Accord de traitement des données

Cadre responsable du traitement / sous-traitant pour les renseignements personnels en vertu de la LPRPDE et de la Loi 25 du Québec

Date d'entrée en vigueur : 4 mars 2026 | Version 1.0

WARNING TO USERS IN QUEBEC / AVIS AUX UTILISATEURS DU QUÉBEC

Français : Le présent Accord de traitement des données est disponible en français et en anglais. En utilisant la plateforme, vous confirmez votre volonté expresse d'être lié par la version anglaise (si applicable) après avoir eu l'opportunité de consulter la version française. Conformément à la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), Crewd Inc. s'engage à respecter toutes les obligations applicables en matière de protection des renseignements personnels.

English: This Data Processing Agreement is available in French and English. By using the Platform, you confirm your express wish to be bound by the English version (if applicable) after having had the opportunity to consult the French version. In accordance with Quebec Law 25 (Act to Modernize Legislative Provisions as Regards the Protection of Personal Information), Crewd Inc. undertakes to comply with all applicable personal information protection obligations.

1. Portée et application

Le présent Accord de traitement des données (« ATD » ou « Accord ») est conclu entre Crewd Inc. (« Crewd », « Sous-traitant », « nous », « notre » ou « nos »), une société constituée en vertu des lois du Canada, et l'Utilisateur (« Responsable du traitement ») ayant accepté les Conditions d'utilisation principales de Crewd (« CU ») en accédant à la Plateforme ou en l'utilisant.

Le présent ATD fait partie intégrante des Conditions d'utilisation principales et y est incorporé par renvoi. En acceptant les Conditions d'utilisation principales, le Responsable du traitement accepte d'être lié par les termes du présent ATD sans signature ni exécution supplémentaire. Le présent ATD régit le traitement des renseignements personnels par Crewd agissant à titre de Sous-traitant pour le compte du Responsable du traitement dans le cadre de la fourniture des services de la Plateforme.

Le présent ATD est conçu pour se conformer aux exigences applicables des lois suivantes : (a) la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (« LPRPDE »), administrée par le Commissariat à la protection de la vie privée du Canada (« OPC ») ; (b) la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ ch. P-39.1, telle que modernisée par la Loi 25 du Québec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), applicable depuis le 22 septembre 2023, et administrée par la Commission d'accès à l'information du Québec (« CAI ») ; et (c) toute autre législation provinciale applicable en matière de protection de la vie privée dans la mesure où elle s'applique.

1.1 Définitions

Aux fins du présent ATD, les termes suivants auront les significations qui leur sont attribuées ci-dessous. Les termes en majuscules utilisés mais non définis aux présentes auront les significations qui leur sont attribuées dans les Conditions d'utilisation principales.

« Responsable du traitement » désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des renseignements personnels. Aux fins du présent ATD, le Responsable du traitement est l'organisation Utilisateur (Fournisseur ou Demandeur) ayant conclu les Conditions d'utilisation principales avec Crewd.

« Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des renseignements personnels pour le compte du Responsable du traitement. Aux fins du présent ATD, le Sous-traitant est Crewd Inc., agissant à titre d'intermédiaire technologique, de service informatique passif et de dépositaire de données.

« Sous-traitant ultérieur » désigne toute personne physique ou morale engagée par le Sous-traitant pour exercer des activités de traitement pour le compte du Responsable du traitement, lorsque ce traitement implique des renseignements personnels. La liste des sous-traitants ultérieurs autorisés est établie à l'article 7 du présent ATD.

« Renseignements personnels » désigne tout renseignement concernant un individu identifiable, au sens de la LPRPDE et de la Loi 25 du Québec, traité par Crewd dans le cadre de la fourniture des services de la Plateforme. Cela comprend les renseignements qui, seuls ou combinés à d'autres renseignements, permettent d'identifier directement ou indirectement un individu spécifique.

« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des renseignements personnels, que ce soit ou non par des moyens automatisés, y compris, sans s'y limiter, la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les renseignements personnels. Les personnes concernées au titre du présent ATD comprennent, sans s'y limiter, les travailleurs individuels, les employés, les sous-traitants et les contacts d'affaires dont les renseignements personnels sont traités sur la Plateforme.

« Autorité de surveillance » désigne : (a) le Commissariat à la protection de la vie privée du Canada (OPC) en ce qui concerne les obligations fédérales en vertu de la LPRPDE ; et (b) la Commission d'accès à l'information du Québec (CAI) en ce qui concerne les obligations en vertu de la Loi 25 du Québec. Les deux autorités peuvent exercer leur compétence de manière concurrente selon la nature et le lieu de l'activité de traitement.

« Atteinte aux renseignements personnels » ou « Incident de confidentialité » désigne une violation de la sécurité entraînant la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès non autorisé à des renseignements personnels transmis, stockés ou autrement traités. Une atteinte comprend à la fois les incidents confirmés et les incidents suspects crédibles nécessitant une enquête.

« Plateforme » désigne le marché numérique Crewd, y compris son application web, son application mobile, ses interfaces de programmation d'applications (API) et tout autre service logiciel connexe mis à disposition par Crewd Inc. dans le cadre des Conditions d'utilisation principales.

« Services » désigne tous les services fournis par Crewd au Responsable du traitement en vertu des Conditions d'utilisation principales, y compris, sans s'y limiter, le jumelage de main-d'œuvre, le suivi du temps, la facturation, la facilitation du traitement des paiements et les fonctions administratives connexes.

« Renseignements personnels sensibles » désigne les renseignements personnels qui, de par leur nature, nécessitent une protection accrue en raison du risque de préjudice aux personnes en cas de divulgation non autorisée. Aux fins du présent ATD, les renseignements personnels sensibles comprennent les données de géolocalisation, les renseignements de compte financier, les numéros d'identification et les dossiers de rendement ou disciplinaires.

1.2 Préséance

En cas de conflit ou d'incompatibilité entre les termes du présent ATD et les Conditions d'utilisation principales (y compris leurs annexes), les termes du présent ATD prévaudront en ce qui concerne les questions relatives à la protection, au traitement, à la sécurité et à la gouvernance des renseignements personnels. Toutes les autres modalités et conditions des Conditions d'utilisation principales demeureront pleinement en vigueur.

1.3 Application interentreprises (B2B)

Le présent ATD est un instrument interentreprises (« B2B »). Les deux parties au présent ATD sont des entités commerciales. Le Responsable du traitement déclare et garantit qu'il a obtenu, ou qu'il obtiendra avant de soumettre des renseignements personnels à la Plateforme, tous les consentements, autorisations et bases légales nécessaires pour transférer légalement ces renseignements personnels à Crewd aux fins des activités de traitement décrites dans le présent ATD. Le Responsable du traitement est seul responsable de la légalité de ses instructions au Sous-traitant et de sa propre conformité à la législation applicable en matière de protection de la vie privée dans son rôle de Responsable du traitement.

2. Rôles du responsable du traitement et du sous-traitant

2.1 Responsable du traitement

L'organisation Utilisateur (« Responsable du traitement »), qu'elle agisse en tant que Fournisseur (entreprise de métiers, désignée « Fournisseur » sur la Plateforme) ou en tant que Demandeur (entrepreneur en construction, désigné « Client » sur la Plateforme), est le Responsable du traitement à l'égard des renseignements personnels de son propre personnel, de ses travailleurs, de ses contacts d'affaires et de toute autre Personne concernée dont les renseignements personnels sont introduits ou stockés sur la Plateforme par le Responsable du traitement.

En tant que Responsable du traitement, l'organisation Utilisateur détermine de manière indépendante les finalités pour lesquelles les renseignements personnels sont traités et les moyens par lesquels ils le sont. Les décisions du Responsable du traitement comprennent, sans s'y limiter : les travailleurs à intégrer sur la Plateforme ; les offres d'emploi à publier ou à accepter ; les personnes affectées à des engagements spécifiques ; et les communications envoyées via les fonctions de messagerie de la Plateforme.

Le Responsable du traitement est indépendamment et seul responsable de : (a) s'assurer qu'il dispose d'une base légale appropriée pour le traitement en vertu du droit applicable avant de soumettre des renseignements personnels à la Plateforme ; (b) fournir les avis de confidentialité requis aux Personnes concernées conformément à la LPRPDE et à la Loi 25 du Québec ; (c) répondre aux demandes d'exercice de droits des Personnes concernées conformément au droit applicable ; (d) se conformer à toutes les obligations applicables en matière de protection de la vie privée dans son rôle de Responsable du traitement ; et (e) s'assurer de l'exactitude, de l'exhaustivité et de l'actualité des renseignements personnels qu'il soumet à la Plateforme.

Le Responsable du traitement reconnaît que Crewd, dans son rôle de Sous-traitant, ne vérifie pas la légalité des instructions du Responsable du traitement et s'appuie entièrement sur les déclarations et garanties du Responsable du traitement concernant son autorité légale à traiter les renseignements personnels qu'il soumet à la Plateforme.

