Renseignements au sujet de la conformité au Règlement général sur la protection des données (« RGPD »)

Introduction

La Corporation Internap (« INAP »), conjointement avec ses filiales nationales et internationales (incluant iWeb Technologies Inc., et ci-après désignées collectivement par « INAP »), fournit des services de centres de données haute performance, notamment des services réseau, de colocation, d’hébergement administré et d’infonuagique par l’entremise d’un réseau mondial de centres de données et de points de présence (emplacements POP). INAP permet à ses clients d’utiliser ses services pour stocker, transmettre, chiffrer, déchiffrer, modifier, traiter et manipuler ou transmettre autrement des données. Dans la plupart des cas, INAP ne contrôle pas directement la façon dont ses services et son infrastructure sont utilisés ni le type d’information qui est stockée ou transmise par l’entremise de son infrastructure.

Certaines données stockées ou transmises par l’entremise de l’infrastructure d’INAP pourraient être des « données personnelles » protégées, selon la définition de ce terme dans le Règlement général sur la protection des données (« RGPD ») de l’Union européenne.[1] De plus, certains services d’INAP pourraient concerner des activités de « traitement », tel que défini par le RGPD. Par conséquent, les directives du RGPD pourraient s’appliquer à INAP dans certaines circonstances, en fonction des services fournis et des données stockées.

Les renseignements suivants au sujet de la conformité d’INAP au RGPD sont présentés à titre informatif et à des fins de conformité uniquement. Rien dans les présents renseignements ne constitue une représentation que les données ou les services d’INAP sont gérés par le RGPD ou assujettis à celui-ci, ni que ces renseignements représentent ou constituent une entente avec tout client ou client potentiel ou un engagement envers ceux-ci.

Date d’entrée en vigueur du RGPD

Le RGPD entrera en vigueur le 25 mai 2018. INAP s’engage à se conformer au RGDP dans les limites applicables à compter de cette date.

Statut d’INAP en vertu du RGPD

Selon le RGPD, dans le cadre du traitement de certains ensembles de données, INAP peut être désignée comme i) un « responsable du traitement » assujetti au RGPD; ii) un « sous-traitant » assujetti au RGPD; ou iii) une entreprise n’étant pas assujettie au RGPD.

Sous-traitant

Dans la plupart des cas où les dispositions du RGPD s’appliquent, INAP est considérée comme un « sous-traitant ». Cela signifie qu’INAP stocke un ensemble de données personnelles ou effectue certaines opérations au moyen de celles-ci pour le compte d’un client, selon les directives écrites de ce dernier.

Exemple : INAP fournit des services d’hébergement administré au Client A, un détaillant établi en France. Ce client stocke les noms, les dates de naissance, les adresses électroniques et les renseignements sur la carte de crédit de ses clients dont plusieurs d’entre eux sont des citoyens de l’Union européenne. Le Client A est le « responsable du traitement » des données des acheteurs. En tant que fournisseur de services d’hébergement administré, INAP a logiquement accès aux données des consommateurs, et par conséquent, est considérée comme le « sous-traitant » de ces données. INAP traitera les données du Client A conformément à une entente de sous-traitance.

Responsable du traitement

INAP recueille et stocke également plusieurs renseignements, notamment sur les ententes, les paiements et les dossiers des employés, dans le but de mener ses activités d’entreprise, de marketing, d’embauche et autres. Le cas échéant, INAP sera considérée comme étant le responsable du traitement des données.

Exemple : INAP conclut une entente avec le Client B relative à l’utilisation d’un espace de colocation. Ce client est établi dans un pays de l’Union européenne. INAP reçoit des données personnelles au sujet des employés du Client B lors des négociations, notamment leurs adresses électroniques professionnelles. INAP est le « responsable du traitement » de ces données.

Le RGPD ne s’applique pas

Le RGPD ne s’applique pas aux relations dans le cadre desquelles les données ne sont pas considérées comme étant protégées ou lorsque le client n’est pas assujetti au RGPD.

Exemple : Un client établi aux États-Unis fait l’achat de services d’hébergement administré pour des données de marketing au sujet de citoyens américains. Le RGPD ne s’applique pas.

