitement des données (y compris de tout autre accord de ce type conclu entre les parties) et des Clauses contractuelles types, le cas échéant, ou s'y rapportant, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans la section "Clauses de non-responsabilité et Limitation de responsabilité" des Conditions. Par ailleurs, toute référence dans cette section à la responsabilité d'une partie désigne la responsabilité globale de ladite partie et de toutes ses Filiales en vertu des Conditions (y compris le présent Accord sur le traitement des données). En aucun cas la responsabilité de l'une ou l'autre des parties ne sera limitée en ce qui concerne les droits de protection des données de tout individu en vertu du présent Accord sur le traitement des données (y compris tout autre accord sur le traitement des données entre les parties et les Clauses contractuelles types) ou autrement.

d. Lois applicables. Le présent Accord sur le traitement des données est régi et interprété conformément à la section "Loi applicable" des Conditions, sauf disposition contraire des Lois sur la protection des données.

10. Parties au présent Accord sur le traitement des données

a. Filiales autorisées. En signant les Conditions, le Client conclut le présent Accord sur le traitement des données (y compris, le cas échéant, les Clauses contractuelles types) en son nom et au nom et pour le compte de ses Filiales autorisées. Aux seules fins du présent Accord sur le traitement des données, et sauf indication contraire, le terme "Client" désigne le Client et ses Filiales autorisées.

b. Autorisation. L'entité juridique qui accepte le présent Accord sur le traitement des données en tant que Client déclare qu'elle est autorisée à accepter et à conclure ledit Accord pour son propre compte et, si applicable, pour le compte de chacune de ses Filiales autorisées.

c. Recours. Les parties conviennent que (i) seule l'entité Cliente qui est la partie contractante à l'Accord peut exercer un droit ou chercher à obtenir réparation pour le compte de ses Filiales autorisées, et que (ii) l'entité Cliente qui est la partie contractante aux Conditions peut exercer ces droits en vertu du présent Accord sur le traitement des données non pas séparément pour chaque Filiale autorisée, mais de manière combinée pour elle-même et toutes ses Filiales autorisées. L'entité Cliente qui est l'entité contractante est responsable de la coordination de toutes les instructions, autorisations et communications avec OroLogic dans le cadre de l'Accord sur le traitement des données et est habilitée à effectuer et à recevoir toutes les communications relatives audit Accord au nom de ses Filiales autorisées.

d. Divers autres droits. Les parties conviennent que le Client doit, lors de l'examen de la conformité de OroLogic avec le présent Accord sur le traitement des données en vertu de la section "Preuve de conformité", prendre toutes les mesures raisonnables pour limiter tout impact sur OroLogic et ses Filiales en combinant plusieurs demandes d'audit effectuées au nom de l'entité Cliente qui est la partie contractante à l'Accord et de toutes ses Filiales autorisées en un seul audit.

Annexe 1 - Informations détaillées relatives au Traitement

A. Liste des parties

Exportateur de données :

Nom : le Client, tel que défini dans les Conditions (en son nom et au nom des Filiales autorisées)

Adresse : l'adresse du Client, telle qu'indiquée dans le compte du logiciel web OroTimesheet du client.

Nom, rôle et coordonnées de la personne à contacter : les coordonnées du Client, telles qu'indiquées dans le compte du logiciel web OroTimesheet du Client

Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles en lien avec l'utilisation du logiciel web OroTimesheet par le Client, conformément aux Conditions.

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement (soit en tant que Responsable, ou agissant en qualité de Responsable, ou en tant que Sous-traitant au nom d'un autre Responsable)

Importateur de données :

Nom : OroLogic Inc.

Adresse : 979 Avenue de Bourgogne, Suite 330, Québec QC G1W 2L4, Canada

Rôle et coordonnées de la personne à contacter: Responsable de la Protection des Renseignements Personnels (RPRP / DPD / DPO) à l'adresse de courriel RPRP@orologic.com.

Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles en lien avec l'utilisation du logiciel web OroTimesheet par le Client, conformément aux Conditions.

Rôle (responsable du traitement/sous-traitant) : Sous-traitant

B. Description du transfert

Catégories de Personnes concernées par le transfert de Données personnelles

Dans le cadre du logiciel web OroTimesheet, le Client peut envoyer des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, sans s'y limiter, les Données personnelles en rapport avec les catégories de Personnes concernées suivantes :

Contacts du Client et autres utilisateurs finaux, y compris les salariés du Client, ses sous-traitants, collaborateurs, clients, prospects, fournisseurs et sous-traitants ultérieurs. Les Personnes concernées peuvent également comprendre tout individu qui tente de communiquer des Données personnelles aux utilisateurs finaux du Client, ou de leur transférer.

Catégories de Données personnelles transférées

Le Client peut envoyer dans le logiciel web OroTimesheet des Données personnelles dont l'étendue reste à sa seule discrétion.

Données sensibles transférées et restrictions ou protections appliquées

Les parties ne prévoient pas le transfert de Données sensibles.

Fréquence du transfert

Continue

Nature du traitement

Les Données personnelles seront traitées conformément aux termes des Conditions (y compris aux termes du présent Accord sur le traitement des données) et peuvent faire l'objet des activités de Traitement suivantes :

1. Stockage et autres Traitements nécessaires pour fournir, maintenir en conditions opérationnelles et améliorer le logiciel web OroTimesheet fournis au Client ; et/ou

2. Divulgation conformément aux Conditions (y compris au présent Accord sur le traitement des données) et/ou comme l'exigent les lois applicables.

Objectif du transfert et traitement supplémentaire

OroLogic traitera les Données personnelles dans la mesure nécessaire pour fournir le logiciel web OroTimesheet conformément aux Conditions.

Durée de rétention des Données personnelles

Sous réserve des dispositions de la section "Suppression des Données personnelles" du présent Accord sur le traitement des données, OroLogic traitera les Données personnelles pendant la durée de l'Accord, sauf accord contraire écrit.

Annexe 2 - Mesures de sécurité

OroLogic observe actuellement les mesures de sécurité décrites dans la présente Annexe 2. Les termes capitalisés qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions.

a) Contrôle d'accès

i) Prévenir l'accès non autorisé au produit

Traitement externalisé : OroLogic héberge son logiciel web OroTimesheet avec des fournisseurs d'infrastructure cloud externalisés. La société entretient également des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à l'Accord sur le traitement des données. Elle s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs pour protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : OroLogic héberge l'infrastructure de ses produits avec des fournisseurs d'infrastructure mutualisés et externalisés. OroLogic ne possède ni n'entretient aucun matériel situé dans les centres de données des fournisseurs d'infrastructure externalisés. Les serveurs de production et les applications pour les clients sont logiquement et physiquement distincts des systèmes d'informations internes de OroLogic, ce qui assure leur protection.

Authentification : OroLogic a mis en place une politique de mots de passe uniforme pour ses produits clients. Les Clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux Données des clients non publiques.

Autorisations : les Données des clients sont stockées dans des espaces de stockage mutualisés qui sont accessibles aux Clients uniquement via les interfaces des applications ou les API. Aucun Client n'a directement accès à l'infrastructure sous-jacente des applications. Le modèle d'autorisation de chacun des produits OroLogic est conçu pour s'assurer que seules les personnes dûment assignées peuvent accéder aux fonctions, vues et options de personnalisation pertinentes. L'accès aux ensembles de données est octroyé après validation des autorisations de l'utilisateur sur la base des attributs associés à chaque ensemble de données.

Accès aux interfaces de programmation d'application (API) : les API sont accessibles à l'aide d'une clé d'API ou par le biais d'une autorisation OAuth.

ii) Prévenir l'accès non autorisé au produit

OroLogic met en œuvre des contrôles d'accès et des fonctionnalités de détection standards pour les réseaux internes qui prennent en charge ses produits.