2.2 Sous-traitant

Crewd Inc. agit à titre de Sous-traitant, traitant les renseignements personnels uniquement pour le compte du Responsable du traitement, sous son autorité et conformément à ses instructions documentées. Le rôle de Crewd en tant que Service informatique passif signifie que Crewd fournit l'infrastructure technique, les algorithmes et le soutien opérationnel nécessaires pour exécuter les instructions du Responsable du traitement, sans exercer de jugement indépendant sur la finalité ultime du traitement.

En tant que Sous-traitant, Crewd devra : (a) traiter les renseignements personnels uniquement sur instruction documentée du Responsable du traitement, y compris pour les transferts transfrontaliers de données, sauf si la loi applicable l'y oblige ; (b) s'assurer que le personnel autorisé à traiter les renseignements personnels est tenu par des obligations de confidentialité ; (c) mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées telles que décrites à l'article 5 du présent ATD ; (d) respecter les conditions d'engagement des Sous-traitants ultérieurs telles qu'établies à l'article 7 du présent ATD ; (e) aider le Responsable du traitement à assurer le respect des obligations relatives aux droits des Personnes concernées ; (f) aider le Responsable du traitement à assurer le respect des obligations en matière de sécurité, de notification d'atteinte, d'évaluation des incidences sur la vie privée et de consultation préalable ; (g) supprimer ou retourner tous les renseignements personnels au Responsable du traitement à la fin de la prestation des services ; et (h) mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité au présent ATD.

Lorsque Crewd traite des renseignements personnels à ses propres fins au-delà de celles strictement nécessaires à la fourniture des services de la Plateforme (par exemple, pour la prévention de la fraude, la surveillance anti-contournement, l'analyse agrégée ou la conformité légale), Crewd agit à titre de Responsable du traitement indépendant pour ce traitement, et ce traitement est régi par la Politique de confidentialité de Crewd plutôt que par le présent ATD.

2.3 Scénarios de responsabilité conjointe du traitement

Dans des circonstances limitées et spécifiques, Crewd et le Responsable du traitement peuvent être considérés comme des responsables conjoints du traitement à l'égard de certaines activités de traitement. Ces circonstances comprennent, sans s'y limiter : (a) la prévention de la fraude et la surveillance anti-contournement, où les deux parties partagent un intérêt à détecter et prévenir les embauches hors plateforme en violation des dispositions de non-contournement des Conditions d'utilisation principales ; (b) les obligations de déclaration réglementaire, où les deux parties sont indépendamment tenues de conserver et de divulguer les mêmes renseignements personnels à la même autorité (p. ex., ARC, Revenu Québec, CNESST, WSIB) ; et (c) les procédures de règlement de différends initiées par ou contre l'une ou l'autre des parties, où les deux parties nécessitent l'accès et la conservation des mêmes renseignements personnels.

Dans les scénarios de responsabilité conjointe du traitement, Crewd et le Responsable du traitement sont indépendamment responsables du respect du droit applicable en matière de protection de la vie privée à l'égard de leurs propres activités de traitement. Les parties conviennent de coopérer de bonne foi pour établir et documenter, par arrangement écrit distinct si nécessaire, les responsabilités respectives de chaque partie pour la conformité aux obligations applicables en matière de protection de la vie privée dans les scénarios de responsabilité conjointe, y compris en particulier les obligations relatives à la fourniture d'avis de confidentialité aux Personnes concernées.

Indépendamment de tout arrangement de responsabilité conjointe du traitement, les Personnes concernées peuvent exercer leurs droits contre l'une ou l'autre des parties. Chaque partie s'engage à renvoyer promptement à l'autre toute demande d'une Personne concernée relative aux activités de traitement de l'autre partie.

3. Activités de traitement

3.1 Catégories de personnes concernées

Les renseignements personnels traités dans le cadre du présent ATD concernent les catégories suivantes de Personnes concernées :

  • Personnel de l'organisation Fournisseur : Propriétaires, administrateurs, gestionnaires et travailleurs (employés, sous-traitants ou sous-traitants ultérieurs) associés aux entreprises de métiers utilisant la Plateforme en leur capacité de Fournisseurs. Cette catégorie comprend les personnes intégrées comme travailleurs sur la Plateforme et dont le temps, la présence et les données de rendement sont suivis via la Plateforme.
  • Personnel de l'organisation Demandeur : Propriétaires, administrateurs et gestionnaires associés aux organisations d'entrepreneurs en construction utilisant la Plateforme en leur capacité de Clients. Cette catégorie comprend les personnes responsables de la publication des exigences d'emploi, de l'examen des candidatures et de l'approbation des entrées de temps et des factures.
  • Utilisateurs finaux individuels : Toute personne physique qui crée un compte sur la Plateforme, y compris les propriétaires uniques agissant à la fois en tant qu'entité commerciale et en tant que particulier. Pour les propriétaires uniques domiciliés au Québec, Crewd traite tous les renseignements personnels et commerciaux avec le niveau de protection élevé applicable aux renseignements personnels en vertu de la Loi 25 du Québec.
  • Contacts d'affaires : Personnes dont les coordonnées sont fournies à la Plateforme par les Responsables du traitement dans le cadre de la configuration organisationnelle, de la coordination des emplois ou à des fins administratives, et qui peuvent ou non avoir leurs propres comptes sur la Plateforme.

3.2 Types de renseignements personnels

Les catégories suivantes de renseignements personnels sont traitées sur la Plateforme dans le cadre des Services :

  • Données d'identité de compte : Noms légaux complets, adresses courriel, numéros de téléphone (mobile et professionnel), photographies de profil (le cas échéant), noms d'utilisateur de compte et identifiants d'utilisateur attribués par Clerk. Ces données sont collectées lors de l'inscription via l'authentification Clerk et synchronisées avec la base de données Convex via un webhook.
  • Données d'identité d'entreprise : Raisons sociales, noms commerciaux (DBA), numéros d'enregistrement d'entreprise (NE), numéros d'entreprise du Québec (NEQ), adresses commerciales enregistrées, classifications de type d'organisation et identifiants des objets organisationnels gérés par Clerk associés à chaque compte.
  • Données de localisation et de géolocalisation : Adresses civiques physiques des chantiers et des locaux organisationnels ; coordonnées GPS précises collectées pendant le statut d'emploi actif pour la vérification de présence ; et dossiers historiques de géolocalisation conservés pendant la période spécifiée dans la Politique de confidentialité.
  • Données de temps et de présence : Horodatages d'entrée et de sortie (millisecondes Unix) ; heures de début et de fin de quart ; durée de chaque intervalle de travail ; dossiers de validation du NIP à six chiffres de type TOTP pour l'accès à l'entrée de temps ; étiquettes de classification de présence (p. ex., à l'heure, en retard, absence, partiel, confirmé) ; statut de révision de sortie (en attente de révision par le client, confirmé automatiquement après une fenêtre de 12 heures) ; et résumés agrégés de quarts par emploi et par travailleur.
  • Données de communications : Messages texte échangés dans la plateforme entre Clients et Fournisseurs via la fonctionnalité de clavardage de la Plateforme ; journaux de messages SMS (expéditeur, destinataire, SID du message, statut de livraison, horodatage) générés via Twilio ; et dossiers de livraison de notifications.
  • Données financières et de facturation : Montants des factures, taux et quantités par ligne, statut de paiement (en attente, payé, en souffrance, contesté), identifiants de compte Stripe (identifiant client Stripe, identifiant de compte Stripe Connect), métadonnées du mode de paiement (quatre derniers chiffres de la carte, marque de la carte — mais pas les numéros de carte complets, qui sont détenus exclusivement par Stripe), dossiers de cycle de facturation, entrées de grand livre de crédit et de débit, et dossiers d'évaluation des pénalités.
  • Données de rendement et de fiabilité : Scores de fiabilité calculés à partir des dossiers de temps et de présence ; historiques de classification de présence ; taux d'achèvement des emplois ; dossiers d'annulations et d'absences ; et notes de rendement ou signalements ajoutés par les administrateurs de la Plateforme.
  • Données d'intégration et de vérification : Soumissions de formulaires d'intégration (données de progression étape par étape) ; numéros de licence de métier (numéros de licence RBQ, identifiants de certification Métiers spécialisés Ontario) ; métadonnées de certificats d'assurance ; dossiers de certification de sécurité ; dossiers de consentement à la vérification des antécédents (le cas échéant) ; et statut d'achèvement de l'intégration.
  • Données système et d'audit : Journaux d'activité côté serveur (actions des utilisateurs, horodatages, adresses IP) ; dossiers d'événements webhook (charges utiles de webhooks Clerk, Twilio et Stripe stockées dans des tables d'idempotence dédiées) ; métadonnées de requêtes et de réponses API ; jetons de session et événements d'authentification ; et journaux d'erreurs système dans la mesure où ils contiennent des renseignements personnels.

