ANNEXE 1

Addenda sur le traitement des données conformément à l'art. 28 para. 3 RGPD

Dernière mise à jour le 5 juillet 2018

Cet addenda sur le traitement des données régit le transfert, la collecte, la destruction et le traitement des données personnelles entre SMART Technologies ULC (SMART) et :

  • Tout client (Client) installant ou utilisant du matériel, des logiciels ou des services SMART (Services)
  • Une partie soumise au contrat de licence de l'utilisateur final de SMART (CLUF)
  • Une partie soumise à un accord autre que le CLUF pour la fourniture de produits ou services SMART (collectivement dénommé « Contrat ») aux Utilisateurs du Client et du Client (chaque SMART et Client sera désigné comme « Partie » et collectivement comme « Parties »).

Les Parties acceptent par la présente les conditions suivantes, qui seront en vigueur à la première des éventualités suivantes :

(i) La date d'entrée en vigueur du Contrat entre les Parties,

OU

(ii) La date du premier transfert ou de la divulgation des données personnelles par le Client ou les Utilisateurs du Client à SMART (« Date d'entrée en vigueur »).

Tous les termes en majuscules non définis dans les présentes ont le sens qui leur est attribué dans le Contrat.

DÉFINITIONS :

1.1. Les Utilisateurs du client sont toutes les personnes physiques utilisant ou accédant aux Services pour le compte ou sous autorisation du Client, y compris mais sans s'y limiter : les employés, les clients, les utilisateurs finaux, les prestataires, les élèves et les enseignants.

1.2. Les Données font référence à des données personnelles et à des données non personnelles.

1.3. Le Contrôleur de données a la même signification que celle définie dans le RGPD et, dans ce contexte, il s'agit du client.

1.4. Le Processeur de données a la même signification que celle définie dans le RGPD et, dans ce contexte, il s'agit de SMART.

1.5. Le RGPD renvoie au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et abroge la directive 95/46/CE (Règlement général sur la protection des données).

1.6. Les Données non personnelles sont des données ou des informations de toute nature relatives à un Client ou aux Utilisateurs du Client qui ne sont pas des données personnelles.

1.7. Les Données personnelles, le Traitement et les Catégories spéciales de données personnelles, ont la même signification que celle définie dans les conditions du RGPD.

1.8. Les Services se réfèrent à la fourniture de produits et services fournis par SMART à un client en vertu d'un Contrat.

1.9. Les Sous-traitants font référence à tout responsable que SMART a engagé dans le cadre du traitement des données personnelles pour le compte du client.

1.10. UE fait référence à l'Union européenne, EEE fait référence à l'Espace économique européen.

2. CET ADDENDA S'APPLIQUE AUX DONNÉES PERSONNELLES TRAITÉES PAR SMART AU NOM DU CLIENT. DANS CE CONTEXTE, SMART AGIT EN TANT QUE PROCESSEUR DE DONNÉES (GESTIONNAIRE DE DONNÉES) POUR LE CLIENT QUI EST LE CONTRÔLEUR DE DONNÉES EN CE QUI CONCERNE LES DONNÉES DES UTILISATEURS DU CLIENT ET CELLES DU CLIENT.TRAITEMENT DES DONNÉES

Cet ADDENDA s'applique aux Données client traitées par SMART. Dans ce contexte, SMART agit en tant que Processeur de données pour le client qui est le Contrôleur de données en ce qui concerne les Données des Utilisateurs du Client et celles du Client.

2.1. Les Parties conviennent et déclarent que les Données personnelles doivent être traitées de manière légale, équitable et transparente et que les données personnelles doivent être :

  • Collectées pour des finalités spécifiées, explicites et légitimes
  • Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles les Données à caractère personnel sont traitées
  • Précises et, si nécessaire, tenues à jour
  • Conservées sous une forme permettant l'identification pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les Données personnelles sont traitées

2.2. En rendant des Services à un client, le Client peut de temps en temps divulguer des Données personnelles à SMART, concernant le Client ou les Utilisateurs du Client.