Exemple : Un client établi dans un pays de l’Union européenne fait l’achat de services de colocation auprès d’INAP. INAP ne possède aucun accès logique aux données du client et ne possède aucun code d’utilisateur, mot de passe, ni toute autre donnée lui permettant d’accéder au serveur. INAP assure uniquement la sécurité physique de l’appareil dans lequel les données sont stockées. INAP n’est pas considérée comme un sous-traitant des données puisqu’elle n’effectue aucune opération sur les données du client. Il n’est donc pas nécessaire de mettre en œuvre une entente de sous-traitance avec INAP en vertu du RGPD.

Exemple : Un client établi dans un pays de l’Union européenne fait l’achat de services réseau auprès d’INAP. INAP ne possède aucun accès logique aux données du client associées aux services réseau. Il n’est donc pas nécessaire de mettre en œuvre une entente de sous-traitance avec INAP en vertu du RGPD, puisqu’INAP agit en tant que simple canal de transmission des données et n’est pas considérée comme un sous-traitant des données.[2]

Responsabilités d’INAP

Sécurité : INAP met en place des mesures de sécurité standard et actualisées pour sécuriser l’environnement et les connexions à partir desquels elle fournit ses services. INAP peut mettre en œuvre d’autres mesures supplémentaires à la demande du client.

Avis de non-divulgation : INAP ne divulgue aucun renseignement à des tiers à moins d’y être autorisée par la loi, par la personne concernée, par le responsable du traitement ou par le sous-traitant, le cas échéant.

Conformité d’INAP à titre de sous-traitant

Lorsqu’INAP est considérée comme un « sous-traitant » d’un ensemble de données précis en vertu du RGPD, elle doit signer une entente de sous-traitance ou un addenda relatif à la sous-traitance des données. Cette entente est requise en vertu du RGPD et régit les modalités de traitement de l’ensemble de données protégées par INAP.

Conformité d’INAP à titre de sous-traitant

Lorsqu’INAP est considérée comme un « responsable du traitement » des données en vertu du RGPD, elle doit respecter, sans s’y limiter, les obligations suivantes :

  • INAP traitera les données conformément aux lois en vigueur.
  • INAP conclura des ententes de sous-traitance avec tous les tiers agissant à titre de sous-traitant avant de leur acheminer des données personnelles.
  • INAP conservera tous les registres requis et fournira à la personne concernée toutes les modalités à l’égard de l’exercice de ses droits quant à la protection de ses données personnelles.
  • INAP conservera les données personnelles aussi longtemps que requis pour les fins auxquelles elles ont été recueillies.
  • INAP fournira tous les avis requis.
  • INAP adoptera toutes les politiques et les procédures requises et donnera de la formation aux employés qui traitent les données personnelles régies par le RGPD.
  • INAP mettra en œuvre les principes de respect de la vie privée dès la conception et de respect de la vie privée par défaut en ce qui a trait aux données personnelles régies par le RGPD.
  • INAP fournira tous les avis requis en cas d’atteinte à la protection de données.

Conformité au RGPD

Afin d’assurer la conformité au RGPD, INAP s’engage à :

  • Conclure des ententes de traitement des données avec ses clients lorsque le RGPD s’applique.
  • Conclure des ententes de sous-traitance avec ses fournisseurs, le cas échéant.
  • Conserver toute la documentation requise par le RGPD et à fournir tous les avis requis.
  • Maintenir des mesures de sécurité actualisées, mener des audits de conformité au règlement et mettre en œuvre des mesures de sécurité supplémentaires à la demande du client, conformément aux modalités des ententes applicables.
  • Offrir du soutien à ses clients dans les domaines applicables en vertu du RGPC, notamment en matière de sécurité, de droits des personnes concernées, d’atteinte à la protection des données, de la réalisation d’analyses des impacts relatives à la protection des données et de la consultation préalables, ainsi que tout autre élément prévu par le RGPD.

Pour toute question au sujet de cet avis de conformité au RGPD d’INAP, veuillez nous contacter à l’adresse électronique suivante : GDPR@inap.com. Veuillez noter qu’INAP n’est pas en mesure de répondre aux questions à l’égard de votre statut de responsable du traitement ou de sous-traitant.