3.3 Opérations de traitement

Crewd effectue les opérations de traitement suivantes sur les renseignements personnels dans le cadre de la fourniture des Services :

  1. Collecte et synchronisation : Les renseignements personnels sont collectés auprès des Personnes concernées via l'interface utilisateur de la Plateforme et synchronisés depuis le service de gestion des identités de Clerk vers la base de données en temps réel Convex via des appels webhook authentifiés. Chaque charge utile de webhook est stockée dans une table d'idempotence dédiée pour éviter le traitement en double.
  2. Stockage et persistance : Les renseignements personnels sont stockés dans la base de données en temps réel Convex (hébergée sur l'infrastructure Amazon Web Services aux États-Unis) avec un chiffrement AES-256 au repos et un chiffrement TLS 1.3 en transit. Les règles de sécurité au niveau des lignes (RLS) de Convex appliquent l'isolation des données entre les organisations, garantissant que les données d'un Responsable du traitement ne peuvent pas être consultées par un autre Responsable du traitement.
  3. Traitement par l'algorithme de jumelage : Les algorithmes de jumelage de la Plateforme traitent les données de géolocalisation (coordonnées du chantier, localisation du travailleur), les classifications de postes de métier, les calendriers de disponibilité des travailleurs et les scores de fiabilité pour générer des listes classées de Fournisseurs appropriés pour chaque exigence d'emploi publiée par un Demandeur. Cela constitue un traitement automatisé et, lorsque le résultat constitue une décision exclusivement automatisée ayant des effets significatifs sur une Personne concernée, est divulgué aux Personnes concernées conformément à la Loi 25 du Québec.
  4. Calcul du score de fiabilité : La Plateforme calcule automatiquement les scores de fiabilité pour les travailleurs en agrégeant les dossiers de classification de présence sur une fenêtre de temps continue. Ces scores sont affichés aux organisations Demandeuses pour soutenir les décisions d'embauche. Les paramètres de l'algorithme de score de fiabilité sont divulgués aux Personnes concernées sur demande.
  5. Suivi du temps et classification de la présence : La Plateforme enregistre les événements d'entrée et de sortie soumis par les travailleurs (à l'aide d'une validation de NIP de type TOTP) et classe automatiquement la présence comme à l'heure, en retard, partielle, absence ou confirmée en fonction des heures de quart prévues. La confirmation automatique des événements de sortie survient après une fenêtre de révision souple par le client de 12 heures si aucune réponse n'est reçue.
  6. Facilitation du traitement des paiements : Les données financières sont traitées via l'infrastructure de paiement du marché Stripe Connect. Crewd facilite la collecte des paiements des Demandeurs et le versement des gains aux Fournisseurs, calcule les frais de plateforme, les taxes applicables (TPS/TVH/TVQ lorsque Crewd agit en tant que facilitateur de marché) et génère des factures détaillées. Crewd ne stocke pas les numéros de carte de paiement complets ; les données de carte sont détenues exclusivement par Stripe.
  7. Facilitation des communications : Les messages de clavardage dans la plateforme sont transmis et stockés pour permettre les communications d'affaires entre les Clients et les Fournisseurs jumelés. Les notifications SMS sont envoyées via Twilio aux numéros de téléphone enregistrés pour les alertes opérationnelles urgentes (p. ex., confirmations d'emploi, rappels d'entrée, notifications de paiement).
  8. Traitement de la géolocalisation pour la vérification de la présence : Les données de coordonnées GPS sont collectées lorsque le statut d'un travailleur est défini sur un état d'emploi actif. Ces données sont traitées pour vérifier la présence physique sur le chantier désigné et pour permettre l'attestation de preuve de présence aux fins de libération des paiements. La collecte de géolocalisation cesse automatiquement lorsque le statut du travailleur passe à inactif.
  9. Calculs de facturation et d'établissement des factures : La Plateforme calcule les montants des factures en fonction des entrées de temps approuvées, des taux convenus, des frais de plateforme applicables et de tout crédit ou débit de pénalité applicable. Les entrées de facturation sont immuables une fois créées ; les corrections sont effectuées via des entrées de crédit ou de débit compensatoires dans le grand livre.
  10. Évaluation automatisée des pénalités : La Plateforme met en œuvre un système automatisé pour évaluer et signaler les pénalités potentielles pour les annulations tardives, les absences et les événements de non-paiement. Toutes les évaluations de pénalités nécessitent une révision administrative avant l'application des frais. Quatre types de pénalités sont reconnus : annulation tardive par le client, non-paiement automatique, retrait de l'entreprise de métiers et absence de l'entreprise de métiers.
  11. Journalisation d'audit : Toutes les actions importantes des utilisateurs sur la Plateforme (y compris les connexions, les publications d'emploi, les soumissions d'offres, les entrées de temps, les événements de paiement et les actions administratives) sont enregistrées dans des journaux d'audit immuables. Ces journaux sont utilisés à des fins de surveillance de la sécurité, de règlement des différends et de conformité réglementaire.

3.4 Durée du traitement

Crewd traitera les renseignements personnels pour la durée de l'accord de service actif entre le Responsable du traitement et Crewd, plus les périodes de conservation supplémentaires spécifiées dans la Politique de confidentialité de Crewd et à l'article 11.2 du présent ATD. À l'expiration ou à la résiliation de l'accord de service pour quelque raison que ce soit, Crewd traitera les renseignements personnels uniquement dans la mesure strictement nécessaire pour remplir ses obligations légales (y compris les obligations de conservation obligatoire), pour résoudre les différends en suspens et pour compléter toute transaction en cours, et cessera autrement le traitement actif et procédera au retour ou à la suppression des données conformément à l'article 11 du présent ATD.

4. Instructions de traitement

Le Sous-traitant ne traitera les renseignements personnels que sur instruction documentée du Responsable du traitement. Les Conditions d'utilisation principales et le présent ATD, pris ensemble, constituent les instructions de traitement documentées initiales et principales du Responsable du traitement au Sous-traitant. Ces instructions autorisent Crewd à traiter les renseignements personnels uniquement dans la mesure nécessaire pour fournir les Services décrits dans les Conditions d'utilisation principales et pour remplir ses obligations en vertu du présent ATD.

Le Responsable du traitement peut émettre des instructions de traitement écrites supplémentaires à tout moment, à condition que ces instructions soient : (a) conformes aux finalités et à la portée des Conditions d'utilisation principales et du présent ATD ; (b) techniquement et opérationnellement réalisables par Crewd ; (c) conformes au droit applicable ; et (d) soumises par écrit à privacy@crewd.ai avec suffisamment de précision pour permettre à Crewd de les mettre en œuvre sans ambiguïté. Crewd n'est pas obligée de se conformer à des instructions supplémentaires qui l'obligeraient à violer la loi applicable, à engager des coûts matériellement disproportionnés ou à mettre en œuvre des modifications hors du champ des Services.

Si Crewd estime qu'une instruction du Responsable du traitement enfreint la LPRPDE, la Loi 25 du Québec ou toute autre législation applicable en matière de protection des données, Crewd en informera promptement le Responsable du traitement par écrit, en précisant la disposition spécifique de la loi applicable que l'instruction semble enfreindre. Crewd peut suspendre la mise en œuvre de l'instruction dans l'attente de la réponse écrite du Responsable du traitement. Si le Responsable du traitement confirme l'instruction et que Crewd estime toujours que l'instruction est illicite, Crewd se réserve le droit de refuser de mettre en œuvre l'instruction sans responsabilité envers le Responsable du traitement.

Le Sous-traitant ne traitera pas les renseignements personnels à ses propres fins ou aux fins de tout tiers, sauf : (a) sur instruction du Responsable du traitement en vertu du présent ATD ; (b) tel qu'autorisé par le Responsable du traitement dans les Conditions d'utilisation principales ; (c) dans la mesure strictement nécessaire pour se conformer à une obligation légale à laquelle Crewd est soumise, auquel cas Crewd informera le Responsable du traitement de cette exigence légale avant le traitement, sauf si la loi lui interdit de le faire ; ou (d) tel que décrit à l'article 2.3 du présent ATD dans les scénarios de responsabilité conjointe du traitement.

4.1 Personnel autorisé

Crewd s'assurera que l'accès aux renseignements personnels traités dans le cadre du présent ATD est limité au personnel et aux sous-traitants de Crewd qui : (a) ont besoin d'accéder aux renseignements personnels dans le cadre légitime du respect des obligations de Crewd en vertu du présent ATD et des Conditions d'utilisation principales ; (b) sont soumis à des obligations de confidentialité contraignantes, que ce soit par contrat ou par des obligations professionnelles applicables ; et (c) ont reçu une formation appropriée en matière de protection des données proportionnelle à leur niveau d'accès et à la sensibilité des données qu'ils traitent. Crewd maintient une matrice de contrôle d'accès interne documentant les rôles autorisés et leurs niveaux d'accès aux données permis.

5. Mesures de sécurité des données

Crewd mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les renseignements personnels contre la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès non autorisé. Ces mesures tiendront compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de préjudice aux Personnes concernées, de probabilité et de gravité variables. Les mesures spécifiques mises en œuvre sont décrites ci-dessous.