Contrôles d'accès : les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent les mises en œuvre du cloud privé virtuel (VPC), l'affectation des groupes de sécurité et les règles traditionnelles de pare-feu.

Détection et prévention des intrusions : OroLogic a mis en œuvre une solution pare-feu pour protéger ses produits et d'autres applications accessibles sur internet. La solution pare-feu est conçue pour identifier et prévenir les attaques contre les services réseau accessibles au public.

Tests d'intrusion : OroLogic maintient des relations avec des fournisseurs de services de tests d'intrusion afin d'effectuer au moins une fois par an des tests d'intrusion sur les produits de OroLogic et l'infrastructure du réseau interne de OroLogic. Ces tests d'intrusion visent à détecter les vulnérabilités en matière de sécurité et à réduire le risque et l'impact commercial qu'elles représentent pour les systèmes du champ d'application.

iii) Limites des exigences en matière de privilège et d'autorisation

Accès aux produits : une partie des employés de OroLogic a accès aux produits et aux données des clients via des interfaces contrôlées. En restreignant cet accès à une partie seulement des salariés, OroLogic souhaite fournir un soutien efficace à la clientèle, au développement des produits et à la recherche, dépanner les problèmes potentiels, détecter les incidents de sécurité et y répondre, et mettre en œuvre la sécurité des données. L'accès est accordé aux salariés par rôle. Les autorisations d'accès administratif ou à haut risque sont réexaminées au moins une fois tous les ans.

Vérification des antécédents : là où la loi l'autorise, tous les salariés de OroLogic sont soumis à une vérification des antécédents ou des références effectuée par un tiers. Tous les salariés de OroLogic sont tenus de se conduire d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes d'éthique.

b) Contrôle de transmission

En transit : OroLogic exige le chiffrement HTTPS (également appelé SSL ou TLS) sur chacune de ses interfaces de connexion. L'implémentation HTTPS de OroLogic utilise des algorithmes et des certificats standards du secteur.

Au repos : OroLogic stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standards du secteur en matière de sécurité.

c) Contrôle des enregistrements de données

Détection : OroLogic a conçu son infrastructure pour enregistrer des informations sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'applications. Les systèmes internes agrègent les données des journaux et alertent les salariés appropriés en cas d'activités malveillantes, non intentionnelles ou anormales. Les salariés de OroLogic, y compris les équipes de sécurité, d'exploitation et de support, répondent aux incidents connus.

Réponse et suivi : OroLogic tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités concernées, et la procédure de résolution des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou de support, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, OroLogic prend les mesures appropriées pour minimiser les dommages subis par le produit et le Client, ou la divulgation non autorisée. La notification adressée au Client sera conforme aux termes des Conditions.

d) Contrôle de disponibilité

Disponibilité des infrastructures : les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de disponibilité minimum de 99,9%. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation électrique, de réseau, de chauffage, de ventilation et de climatisation.

Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance lors d'une panne de traitement importante. Les Données des clients sont sauvegardées et répliquées dans plusieurs zones de disponibilité ou centres de données.

Plans de récupération après incident : OroLogic gère des plans de récupération après incident afin d'assurer la disponibilité des informations après une interruption ou une panne des processus commerciaux essentiels.

Dernière mise à jour le 12 août 2024.

ENTREPRISE
OroTimesheet.com est une division de:
979 Avenue de Bourgogne, Suite 330
Québec  QC  G1W 2L4
Canada
Téléphone: (1) (418) 524-5066
OroTimesheet est une feuille de temps en ligne..
©1996-2024 OroLogic Inc. Tous droits réservés.
Nous respectons votre vie privée

Nous utilisons des témoins internes et de tiers pour personnaliser le contenu du site et recueillir des données anonymes, le tout afin d'assurer le bon fonctionnement du site et de se souvenir des choix de l'utilisateur, le cas échéant.

En savoir plus