Notifications à la personne concernée

Comme indiqué ci-dessus, INAP agira dans certaines circonstances à titre de responsable du traitement, conformément au RGPD. Selon les articles 13 et 14 du RGPD, INAP doit fournir certains renseignements aux personnes concernées lorsqu’elle recueille des données personnelles à leur sujet directement ou par l’entremise de tiers (comme d’un employeur).

Ce résumé est fourni à titre informatif uniquement et est présenté dans son intégralité dans les politiques de confidentialité et les conditions d’utilisation applicables, lesquelles sont accessibles sur le site Web d’INAP et de ses sociétés affiliées. En cas de conflit, les modalités de la politique de confidentialité et des conditions d’utilisation applicables prévaudront.

Identité du responsable du traitement

En vertu du RGPD, INAP et ses filiales à l’échelle nationale et internationale seront responsables du traitement dans le cas où les données qu’elles recueillent sont considérées par le RGPD comme étant des données personnelles sur la personne concernée. Pour toute question ou inquiétude au sujet de la collecte de vos données personnelles, veuillez nous contacter à l’adresse suivante : GDPR@inap.com.

But du traitement des données

INAP peut utiliser les données personnelles de diverses façons dans le but de s’acquitter de ses obligations dans le cadre de diverses ententes et de la poursuite de ses intérêts légitimes, comme la fourniture de services dans le cadre d’une entente avec d’autres entités, notamment de services réseau, de colocation, d’hébergement administré et d’infonuagique. Le fondement juridique à l’origine du traitement est généralement la nécessité de poursuivre les activités légitimes décrites précédemment, ainsi que la conformité en matière d’obligations juridiques ou de consentement.

Destinataires des données

Les destinataires des données personnelles varient selon le service fourni qui requiert le traitement des données personnelles. Dans de nombreux cas, les seuls destinataires des données personnelles sont les employés d’INAP qui ont affirmé leur engagement envers la confidentialité des données. Dans d’autres cas, INAP pourrait transmettre les données personnelles à des sous-traitants ou à d’autres responsables du traitement, au besoin, afin de respecter ses obligations.

Transfert des données à l’extérieur de l’UE et de l’EEE

INAP pourrait transférer des données personnelles à l’extérieur de l’Union européenne ou de l’Espace économique européen. Le cas échéant, des mesures de sécurité adéquates seront mises en place, comme la certification du bouclier de protection des données ou l’ajout de clauses types approuvées. INAP transférera des données personnelles à des responsables du traitement ou à des sous-traitants étrangers uniquement s’ils satisfont à ces exigences.

Période de stockage

INAP stockera vos données uniquement pour la période durant laquelle elles sont requises. Par exemple, INAP stockera uniquement les données personnelles qui sont requises dans le cadre de ses activités légitimes, tant qu’elle mènera ces activités. Si INAP a obtenu votre consentement pour le traitement de vos données personnelles, vous pourrez le retirer à tout moment. Veuillez contacter INAP à l’adresse GDPR@inap.com pour retirer votre consentement à l’utilisation de vos données.

Vos droits en tant que personne concernée

INAP s’engage à respecter en tout point ses obligations à l’égard de l’exercice de vos droits en vertu du RGPD. Veuillez noter qu’en vertu du RGPD (dans la mesure où le RGPD s’applique à vos données personnelles), vous disposez des droits suivants :

  • Le droit de demander l’accès à vos données personnelles, de les rectifier ou de les supprimer (c.-à-d., que vous disposez d’un droit à l’oubli) ou de limiter leur traitement ou les fins de leur traitement;
  • Le droit à la portabilité des données;
  • Le droit de porter plainte auprès d’une autorité de contrôle; et
  • Dans certaines circonstances, le droit de connaître la source des données et de savoir si celle-ci était publique.

Pour toute question au sujet de l’exercice de vos droits, veuillez communiquer avec nous à l’adresse suivante : GDPR@inap.com. INAP pourrait fournir des renseignements supplémentaires dans ses communications directes avec les personnes concernées, au besoin.

Dernière révision : avril 2018

 


 

[1] Pour obtenir une copie du RGPD, rendez-vous à l’adresse suivante : http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf (dernière consultation : 23 mars 2018).

[2] Veuillez vous reporter à l’article 2(4) du RGPD.