5.1 Mesures techniques

  • Chiffrement en transit : Toutes les données transmises entre les applications client de la Plateforme et les services backend sont chiffrées à l'aide de TLS 1.3 (Transport Layer Security version 1.3). Crewd ne permet pas les connexions utilisant des protocoles obsolètes (TLS 1.0 ou TLS 1.1). L'épinglage de certificats est mis en œuvre lorsque cela est techniquement faisable sur les versions d'applications mobiles.
  • Chiffrement au repos : Tous les renseignements personnels stockés dans la base de données en temps réel Convex (hébergée sur Amazon Web Services) sont chiffrés au repos à l'aide d'AES-256 (norme de chiffrement avancée avec clés de 256 bits). La gestion des clés de chiffrement est assurée par AWS Key Management Service (KMS) avec support de module de sécurité matériel (HSM).
  • Authentification et gestion des sessions : L'authentification des utilisateurs est gérée exclusivement par Clerk, qui émet des jetons d'accès JWT (JSON Web Token) de courte durée. Les jetons de session sont validés à chaque requête API authentifiée. La rotation des jetons d'actualisation est imposée. Les sessions inactives sont terminées après une période d'expiration configurable.
  • Contrôle d'accès basé sur les rôles (RBAC) : La Plateforme met en œuvre un système de contrôle d'accès basé sur les rôles granulaire avec le principe du moindre privilège. Sept rôles d'utilisateur distincts (ProprioOrg, AdminOrg, GestOrg pour les deux types d'organisation — entreprise et client — EmployéOrg pour les talents, et SuperAdmin/Admin pour les administrateurs de plateforme) sont définis, chacun avec des permissions d'accès aux données à portée étroite. L'accès est imposé à la fois au niveau de l'API et au niveau de la base de données via les règles de sécurité au niveau des lignes (RLS) de Convex.
  • Sécurité au niveau des lignes (RLS) au niveau de la base de données : Les politiques RLS de Convex appliquent une isolation stricte des données entre les organisations Responsables du traitement. Aucun Responsable du traitement ne peut interroger, lire ou modifier les renseignements personnels d'une autre organisation Responsable du traitement sans autorisation explicite. Les règles RLS sont évaluées côté serveur et ne peuvent pas être contournées par une manipulation côté client.
  • Limitation du débit et prévention des abus : Les points d'accès API sont soumis à une limitation du débit pour atténuer les attaques par force brute, le bourrage de justificatifs d'identité et l'extraction automatisée. Les schémas de requêtes anormaux déclenchent des alertes automatisées pour la révision de sécurité.
  • Validation du NIP de type TOTP pour l'entrée de temps : Les travailleurs entrent et sortent à l'aide d'un NIP à six chiffres de type TOTP validé par HMAC-SHA256 côté serveur. Ce mécanisme de NIP sert de facteur d'authentification secondaire pour les événements d'entrée de temps, atténuant le pointage par procuration et la manipulation non autorisée des entrées de temps.
  • Pistes d'audit immuables : Tous les événements importants liés à la sécurité (événements d'authentification, actions administratives, accès aux données, modifications des permissions) sont écrits dans des tables de journaux d'audit immuables dans la base de données Convex. Ces journaux ne peuvent pas être modifiés ou supprimés par le code de la couche applicative.

5.2 Mesures organisationnelles

  • Authentification multifacteur (AMF) obligatoire : L'AMF est obligatoire pour tout le personnel de Crewd ayant accès aux systèmes de production, aux tableaux de bord administratifs ou à l'infrastructure infonuagique. L'AMF est imposée via une application d'authentification (TOTP) ou une clé de sécurité matérielle (FIDO2/WebAuthn). L'AMF par SMS n'est pas utilisée pour l'accès du personnel de Crewd en raison des risques de substitution de carte SIM.
  • Vérification des antécédents du personnel : Le personnel et les sous-traitants de Crewd ayant accès aux renseignements personnels de production font l'objet d'une vérification des antécédents proportionnelle à leur niveau d'accès, y compris des vérifications des antécédents criminels lorsque la loi applicable le permet et que cela est proportionnel aux exigences du poste.
  • Obligations de confidentialité : Tous les employés, sous-traitants et sous-traitants ultérieurs de Crewd ayant accès aux renseignements personnels sont liés par des accords de confidentialité écrits qui survivent à la fin de leur engagement. Les violations des obligations de confidentialité sont traitées comme motif de résiliation immédiate.
  • Formation en matière de protection des données : Le personnel de Crewd ayant accès aux renseignements personnels reçoit une formation obligatoire en matière de protection des données et de la vie privée lors de son intégration et au moins annuellement par la suite. Les dossiers de formation sont conservés et disponibles pour audit.
  • Évaluations régulières de la sécurité : Crewd réalise périodiquement des évaluations de vulnérabilité de sécurité et des tests de pénétration de l'infrastructure de la Plateforme. Les résultats critiques sont corrigés selon un calendrier basé sur les risques. Les rapports d'évaluation de sécurité sont disponibles pour les Responsables du traitement sur demande écrite sous des obligations de confidentialité.
  • Plan de réponse aux incidents : Crewd maintient un plan de réponse aux incidents documenté et testé qui comprend des procédures pour détecter, contenir, enquêter et remédier aux incidents de sécurité et aux atteintes aux renseignements personnels. Le plan est révisé et mis à jour au moins annuellement et après tout incident de sécurité important.
  • Diligence raisonnable envers les sous-traitants ultérieurs : Avant d'engager tout nouveau Sous-traitant ultérieur, Crewd effectue une révision de diligence raisonnable en matière de protection des données pour évaluer les pratiques de confidentialité et de sécurité du Sous-traitant ultérieur, et conclut un accord de traitement des données écrit avec le Sous-traitant ultérieur imposant des obligations substantiellement équivalentes à celles énoncées dans le présent ATD.

5.3 Minimisation des données et limitation des finalités

Crewd applique le principe de minimisation des données dans toutes les fonctionnalités de la Plateforme. Les renseignements personnels sont collectés uniquement dans la mesure strictement nécessaire à la finalité spécifique du traitement pour laquelle ils sont collectés. Lorsqu'un ensemble de données anonymisé ou pseudonymisé est suffisant pour atteindre une finalité de traitement (par exemple, l'analyse agrégée), Crewd utilise ces ensembles de données réduits de préférence aux renseignements personnels complets.

Les données de géolocalisation sont collectées exclusivement pendant le statut d'emploi actif. La Plateforme ne collecte ni ne conserve de données de localisation en arrière-plan continues en dehors des transitions de statut d'emploi actif. Les données de géolocalisation ne sont utilisées à aucune autre fin que la vérification de la présence et l'attestation de preuve de présence aux fins de libération des paiements, sauf si un consentement supplémentaire est obtenu de la Personne concernée.

Les données de clavardage dans la plateforme sont conservées aux seules fins de la prévention de la fraude, de l'application des mesures anti-contournement et du règlement des différends. Le contenu des conversations n'est pas utilisé pour la gestion du rendement des employés, les mesures disciplinaires ou toute fin incompatible avec les finalités divulguées énoncées dans la Politique de confidentialité de Crewd. Crewd décline expressément toute utilisation de la surveillance du clavardage pour l'évaluation du rendement individuel.

Les données financières (y compris les identifiants de compte Stripe, les montants des factures et les dossiers de paiement) sont traitées uniquement aux fins de faciliter les transactions de la plateforme, de générer des factures, de remplir les obligations de déclaration fiscale et de résoudre les différends de paiement. Crewd n'utilise pas les données financières pour le profilage marketing ou la notation de crédit.

6. Notification d'atteinte aux renseignements personnels

6.1 Délai de notification

Dans le cas où Crewd prendrait connaissance d'une Atteinte aux renseignements personnels impliquant des renseignements personnels traités dans le cadre du présent ATD, Crewd en informera le Responsable du traitement sans délai indu, et en tout état de cause dans les soixante-douze (72) heures suivant la prise de connaissance de l'Atteinte. Lorsque la notification ne peut être fournie dans les 72 heures, Crewd fournira les informations disponibles au moment de la notification initiale et complétera la notification avec des informations supplémentaires au fur et à mesure qu'elles deviennent disponibles.

La notification au Responsable du traitement sera fournie par courriel à l'adresse courriel principale du compte enregistrée, avec l'objet du courriel indiquant clairement une notification d'atteinte aux données. Les Responsables du traitement sont responsables de s'assurer que leur adresse courriel principale du compte est à jour et surveillée. Crewd maintient également un contact ATD à privacy@crewd.ai pour les escalades et les demandes de suivi.

Suite à la notification du Responsable du traitement, les obligations respectives de notification réglementaire sont les suivantes : (a) en vertu de la Loi 25 du Québec, article 3.5, lorsqu'une atteinte présente un « risque réel de préjudice sérieux » aux Personnes concernées, Crewd (ou le Responsable du traitement, selon le rôle dans l'atteinte) est tenu d'aviser la Commission d'accès à l'information (CAI) et les personnes touchées ; (b) en vertu de la LPRPDE, lorsqu'une atteinte présente un « risque réel de préjudice important » aux personnes touchées, l'organisation responsable est tenue d'aviser le Commissariat à la protection de la vie privée du Canada (OPC) dès que possible et d'aviser directement les personnes touchées ; (c) les parties coopéreront de bonne foi pour déterminer qui assume l'obligation de notification principale dans chaque scénario en fonction de leurs rôles respectifs et des circonstances de l'atteinte.