2.3. Le Client ne doit télécharger, transférer, traiter ou divulguer des Données personnelles que conformément aux termes et conditions spécifiés dans les présentes et conformément aux lois applicables. Si le Client considère que le téléchargement, le traitement, le transfert ou la divulgation de Données personnelles est incompatible avec les dispositions des présentes, le Client en informera SMART.

2.4. SMART traitera les données personnelles des Utilisateurs du Client. Ceux-ci dépendent du type d'organisation du Client. Si le Client est une entreprise, par exemple, les personnes concernées seront les employés de l'entreprise.

2.5. SMART traitera les catégories de données personnelles suivantes :

  • Données utilisateur pour les logiciels, y compris les résultats d'évaluation, le contenu généré par des utilisateurs, l'appartenance à la classe, les données de plantage, l'ID de district et le nom du district, l'adresse IP (si non anonyme), le nom de l'école, le nom de la classe ou de la réunion que vous avez choisi, le nom d'utilisateur, le type d'appareil et de système d'exploitation de l'étudiant, l'adresse électronique de l'élève, le nom de l'étudiant, l'adresse électronique de l'enseignant/administrateur, le nom de l'enseignant ;
  • Données utilisateur pour le matériel, y compris le numéro de modèle, le système d'exploitation et sa version, les détails de version de l'application, la marque (SMART), le navigateur utilisé, les informations basées sur l'adresse IP (ville, pays, région, écran DPI, hauteur et largeur de l'écran, horodatage.

2.6. SMART traitera les Données personnelles aux fins suivantes :

  • La Fourniture de Services telle que décrite dans le Contrat aux Utilisateurs du Client, y compris les services de mises à jour et de maintenance
  • Pour contacter les Utilisateurs du Client en relation avec les Services
  • Pour authentifier les Utilisateurs du Client
  • Pour protéger la sécurité ou l'intégrité des Services et prendre des précautions contre la responsabilité juridique
  • Pour l'exécution du Contrat et l'exercice des droits et obligations de SMART en vertu de celui-ci, à condition que ce Traitement soit autorisé par les lois applicables

2.7. Le client ne doit pas télécharger, traiter, transférer, divulguer ou mettre à la disposition de SMART des Données personnelles incluses dans des Catégories spéciales de Données personnelles.

2.8. Sous réserve des exigences légales et fiscales, SMART et ses sous-traitants suppriment ou renvoient toutes les Données personnelles traitées au nom du Client sur demande ou dans un délai commercial raisonnable après la résiliation ou l'expiration du Contrat ou des Services.

2.9. SMART conserve les Données personnelles pour la durée nécessaire en vue de :

  1. Remplir les objectifs du traitement décrits dans la présente et
  2. Comme autrement permis en vertu de la loi applicable.

2.10. Par la présente, le Client demande à SMART de traiter, au nom des Données personnelles du Client, transférées ou divulguées à SMART par le Client ou les Utilisateurs du Client en relation avec les services.

2.11. SMART utilise des cookies ou des technologies similaires pour collecter des Données. Le Client autorise par la présente explicitement SMART à utiliser des cookies et des technologies similaires dans le cadre de la fourniture des Services.

2.12. Le Client peut demander à SMART de cesser de traiter ses Données personnelles à tout moment. Aucun remboursement pour les Services ne sera accordé si ceux-ci ne peuvent plus être fournis suite à la cessation du traitement des Données.

2.13. SMART ne traitera les Données personnelles que sur des instructions documentées de la part du Client. Les dispositions énoncées dans le pr´esent Addenda, les Conditions, le Contrat et les autres dispositions convenues entre les Parties constituent les instructions documentées du Client à SMART au sens de l'article 28 du RGPD.