Lorsque Crewd détermine qu'une Atteinte nécessite une notification à la CAI ou à l'OPC en vertu du droit applicable et que le Responsable du traitement est la partie notifiante principale, Crewd fournira au Responsable du traitement toutes les informations en sa possession pertinentes aux obligations de notification. Lorsque Crewd est la partie notifiante principale en vertu du droit applicable, Crewd avisera les autorités de réglementation et en informera simultanément le Responsable du traitement.

6.2 Contenu de la notification

Les notifications d'atteinte fournies au Responsable du traitement comprendront, dans la mesure disponible au moment de la notification, les informations suivantes :

  1. Une description de la nature de l'Atteinte aux renseignements personnels, y compris le type d'incident (accès non autorisé, divulgation accidentelle, compromission du système, perte physique ou autre), et les circonstances techniques ayant conduit à l'Atteinte dans la mesure connue au moment de la notification.
  2. Les catégories de renseignements personnels affectés par l'Atteinte (p. ex., données d'identité de compte, données financières, données de géolocalisation, dossiers de temps et de présence), et si des Renseignements personnels sensibles sont impliqués.
  3. Le nombre approximatif de Personnes concernées dont les renseignements personnels sont présumés avoir été affectés par l'Atteinte, et le cas échéant, les catégories de Personnes concernées affectées (p. ex., travailleurs, administrateurs).
  4. Le nombre approximatif de dossiers de renseignements personnels affectés.
  5. Le nom et les coordonnées du Responsable de la protection de la vie privée de Crewd ou de tout autre point de contact désigné auprès duquel des informations supplémentaires peuvent être obtenues.
  6. Une description des conséquences probables de l'Atteinte pour les Personnes concernées, y compris la nature du préjudice qui peut en résulter (p. ex., vol d'identité, perte financière, atteinte à la réputation, risque pour la sécurité).
  7. Une description des mesures que Crewd a prises, ou propose de prendre, pour remédier à l'Atteinte et pour en atténuer les effets néfastes potentiels, y compris les actions de confinement techniques, les notifications aux utilisateurs concernés et les étapes de remédiation procédurale.
  8. Le moment auquel l'Atteinte a été détectée ou est présumée s'être produite, dans la mesure où cela peut être déterminé.

6.3 Coopération et registre des atteintes

Crewd coopérera pleinement avec le Responsable du traitement pour enquêter sur les circonstances de toute Atteinte aux renseignements personnels, atténuer les effets néfastes continus et potentiels de l'Atteinte, et remplir toute obligation de notification réglementaire. Cette coopération comprendra, sans s'y limiter, la fourniture d'un accès aux journaux système pertinents (sous réserve des obligations de confidentialité applicables), la mise à disposition du personnel pertinent de Crewd pour des entrevues et la mise en œuvre de toute mesure de remédiation raisonnable demandée par le Responsable du traitement.

Crewd tient un registre permanent de toutes les Atteintes aux renseignements personnels détectées sur la Plateforme ou l'affectant, que l'Atteinte atteigne ou non le seuil de notification réglementaire obligatoire. Le registre enregistre la date et l'heure de détection, la nature de l'Atteinte, les renseignements personnels et les Personnes concernées affectés, les mesures de notification prises et les mesures de remédiation mises en œuvre. Ce registre est maintenu conformément aux obligations de conservation légale de Crewd et est disponible pour audit par le Responsable du traitement conformément à l'article 10 du présent ATD.

7. Sous-traitants ultérieurs

7.1 Sous-traitants ultérieurs autorisés

Le Responsable du traitement autorise Crewd à engager les Sous-traitants ultérieurs suivants à la date d'entrée en vigueur du présent ATD. Chaque Sous-traitant ultérieur a été évalué par Crewd dans le cadre d'une révision de diligence raisonnable en matière de protection des données, et Crewd a conclu des accords de traitement des données écrits avec chaque Sous-traitant ultérieur imposant des obligations substantiellement équivalentes à celles énoncées dans le présent ATD.

Sous-traitant ultérieurRôleJuridictionGarantie de transfert
Clerk, Inc.Gestion des identités et de l'authentificationÉtats-Unis (US-Est)Accord de traitement des données avec Clauses contractuelles types (CCT) — CCT UE 2021 adaptées aux exigences du droit canadien ; Évaluation de l'impact du transfert complétée
Convex, Inc.Base de données en temps réel (Backend-as-a-Service)États-Unis (AWS US-Est-1)Chiffrement AES-256 au repos ; TLS 1.3 en transit ; Infrastructure AWS avec certification SOC 2 Type II ; obligations contractuelles de traitement des données y compris les exigences de suppression et de confidentialité
Stripe, Inc.Traitement des paiements (modèle de marché)Mondial (infrastructure aux États-Unis, UE, Royaume-Uni)Règles d'entreprise contraignantes (BCR) de Stripe approuvées par les autorités de surveillance de l'UE ; ATD de Stripe disponible à stripe.com/legal/dpa ; Certification PCI DSS Niveau 1 ; Évaluation de l'impact du transfert complétée
Vercel, Inc.Hébergement frontal et réseau de diffusion de contenu (CDN)Mondial (réseau de périphérie ; traitement principal aux États-Unis)Accord de traitement des données avec Clauses contractuelles types (CCT) ; Certification SOC 2 Type II ; Évaluation de l'impact du transfert complétée
Twilio, Inc.Communications SMS et livraison de notificationsÉtats-Unis (principal) ; infrastructure mondiale de routage SMSAccord de traitement des données avec Clauses contractuelles types (CCT) ; Certification ISO 27001 ; Évaluation de l'impact du transfert complétée ; les données SMS ne sont pas conservées par Twilio au-delà de leur période de conservation opérationnelle standard
Google LLC (Google Cloud Platform)Cartes, géocodage et vérification d'adressesÉtats-Unis (infrastructure Google Cloud US)Avenant de traitement des données Google Cloud avec Clauses contractuelles types (CCT) ; Certification ISO 27001 et SOC 2 Type II ; Évaluation de l'impact du transfert complétée ; les requêtes sont transmises sans lien avec l'identité de l'utilisateur lorsque cela est techniquement faisable
Svix, Inc. (via l'infrastructure Clerk)Vérification et gestion de la livraison des webhooksÉtats-Unis (hérité de l'infrastructure Clerk)Hérité de l'ATD de Clerk et des Clauses contractuelles types ; Svix traite les charges utiles des webhooks uniquement aux fins de la vérification de la livraison et ne conserve ni n'utilise les données de charge utile à ses propres fins ; Évaluation de l'impact du transfert héritée de l'évaluation Clerk

7.2 Notification de modification des sous-traitants ultérieurs

Crewd fournira au Responsable du traitement un préavis écrit d'au moins trente (30) jours avant toute modification prévue de la liste des Sous-traitants ultérieurs autorisés, y compris l'ajout de nouveaux Sous-traitants ultérieurs et le remplacement de Sous-traitants ultérieurs existants. L'avis sera fourni par courriel à l'adresse courriel principale du compte du Responsable du traitement et comprendra : (a) le nom et la juridiction du nouveau Sous-traitant ultérieur proposé ou de remplacement ; (b) une description des activités de traitement à déléguer au Sous-traitant ultérieur ; (c) les catégories de renseignements personnels à traiter ; et (d) les garanties de protection des données en place ou à mettre en œuvre.

Le Responsable du traitement peut s'opposer à une modification proposée d'un Sous-traitant ultérieur en fournissant un avis écrit d'opposition à privacy@crewd.ai dans les quinze (15) jours suivant la réception de l'avis de modification. L'avis d'opposition doit préciser les motifs légitimes de protection des données sur lesquels le Responsable du traitement s'oppose. Crewd n'engagera pas le Sous-traitant ultérieur proposé tant que l'opposition du Responsable du traitement n'aura pas été résolue.

Dès réception d'une opposition écrite, les parties engageront une discussion de bonne foi pendant une période allant jusqu'à quinze (15) jours supplémentaires pour tenter de résoudre l'opposition. Si l'opposition ne peut être résolue à la satisfaction raisonnable du Responsable du traitement dans ce délai, le Responsable du traitement peut, à titre de seul recours, résilier les services spécifiques de la Plateforme qui dépendent du Sous-traitant ultérieur contesté sur préavis écrit. Les oppositions générales sans motifs de protection des données spécifiés, ou les oppositions à des Sous-traitants ultérieurs autorisés par le Responsable du traitement dans le cadre d'une version antérieure du présent ATD sans opposition, ne constituent pas des motifs valables de résiliation.

Le silence suite à la réception d'un avis de modification (c'est-à-dire le défaut de s'opposer dans le délai d'opposition de 15 jours) constitue le consentement présumé du Responsable du traitement à la modification proposée du Sous-traitant ultérieur.

7.3 Obligations et responsabilité des sous-traitants ultérieurs

Avant d'engager tout Sous-traitant ultérieur, Crewd conclura un accord de traitement des données écrit avec le Sous-traitant ultérieur qui impose à ce dernier des obligations de protection des données substantiellement équivalentes à celles imposées à Crewd dans le cadre du présent ATD, en ce qui concerne : (a) le traitement uniquement sur instruction documentée de Crewd ; (b) la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ; (c) l'assistance aux demandes d'exercice de droits des Personnes concernées ; (d) les obligations de notification d'atteinte ; (e) les obligations de confidentialité ; (f) les restrictions sur le sous-traitement ultérieur ; et (g) les obligations lors de la résiliation concernant le retour et la suppression des données.

Crewd demeure pleinement et directement responsable envers le Responsable du traitement des actes et omissions de ses Sous-traitants ultérieurs dans la même mesure que si Crewd avait effectué le traitement directement. Le seul recours du Responsable du traitement pour les manquements des Sous-traitants ultérieurs sera directement contre Crewd en vertu du présent ATD. Crewd maintiendra des droits contractuels d'audit et de recours contre chaque Sous-traitant ultérieur pour permettre à Crewd de remplir ses obligations envers le Responsable du traitement en vertu du présent ATD.

8. Transferts transfrontaliers de données

8.1 Mécanismes de transfert

Le Responsable du traitement reconnaît que les Services nécessitent que Crewd transfère des renseignements personnels vers les États-Unis d'Amérique et les y traite, où les principaux Sous-traitants ultérieurs de Crewd (Clerk, Convex, Stripe, Vercel, Twilio et Google) exploitent leur infrastructure principale. Les parties reconnaissent que les États-Unis ne bénéficient pas d'une décision d'adéquation émise par le Commissaire à la protection de la vie privée du Canada ou par la Commission d'accès à l'information du Québec à la date d'entrée en vigueur du présent ATD.

Pour assurer un niveau de protection approprié aux renseignements personnels transférés aux États-Unis et dans d'autres juridictions sans décisions d'adéquation, Crewd s'appuie sur les mécanismes de transfert suivants : (a) Clauses contractuelles types (CCT) : les Clauses contractuelles types UE 2021 (telles qu'émises par la Commission européenne le 4 juin 2021) sont incorporées par référence dans les accords de traitement des données avec chaque Sous-traitant ultérieur applicable, adaptées si nécessaire pour refléter les exigences du droit canadien (LPRPDE et Loi 25 du Québec) en tant que loi de la juridiction exportatrice ; (b) Garanties contractuelles : les accords de traitement des données avec tous les Sous-traitants ultérieurs comprennent des dispositions contractuelles traitant des exigences spécifiques de la Loi 25 du Québec concernant les transferts transfrontaliers, y compris les obligations de protection équivalente ; (c) Règles d'entreprise contraignantes (BCR) : pour Stripe, les transferts sont également régis par les BCR de Stripe approuvées par les autorités de surveillance compétentes.

Des Évaluations de l'impact du transfert (EIT) ont été réalisées par Crewd pour chaque Sous-traitant ultérieur basé aux États-Unis. Les EIT ont évalué : (a) le cadre juridique applicable dans le pays de destination concernant l'accès gouvernemental aux renseignements personnels ; (b) l'efficacité pratique du mécanisme de transfert à la lumière du cadre juridique ; et (c) les mesures techniques et organisationnelles supplémentaires mises en œuvre pour faire face aux risques identifiés. Les conclusions des EIT et les mesures supplémentaires mises en œuvre sont décrites à l'article 8.2 du présent ATD. La documentation des EIT est disponible pour examen par le Responsable du traitement sur demande écrite sous des obligations de confidentialité appropriées.

8.2 Garanties supplémentaires

Les mesures techniques et organisationnelles supplémentaires suivantes ont été mises en œuvre par Crewd et exigées de ses Sous-traitants ultérieurs pour faire face aux risques identifiés dans les Évaluations de l'impact du transfert :

  • Chiffrement de bout en bout : Les renseignements personnels sont chiffrés au repos à l'aide d'AES-256 et en transit à l'aide de TLS 1.3. Les clés de chiffrement sont gérées par le Sous-traitant ou le Sous-traitant ultérieur dans le pays de destination, ce qui signifie que tout accès gouvernemental aux données chiffrées nécessiterait simultanément l'accès aux clés de chiffrement. Crewd a évalué qu'il n'existe aucun mécanisme connu crédible par lequel une autorité gouvernementale étrangère pourrait contraindre Crewd à produire des renseignements personnels en clair stockés chez des Sous-traitants ultérieurs uniquement via le Sous-traitant ultérieur sans l'implication de Crewd.
  • Contrôles d'accès stricts et moindre privilège : Les renseignements personnels dans les systèmes des Sous-traitants ultérieurs ne sont accessibles qu'au personnel ayant un besoin professionnel documenté. L'accès est enregistré, révisé et régulièrement audité. Le contrôle d'accès basé sur les rôles minimise l'ensemble du personnel et des systèmes pouvant accéder aux renseignements personnels à tout moment.
  • Interdictions contractuelles d'accès non autorisé : Les accords de traitement des données avec tous les Sous-traitants ultérieurs comprennent des interdictions explicites d'utilisation des renseignements personnels à toute fin au-delà de la portée stricte des services fournis à Crewd, et exigent du Sous-traitant ultérieur qu'il résiste et conteste toute demande d'accès gouvernemental par tous les moyens légaux disponibles.
  • Révision annuelle de l'adéquation : Crewd réalise une révision annuelle de l'évaluation de l'adéquation du transfert pour chaque Sous-traitant ultérieur basé aux États-Unis. Si un changement dans la loi, la pratique ou les circonstances dans le pays de destination compromet matériellement l'efficacité des garanties de transfert, Crewd mettra en œuvre des mesures supplémentaires ou, si ces mesures sont insuffisantes, informera les Responsables du traitement concernés et explorera des arrangements de traitement alternatifs.
  • Pseudonymisation lorsque faisable : Lorsque cela est techniquement et opérationnellement faisable, les renseignements personnels transmis à ou traités par des Sous-traitants ultérieurs sont pseudonymisés ou tokenisés, de sorte que le Sous-traitant ultérieur traite des identifiants plutôt que des renseignements personnels directement identifiants. Cela limite l'utilité de tout accès non autorisé aux renseignements personnels par des autorités étrangères.

8.3 Divulgation du risque d'accès gouvernemental

Reconnaissance du risque : Le Responsable du traitement reconnaît le risque suivant, que Crewd est tenue de divulguer en vertu des principes de transparence applicables en vertu de la LPRPDE et de la Loi 25 du Québec : les renseignements personnels transférés vers ou traités aux États-Unis peuvent être soumis à l'accès, à la divulgation ou à l'utilisation par les autorités gouvernementales américaines en vertu de lois incluant, sans s'y limiter, le USA PATRIOT Act (Pub. L. 107-56), la Section 702 de la FISA (50 U.S.C. § 1881a) et le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 18 U.S.C. § 2713). Ces lois peuvent permettre l'accès aux renseignements personnels par des agences gouvernementales américaines sans préavis à la Personne concernée ou au Responsable du traitement, ni leur consentement.

Reconnaissance des mesures d'atténuation : Crewd a mis en œuvre les garanties techniques et organisationnelles décrites aux articles 8.1 et 8.2 du présent ATD pour atténuer le risque d'accès gouvernemental non autorisé. Crewd a réalisé des Évaluations de l'impact du transfert qui tiennent compte du risque d'accès gouvernemental américain et a déterminé que, à la lumière des garanties mises en œuvre, la protection accordée aux renseignements personnels transférés aux Sous-traitants ultérieurs basés aux États-Unis est substantiellement équivalente à la protection qui serait accordée en vertu du droit canadien.

Obligation de notification d'accès gouvernemental : Dans toute la mesure permise par la loi applicable, Crewd informera promptement le Responsable du traitement dès réception de toute ordonnance gouvernementale légalement valide, assignation, mandat ou autre procédure judiciaire exigeant la divulgation de renseignements personnels traités dans le cadre du présent ATD. Lorsque Crewd est légalement interdite de fournir un tel avis (y compris en vertu d'une ordonnance de non-divulgation ou de bâillon), Crewd devra : (a) enregistrer l'existence de la procédure judiciaire dans ses dossiers de conformité internes ; (b) contester l'ordonnance de non-divulgation par tous les moyens légaux disponibles ; et (c) informer promptement le Responsable du traitement à l'expiration ou à la levée de l'obligation de non-divulgation.

Le Responsable du traitement reconnaît que, nonobstant ce qui précède, Crewd ne peut garantir que tout accès gouvernemental aux renseignements personnels traités aux États-Unis sera détecté, contesté avec succès ou notifié. Le Responsable du traitement a effectué sa propre évaluation de ce risque et, en acceptant les Conditions d'utilisation principales et le présent ATD, a déterminé que le niveau de protection offert par les garanties de Crewd est adéquat à ses fins et proportionnel aux activités de traitement impliquées.