3. SOUS-TRAITANCE

3.1. Sous réserve que les Sous-traitants respectent le RGPD, le Client accorde par la présente à SMART l'autorisation expresse d'engager des Sous-traitants pour la fourniture des Services. SMART informera le Client en temps utile avant d'autoriser un nouveau Sous-traitant, et le Client peut s'opposer à l'autorisation pour des motifs raisonnables. Une liste des Sous-traitants actuellement engagés par SMART pour mener des activités de traitement spécifiques est répertoriée dans l'Annexe 1. Le Client donne son autorisation expresse à l’engagement des sous-traitants énumérés dans l'Annexe 1.

3.2. Où SMART autorise tout Sous-traitant :

  • SMART restreindra l'accès des Sous-traitants aux Données du Client uniquement dans le cadre de ce qui est nécessaire pour maintenir les offres de Service ou pour fournir les Services au Client et aux Utilisateurs du Client. SMART interdira au Sous-traitant d'accéder aux Données client à d'autres fins.
  • SMART conclura un accord écrit avec le Sous-traitant et lui imposera les mêmes obligations en matière de protection des données que celles énoncées dans le présent Addenda, en fournissant en particulier des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du RGPD.
  • SMART restera responsable de sa conformité avec les obligations de cet Addenda et de tout acte ou omission du Sous-traitant qui fait en sorte que SMART ne respecte aucune des obligations de SMART en vertu de cet Addenda.

4. TRANSFERTS INTERNATIONAUX DE DONNÉES

4.1. Le Client reconnaît que SMART est une société internationale et que les Données personnelles seront stockées dans la juridiction du pays du Client et transférées au Canada et aux États-Unis. La Commission européenne a reconnu que le Canada fournit une protection adéquate. Les organisations aux États-Unis d'Amérique certifiées dans le cadre du Bouclier de protection des données UE-États-Unis sont également reconnues pour fournir un niveau adéquat de protection des données et peuvent donc recevoir des données personnelles sans autre protection.

4.2. Si SMART transfère des Données personnelles vers d'autres pays tiers hors de l'UE/EEE, SMART utilisera les garanties appropriées pour garantir un niveau de sécurité approprié aux risques de destruction, perte, altération, divulgation ou accès non autorisés ou accidentels, ou pour accéder aux Données à caractère personnel transférées et correspondant au niveau de sécurité au sein de l'UE/EEE. Celles-ci incluent la conclusion de clauses contractuelles standard émises par la Commission européenne.

4.3. Le Client est seul responsable de l'obtention et de la documentation de tous les consentements nécessaires des Utilisateurs du Client au transfert de leurs Données personnelles.

5. DROITS DES PERSONNES CONCERNÉES

5.1. SMART aide le client à se conformer aux demandes des Personnes concernées conformément au chapitre III du RGPD : à la demande du client auprès de SMART, en appelant le +1 (888) 427-6278, SMART fournira au client l'assistance requise. Cela permettra au Client de vérifier et de corriger (le cas échéant), de supprimer, de recevoir et de bloquer les données personnelles du Client stockées avec SMART, au moins trente (30) jours après la réception de cette demande. Si des Données personnelles sont incorrectes ou obsolètes, le Client peut mettre à jour et corriger ces données en fournissant à SMART les informations appropriées.

5.2. Dans la mesure applicable au Client et aux Services, le Client peut demander la portabilité de ses Données personnelles.

5.3. Le Client est seul responsable du respect des obligations relatives aux droits et libertés des Utilisateurs du Client, conformément au chapitre III du RGPD ou aux autres lois applicables. SMART assiste le client comme décrit dans le paragraphe 5.1.

5.4. Les Parties conviennent que SMART ne sera pas tenu de répondre ni de traiter les demandes et les instructions fournies par les Utilisateurs du Client. Si SMART reçoit une demande directe des Utilisateurs du Client ou de tout autre personne concernée, la seule responsabilité de SMART sera de communiquer ces demandes ou instructions au Client, qui pourra alors formellement adresser une demande à SMART, comme décrit dans le paragraphe 5.1.

5.5. SMART déploiera des efforts commerciaux raisonnables pour aider le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de satisfaire aux obligations du Client de répondre aux demandes d’exercice des droits des Utilisateurs du Client conformément aux lois applicables.