9. Assistance aux droits des personnes concernées

Crewd mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour aider le Responsable du traitement à remplir ses obligations de répondre aux demandes des Personnes concernées exerçant leurs droits en vertu du droit applicable en matière de protection de la vie privée. Les droits des Personnes concernées applicables en vertu de la LPRPDE et de la Loi 25 du Québec comprennent, sans s'y limiter : (a) le droit d<strong1>accès</strong1> aux renseignements personnels ; (b) le droit à la <strong2>correction ou rectification</strong2> des renseignements personnels inexacts ou incomplets ; (c) le droit à leffacement ou suppression des renseignements personnels (sous réserve des obligations de conservation obligatoire) ; (d) le droit à la portabilité des données dans un format structuré, couramment utilisé et lisible par machine (JSON) tel que spécifiquement exigé par la Loi 25 du Québec ; (e) le droit de retirer le consentement pour les activités de traitement optionnelles ; (f) le droit de s'opposer à la prise de décision automatisée, y compris le droit de demander un examen humain des décisions prises exclusivement par des moyens automatisés ; et (g) le droit à la désindexation en vertu de la Loi 25 du Québec, y compris le droit de demander que Crewd cesse de diffuser des renseignements personnels lorsque la diffusion continue cause un préjudice.

L'assistance technique de Crewd au Responsable du traitement pour remplir les demandes d'exercice de droits des Personnes concernées comprend les capacités suivantes au niveau de la Plateforme : (a) la capacité des Responsables du traitement d'accéder à et d'exporter les renseignements personnels de leur organisation depuis le tableau de bord administratif de la Plateforme ; (b) la capacité des Responsables du traitement de corriger ou de mettre à jour les informations de profil des travailleurs via l'interface administrative de la Plateforme ; (c) la fonctionnalité de suppression de compte qui, sur demande du Responsable du traitement, lance le processus de suppression des données décrit à l'article 11.2 du présent ATD ; et (d) la fonctionnalité d'export de portabilité des données qui génère un export JSON structuré des renseignements personnels de la Personne concernée demanderesse.

Crewd répondra aux demandes documentées du Responsable du traitement d'aide aux demandes d'exercice de droits des Personnes concernées dans les trente (30) jours civils suivant la réception de la demande. Lorsque la demande est complexe ou qu'il y a plusieurs demandes, Crewd peut prolonger ce délai de trente (30) jours supplémentaires, avec avis écrit au Responsable du traitement dans le délai initial de trente jours expliquant la raison de la prolongation.

Lorsqu'une Personne concernée soumet une demande de droits directement à Crewd (plutôt qu'au Responsable du traitement), Crewd devra : (a) accuser promptement réception de la demande à la Personne concernée ; (b) rediriger la Personne concernée vers l'organisation Responsable du traitement appropriée en fournissant les coordonnées du Responsable du traitement ; et (c) informer le Responsable du traitement de la demande dans les cinq (5) jours ouvrables. Crewd ne répondra pas de manière substantielle aux demandes d'exercice de droits des Personnes concernées au nom du Responsable du traitement sans l'autorisation écrite du Responsable du traitement, car ces réponses relèvent de la responsabilité propre du Responsable du traitement.

Les deux parties reconnaissent que certains droits des Personnes concernées sont soumis à des limitations en vertu du droit applicable. Par exemple, le droit à l'effacement peut être limité lorsque la conservation est requise pour se conformer aux obligations légales (y compris les obligations de conservation des dossiers fiscaux et de construction décrites à l'article 11.2 du présent ATD), pour l'établissement, l'exercice ou la défense de réclamations juridiques, ou lorsque le traitement est nécessaire pour des raisons d'intérêt public. Crewd informera le Responsable du traitement de toute limitation applicable lors de l'assistance à une demande spécifique d'exercice de droits des Personnes concernées.

10. Droits d'audit

10.1 Droit d'audit du responsable du traitement

Le Responsable du traitement a le droit de réaliser des audits des activités de traitement des données de Crewd en vertu du présent ATD, y compris des inspections physiques ou virtuelles des installations, systèmes et dossiers pertinents, pour vérifier la conformité de Crewd aux obligations énoncées dans le présent ATD et au droit applicable en matière de protection des données. Ce droit d'audit est une composante fondamentale des obligations de responsabilité du Responsable du traitement en vertu de la LPRPDE et de la Loi 25 du Québec.

Les audits peuvent être réalisés par : (a) le propre personnel du Responsable du traitement ayant une expertise appropriée en matière de protection des données ; ou (b) un auditeur tiers indépendant nommé par le Responsable du traitement et acceptable pour Crewd (agissant raisonnablement), à condition que cet auditeur soit lié par des obligations de confidentialité écrites au moins aussi strictes que celles énoncées dans le présent ATD avant d'être autorisé à accéder aux systèmes ou informations de Crewd.

Crewd coopérera avec les audits en : (a) fournissant aux auditeurs du Responsable du traitement un accès raisonnable à la documentation, aux politiques, aux procédures, aux dossiers et aux certifications pertinents ; (b) mettant à disposition le personnel pertinent de Crewd pour des entrevues raisonnables ; (c) fournissant un accès aux systèmes techniques et à l'infrastructure pertinents dans la mesure techniquement faisable et compatible avec les obligations de sécurité de Crewd envers d'autres clients ; et (d) fournissant des réponses écrites aux questionnaires d'audit raisonnables dans un délai mutuellement convenu.

10.2 Fréquence et planification des audits

Dans des circonstances normales, le Responsable du traitement peut réaliser un (1) audit formel par année civile. Le Responsable du traitement devra fournir à Crewd un préavis écrit d'au moins trente (30) jours de son intention de réaliser un audit, en précisant la portée, le calendrier et la méthodologie d'audit proposée. Les parties coopéreront de bonne foi pour planifier l'audit à un moment mutuellement convenable et d'une manière qui minimise les perturbations des opérations de Crewd et des opérations d'autres clients de Crewd.

Le Responsable du traitement peut réaliser des audits supplémentaires (au-delà du seul audit annuel autorisé dans des circonstances normales) dans les circonstances suivantes : (a) à la suite d'une Atteinte aux renseignements personnels confirmée affectant les données du Responsable du traitement, où l'audit est raisonnablement limité en portée aux circonstances de l'Atteinte ; ou (b) lorsque le Responsable du traitement a une base raisonnable et documentée (non de la simple spéculation) pour soupçonner une non-conformité matérielle de Crewd aux obligations du présent ATD. Dans ces cas, Crewd répondra à la demande d'audit de bonne foi et proposera un calendrier qui équilibre les besoins d'audit légitimes du Responsable du traitement avec les exigences opérationnelles de Crewd.

Le Responsable du traitement reconnaît que Crewd peut, au lieu d'accorder l'accès à ses propres systèmes et dossiers, fournir au Responsable du traitement des copies des certifications, attestations et rapports d'audit pertinents provenant d'auditeurs de sécurité tiers indépendants (tels que les rapports SOC 2 Type II), lorsque ces rapports couvrent la portée de l'audit demandé. Le Responsable du traitement peut examiner ces rapports pour satisfaire à ses obligations d'audit, sous réserve des obligations de confidentialité applicables.

10.3 Coûts d'audit

Chaque partie assumera ses propres coûts liés à tout audit réalisé en vertu du présent article 10. Le Responsable du traitement est responsable des honoraires et dépenses de tout auditeur tiers qu'il engage. Crewd est responsable des coûts internes raisonnables liés à la coopération avec l'audit, y compris le temps du personnel consacré aux demandes liées à l'audit.

Nonobstant ce qui précède, si un audit réalisé conformément au présent article 10 révèle un manquement matériel de Crewd à ses obligations en vertu du présent ATD (défini comme un manquement ayant causé ou susceptible de causer un préjudice important aux Personnes concernées ou au Responsable du traitement), Crewd assumera : (a) les coûts raisonnables de l'audit dans la mesure attribuable à l'investigation du manquement matériel ; et (b) les coûts raisonnables des mesures de remédiation nécessaires pour traiter le manquement matériel, y compris tout changement technique ou organisationnel requis.

11. Durée et résiliation

11.1 Durée

Le présent ATD entrera en vigueur à la date à laquelle le Responsable du traitement accepte les Conditions d'utilisation principales et demeurera en vigueur pour la durée de l'accord de service actif entre le Responsable du traitement et Crewd. Si les Conditions d'utilisation principales sont renouvelées, prolongées ou remplacées, le présent ATD continuera automatiquement de s'appliquer à l'accord renouvelé, prolongé ou remplacé, sauf si les parties conviennent par écrit d'un ATD de remplacement. Les obligations du présent ATD qui, de par leur nature, devraient survivre à la résiliation (y compris les obligations relatives à la suppression des données, à la confidentialité, à la notification d'atteinte pour les atteintes antérieures à la résiliation et les droits d'audit pour la période antérieure à la résiliation) survivront à la résiliation ou à l'expiration du présent ATD.