6. DONNÉES NON PERSONNELLES

6.1. SMART ne collecte que des Données personnelles concernant les Utilisateurs de ses Clients que le client a fourni à SMART en s'engageant avec SMART pour la fourniture des services.

6.2. En ce qui concerne les Données non personnelles et les Données anonymisées, le Client accepte que SMART dispose de droits illimités sur ces informations et que SMART peut utiliser ces informations sans limitation.

6.3. Les Données non personnelles sont collectées et traitées principalement pour l'analyse marketing et pour améliorer et maintenir en permanence les Services, ce qui inclut, sans s'y limiter, le fonctionnement technique des Services SMART, afin d'empêcher l'utilisation frauduleuse des Services et afin de développer de nouveaux services et produits.

7. NOTIFICATIONS

7.1. Si SMART prend connaissance d'une violation de Données à caractère personnel, elle doit sans délai et, si possible, au plus tard soixante-douze (72) heures après en avoir pris connaissance, en informer le Client concerné, à moins qu'il soit peu probable que la violation des données entraîne un risque pour les droits et libertés des personnes physiques. SMART prendra également des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant d'une violation de Données personnelles.

7.2. La communication de SMART concernant une violation doit être exprimée en langage clair et simple et contenir au minimum :

  • Les coordonnées du délégué à la protection des données ou de tout autre contact
  • Une description de la nature de la violation
  • Les conséquences probables de la violation
  • Des conseils sur les mesures que les personnes concernées peuvent prendre pour se protéger et
  • Les mesures prises ou proposées par SMART pour remédier à la violation.

7.3. SMART peut divulguer des Données à des organismes d'application de la loi, réglementaires ou autres, ou à des tiers, si SMART pense raisonnablement qu'une telle divulgation est nécessaire pour se conformer à une procédure judiciaire, une ordonnance judiciaire ou une procédure judiciaire, à condition toutefois que SMART informe le Client par écrit de toute demande juridiquement contraignante de divulgation de Données personnelles par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction pénale afin de préserver la confidentialité d'une enquête policière.

8. REPRÉSENTATIONS ET ENGAGEMENTS DES PARTIES

8.1. Dans le cadre du transfert, du traitement ou de la divulgation de Données personnelles par le Client et les Utilisateurs du Client, ainsi que de tout traitement de ces données personnelles par SMART, les Parties conviennent et représentent, que, entre les parties :

  • Le Client sera considéré comme le Contrôleur de toutes ces Données Personnelles et assumera seul et intégralement toutes les responsabilités et obligations imposées au Client en tant que Contrôleur des Données Personnelles en vertu du RGPD.
  • SMART sera considéré comme le Processeur de ces Données personnelles et assumera toutes les responsabilités et obligations imposées à SMART en tant que Processeur de Données personnelles dans le cadre du RGPD.

8.2. En sa qualité de Contrôleur, le Client reconnaît qu'il est responsable d'informer les Utilisateurs du Client, de manière claire et explicite, du traitement de leurs Données personnelles, y compris du traitement par SMART, conformément à l'engagement du Client avec SMART. Le Client déclare en outre que le Client dispose de toutes les autorisations requises pour divulguer des données personnelles à SMART conformément au présent Addenda et au Contrat.

8.3. Les Parties mettent en œuvre les mesures techniques et organisationnelles appropriées conformément à l'art. 32 du RGPD pour assurer un niveau de sécurité approprié aux risques associés à la destruction, à la perte, à l'altération, à la divulgation ou à l'accès non autorisés aux Données personnelles.

8.4. SMART met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l'art. 28 du RGPD et permet et contribue aux audits, y compris les inspections, effectués par le Client ou un autre auditeur mandaté par le Client aux frais du Client. Les informations nécessaires pour démontrer la conformité peuvent être fournies sous la forme de certifications de tiers indépendants. SMART peut, à sa discrétion, fournir les informations nécessaires pour démontrer la conformité, au moyen d’une inspection, en fournissant des documents et des certifications appropriés, délivrés par des organismes indépendants (par ex. des experts comptables, des auditeurs de protection des données, des auditeurs de sécurité informatique). Si le Client souhaite effectuer une inspection par lui-même ou par un auditeur,

  1. le Client et SMART doivent convenir d'une date précise pour l'inspection,
  2. le Client doit supporter tous les coûts et dépenses pouvant survenir du côté de SMART en raison de l'inspection, et
  3. Le Client ou son auditeur sont strictement liés à la confidentialité de toutes les informations relatives aux intérêts commerciaux de SMART.

8.5. SMART maintiendra un programme de sécurité de l’information (notamment l’adoption et l’application des politiques et procédures internes) conçu pour :

  1. Satisfaire aux exigences du RGPD
  2. Identifier les risques prévisibles et internes pour la sécurité et l'accès non autorisé au réseau SMART
  3. Minimiser les risques de sécurité, notamment grâce à une évaluation des risques et à des tests réguliers.

SMART a désigné un ou plusieurs employés pour coordonner et assurer la sécurité des informations de SMART. SMART procède à des examens périodiques de la sécurité de son réseau et de l'adéquation de son programme de sécurité des informations par rapport aux normes de sécurité du secteur et à ses politiques et procédures. SMART évalue continuellement la sécurité de son réseau et de ses Services pour déterminer si des mesures de sécurité supplémentaires ou différentes sont nécessaires pour répondre aux nouveaux risques de sécurité ou aux constatations générées par les évaluations.

8.6. SMART représente et garantit que les employés, prestataires, agents ou sous-traitants de SMART autorisés par SMART à traiter des Données personnelles pour le compte du Client sont liés par des obligations contractuelles adéquates.

8.7. SMART garantit que ses employés et autres personnes autorisées à traiter des données personnelles se sont engagés à respecter la confidentialité ou sont soumis à une obligation légale de confidentialité.

8.8. SMART aide le client à assurer le respect des obligations en vertu de l'art. 32 à 36 du RGPD, en tenant compte de son rôle de Processeur de données.

8.9. SMART ne traitera les Données personnelles que pour le compte du Client et conformément aux instructions énoncées dans les présentes, conformément au Contrat ou autrement convenues entre les Parties. SMART informe immédiatement le contrôleur si, à son avis, une instruction enfreint le RGPD ou une autre disposition de l'UE ou d'un État membre de l'UE relative à la protection des données.

8.10. Les Parties traitent les Données personnelles uniquement comme étant légales et conformes à la loi applicable, y compris le RGPD.

8.11. L'utilisation des Services par le Client doit être conforme à toutes les lois applicables.

9. DURÉE

9.1. La durée de cet Addenda commence à la Date d'entrée en vigueur et se poursuit jusqu'à la résiliation ou l'expiration du Contrat applicable.

10. CONDITIONS GÉNÉRALES

10.1. En cas d'incompatibilité entre les dispositions du présent Addenda et du Contrat, les dispositions de cet Addenda prévaudront en ce qui concerne les obligations des Parties en matière de protection des données et de protection de la confidentialité.

10.2. SMART s'engage à déposer une copie de cet Addenda auprès de l'autorité de surveillance si elle en fait la demande ou, si un tel dépôt est requis en vertu de la loi applicable sur la protection des données.

10.3. Les Parties reconnaissent que les autorités de surveillance responsables ont le droit de procéder à un audit des Parties.

10.4. Si une disposition quelconque du présent Addenda devait être jugée inapplicable ou invalide par un tribunal compétent, cette disposition sera limitée au minimum nécessaire pour que cet Addenda reste en vigueur.

10.5. Cet Addenda sera régi et interprété conformément aux mêmes lois que le Contrat. Toute réclamation en vertu de cet Addenda peut être uniquement portée devant les tribunaux compétents, comme spécifié dans le Contrat.