11.2 Retour et suppression des données à la résiliation

À l'expiration ou à la résiliation des Conditions d'utilisation principales pour quelque raison que ce soit, et sur demande écrite du Responsable du traitement soumise à privacy@crewd.ai dans les soixante (60) jours civils suivant la date de résiliation, Crewd devra, au choix du Responsable du traitement : (a) retourner tous les renseignements personnels traités dans le cadre du présent ATD dans un format structuré, couramment utilisé et lisible par machine (JSON), livré au Responsable du traitement via un lien de téléchargement sécurisé ou un transfert chiffré ; ou (b) supprimer ou détruire définitivement et de manière sécurisée tous les renseignements personnels traités dans le cadre du présent ATD, y compris toutes les copies détenues par Crewd sur ses propres systèmes et, dans la mesure techniquement faisable, par ses Sous-traitants ultérieurs (sous réserve des propres obligations légales de conservation des Sous-traitants ultérieurs).

Si le Responsable du traitement ne soumet pas d'élection écrite dans les soixante (60) jours civils suivant la date de résiliation, Crewd procédera à la suppression sécurisée des renseignements personnels du Responsable du traitement.

La suppression ou le retour sera complété dans les quatre-vingt-dix (90) jours civils suivant l'élection du Responsable du traitement ou, si aucune élection n'est faite, dans les quatre-vingt-dix (90) jours civils suivant la fin de la période d'élection de soixante jours. Crewd déploiera des efforts commercialement raisonnables pour amener ses Sous-traitants ultérieurs à supprimer ou retourner les renseignements personnels dans le même délai, sous réserve des propres obligations contractuelles et légales des Sous-traitants ultérieurs.

Nonobstant les obligations de suppression ci-dessus, Crewd est autorisée à conserver des renseignements personnels dans la mesure et pour la durée requises par la loi applicable, y compris : (a) les dossiers financiers et fiscaux, qui doivent être conservés pendant l'exercice fiscal au cours duquel ils ont été créés plus sept (7) ans, conformément à la Loi de l'impôt sur le revenu (Canada) et à la Loi sur l'administration fiscale (Québec) ; (b) les dossiers de projets de construction, qui doivent être conservés pendant un minimum de sept (7) ans pour s'aligner sur les délais de prescription applicables pour les réclamations de vices de construction et les exigences d'audit réglementaire ; (c) les dossiers requis pour la défense de réclamations juridiques en cours ou raisonnablement anticipées, pour la durée du délai de prescription applicable à ces réclamations ; et (d) les dossiers requis pour se conformer à toute ordonnance réglementaire, enquête gouvernementale ou procédure judiciaire signifiée à Crewd. Les renseignements personnels conservés uniquement en vertu du présent paragraphe seront séparés des systèmes de traitement actifs, marqués comme archivés et consultés uniquement pour les fins permises spécifiques.

Crewd n'utilisera pas les renseignements personnels conservés en vertu des exceptions de conservation obligatoire du paragraphe (p4) ci-dessus à d'autres fins que la fin spécifique de conformité légale pour laquelle ils sont conservés. Ces renseignements conservés demeureront soumis aux obligations de sécurité du présent ATD.

11.3 Certification de destruction

À l'achèvement du processus de suppression ou de retour des données décrit à l'article 11.2, Crewd fournira au Responsable du traitement une certification écrite confirmant : (a) la date à laquelle la suppression ou le retour a été complété ; (b) la portée des renseignements personnels supprimés ou retournés (par catégorie de données et unité organisationnelle) ; (c) la méthode de suppression employée (p. ex., effacement cryptographique, écrasement sécurisé, destruction physique des supports) ; et (d) la confirmation que Crewd a demandé à ses Sous-traitants ultérieurs de supprimer les renseignements personnels et a reçu des confirmations de suppression des Sous-traitants ultérieurs dans la mesure disponible. La certification sera fournie dans les trente (30) jours civils suivant l'achèvement du processus de suppression ou de retour.

12. Responsabilité et indemnisation

12.1 Responsabilité du sous-traitant

Crewd sera responsable envers le Responsable du traitement pour tout dommage, perte ou préjudice matériel (y compris les amendes administratives, les sanctions réglementaires et les frais juridiques raisonnables) causé au Responsable du traitement comme résultat direct du manquement de Crewd à ses obligations en vertu du présent ATD ou du droit applicable en matière de protection des données, dans la mesure de la faute directe de Crewd. La responsabilité de Crewd en vertu du présent article 12 s'ajoute à, et ne se substitue pas à, toute responsabilité que Crewd peut avoir en vertu des Conditions d'utilisation principales.

Pour éviter tout doute, Crewd ne sera pas responsable des dommages découlant de : (a) le manquement du Responsable du traitement à ses propres obligations en vertu du présent ATD ou du droit applicable en matière de protection de la vie privée ; (b) le traitement effectué par le Responsable du traitement ou par tout tiers non engagé par Crewd ; (c) le traitement effectué par Crewd conformément à une instruction documentée du Responsable du traitement ultérieurement déterminée comme illicite, à condition que Crewd ait informé le Responsable du traitement de l'illicéité potentielle de l'instruction avant le traitement ; (d) les incidents de sécurité inévitables découlant de circonstances échappant au contrôle raisonnable de Crewd, y compris les exploits de type « zéro jour » pour lesquels aucun correctif n'était disponible au moment de l'incident, à condition que Crewd ait appliqué des pratiques de sécurité commercialement raisonnables ; ou (e) les dommages indirects, consécutifs, spéculatifs ou punitifs.

La répartition de la responsabilité entre les responsables conjoints du traitement (telle que décrite à l'article 2.3 du présent ATD) sera déterminée conformément au droit applicable. Lorsqu'une autorité de surveillance, un tribunal ou une juridiction détermine la responsabilité respective des parties dans un scénario de responsabilité conjointe du traitement, cette détermination sera contraignante pour les parties.

12.2 Plafond de responsabilité

La responsabilité totale agrégée de Crewd envers le Responsable du traitement au titre du présent ATD ou en lien avec celui-ci (qu'elle découle d'un contrat, d'un délit, d'une obligation légale ou autre) ne dépassera pas, sur toute période glissante de douze mois, un montant égal aux frais agrégés payés par le Responsable du traitement à Crewd au cours des douze (12) mois civils immédiatement précédant la date à laquelle la réclamation est survenue pour la première fois. Ce plafond de responsabilité est compatible avec, et soumis à, les dispositions générales de limitation de responsabilité énoncées dans les Conditions d'utilisation principales.

Le plafond de responsabilité du paragraphe (p1) ne s'appliquera pas à : (a) la responsabilité pour la fraude ou l'inconduite délibérée de Crewd ; (b) la responsabilité pour le décès ou les blessures corporelles causés par la négligence de Crewd ; ou (c) toute autre responsabilité ne pouvant être exclue ou limitée en vertu du droit applicable. Rien dans le présent ATD ne sera interprété comme une tentative d'exclure ou de limiter la responsabilité de Crewd dans des circonstances où une telle exclusion ou limitation est interdite par des dispositions obligatoires du droit applicable.

12.3 Indemnisation mutuelle

Sous réserve du plafond de responsabilité de l'article 12.2, Crewd indemnisera, défendra et dégagera de toute responsabilité le Responsable du traitement ainsi que ses administrateurs, dirigeants, employés et mandataires contre toute réclamation de tiers, amende réglementaire, sanction administrative et frais juridiques raisonnables découlant directement du manquement matériel de Crewd à ses obligations en vertu du présent ATD, à condition que : (a) le Responsable du traitement fournisse à Crewd un avis écrit rapide de toute telle réclamation ou procédure réglementaire ; (b) le Responsable du traitement accorde à Crewd le contrôle exclusif de la défense et du règlement de la réclamation (étant entendu que tout règlement imposant des obligations au Responsable du traitement nécessite le consentement écrit préalable du Responsable du traitement, à ne pas être refusé déraisonnablement) ; et (c) le Responsable du traitement fournit à Crewd une coopération et une assistance raisonnables dans la défense, y compris l'accès aux dossiers et au personnel pertinents.

Le Responsable du traitement indemnisera, défendra et dégagera de toute responsabilité Crewd ainsi que ses administrateurs, dirigeants, employés et mandataires contre toute réclamation de tiers, amende réglementaire, sanction administrative et frais juridiques raisonnables découlant directement de : (a) le manquement du Responsable du traitement à ses obligations en vertu du présent ATD ; (b) le défaut du Responsable du traitement d'obtenir ou de maintenir une base légale valide pour le traitement des renseignements personnels soumis à la Plateforme ; (c) le défaut du Responsable du traitement de fournir les avis de confidentialité requis aux Personnes concernées ; (d) toute activité de traitement effectuée par le Responsable du traitement au-delà de la portée des Conditions d'utilisation principales et du présent ATD ; ou (e) toute inexactitude, lacune ou illicéité dans les renseignements personnels soumis par le Responsable du traitement à la Plateforme.

Demandes relatives à l'ATD

Pour toute question concernant les activités de traitement des données, les notifications de modification de sous-traitants ultérieurs, les demandes d'audit, l'assistance aux droits des Personnes concernées ou toute autre question découlant du présent Accord de traitement des données, contactez notre équipe de protection de la vie privée.

Essayez crewd. gratuitement

Prêt à transformer votre embauche?

Joignez-vous à des centaines d'entrepreneurs qui utilisent déjà crewd. pour trouver les meilleurs talents, plus rapidement.