DPA - QuickBooks Online Data Processing Agreement - US and Canada (French)

Convention de traitement de données par QuickBooks en ligne

Entrée en vigueur : le 8 septembre 2024

La présente Convention de traitement de données par QuickBooks en ligne (la « Convention ») est intégrée dans l’Entente entre Intuit et l’entité cliente qui est partie à l’Entente (le « Client »), et elle est assujettie aux modalités et conditions de l’Entente.

Il est entendu que tous les renvois à l’« Entente » renvoient également à la présente Convention (y compris les CCT (le cas échéant), selon la définition qui en est donnée aux présentes).

1. Définitions

« Addenda du Royaume-Uni » désigne l’addenda relatif au transfert de données à l’échelle internationale (International Data Transfer Addendum (version B1.0)) publié par le Bureau du commissaire à l’information (Information Commissioner’s Office) en vertu de l’article 119(A) de la loi du R.-U. intitulée Data Protection Act 2018, dans sa version modifiée ou mise à jour de temps à autre.

« cadre de protection des données » désigne (selon le cas) les programmes d’auto-certification aux termes du cadre de protection des données UE-É.-U., du cadre de protection des données Suisse-É.-U. et de l’extension au R.-U. du cadre de protection des données UE-É.-U., qui sont exploités par le département du Commerce des États-Unis, ainsi que leurs successeurs respectifs. 

« CCT » désigne : i) les clauses contractuelles types entre les responsables du traitement et les sous-traitants adoptées par la Commission européenne dans sa Décision d’exécution (UE) 2021/91 du 4 juin 2021, qui sont actuellement incluses dans les présentes (les « clauses de 2021 pour le transfert entre un responsable du traitement et un sous-traitant d’Intuit »); ou ii) les clauses contractuelles types pour le transfert entre sous-traitants adoptées par la Commission européenne dans sa Décision d’exécution (UE) 2021/91 du 4 juin 2021, qui sont actuellement incluses dans les présentes (les « clauses de 2021 pour le transfert entre sous-traitants d’Intuit »), tel qu’elles s’appliquent conformément à l’article 6.3.

« données sur les relations d’affaires » désigne les données à caractère personnel d’un client, d’un fournisseur ou d’un client éventuel du Client qui interagit avec les Services ou dont les données à caractère personnel résident dans les Services.

« données sensibles » désigne : a) le numéro d’assurance sociale, le numéro de contribuable, le numéro de passeport, le numéro du permis de conduire ou d’autres identifiants comparables (ou une partie de ceux-ci); b) des renseignements de crédit, des renseignements génétiques, des renseignements biométriques ou des renseignements sur la santé; c) des renseignements sur la race, le groupe ethnique, l’affiliation politique ou religieuse, l’adhésion à un syndicat, la vie sexuelle ou l’orientation sexuelle ou le casier judiciaire; ou d) des mots de passe.

« Entente » désigne les conditions d’utilisation d’un produit ou d’un service d’Intuit, les conditions d’utilisation d’Intuit Enterprise Suite ou d’autres ententes écrites ou électroniques qui régissent la fourniture des Services au Client, tels que ces conditions ou ces ententes peuvent être modifiées de temps à autre.

« Groupe Intuit » désigne Intuit, Inc. ou toute autre entité qui contrôle directement ou indirectement Intuit, Inc., qui est contrôlée directement ou indirectement par Intuit, Inc. ou qui est sous contrôle commun avec Intuit, Inc.

« incident relatif à la sécurité des données » désigne tout accès non autorisé ou illicite à des données sur les relations d’affaires conservées sur des systèmes gérés ou autrement contrôlés par Intuit, qui donne lieu à la destruction, à la perte, à l’altération ou à la divulgation non autorisée de telles données, de manière accidentelle ou illicite.

« Intuit » désigne l’entité du Groupe Intuit qui a conclu une Entente avec le Client.

« lois des États-Unis sur la protection des données » désigne l’ensemble des lois américaines fédérales, étatiques et locales sur la protection des renseignements personnels (ainsi que l’ensemble de leurs règlements d’application et des modifications qui y sont apportées), des lois sur la surveillance des employés et des lois régissant l’interception de communications, qui s’appliquent au traitement de données à caractère personnel aux termes de l’Entente et/ou des Services, ce qui peut comprendre, notamment et selon les circonstances, la loi de la Californie intitulée California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 et ss.), dans sa version modifiée par la loi de la Californie intitulée Privacy Rights Acts of 2023, avec son règlement d’application (la « CCPA »).

« lois supplémentaires sur la protection des données » désigne les lois des États-Unis sur la protection des données, la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (la « LPRPDE »); et la loi de l’Australie intitulée Privacy Act 1988 (Cth), dans sa version modifiée (la « Loi de l’Australie sur la protection des renseignements personnels »). 

« lois sur la protection des données » désigne l’ensemble des lois et règlements sur la protection des données applicables au traitement de données à caractère personnel par une partie aux termes de l’Entente, y compris, s’il y a lieu, les lois sur la protection des données en Europe et au Royaume-Uni et les lois supplémentaires sur la protection des données.

« lois sur la protection des données en Europe et au Royaume-Uni » désigne l’ensemble des lois et règlements applicables dans l’Espace économique européen et dans ses états membres (l’« EEE »), en Suisse et au Royaume-Uni (« R.-U. ») (dans leurs versions modifiées ou remplacées de temps à autre), y compris : i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (le « RGPD »); ii) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques; iii) la mise en œuvre à l’échelle nationale de i) et de ii); iv) le RGPD, tel qu’il fait partie du droit du R.-U. en vertu de l’article 3 des lois du R.-U. intitulées European Union (Withdrawal) Act 2018 et Data Protection Act 2018 (ensemble, les « lois du Royaume-Uni sur la protection des données »); et v) la Loi fédérale sur la protection des données du 19 juin 1992 (Suisse) et ses ordonnances (la « LPD de la Suisse »).

« principes du cadre de protection des données » désigne les principes et les principes complémentaires contenus dans le cadre de protection des données visé, dans leurs versions modifiées ou remplacées.

« Services » désigne les services fournis aux termes de l’Entente applicable.

« sous-traitant ultérieur » désigne, entre autres, des tiers ou un membre du Groupe Intuit, à l’exclusion des employés, des sous-traitants ou des consultants d’Intuit.

Les termes « données à caractère personnel », « responsable du traitement », « personne concernée », « sous-traitant » et « traitement » ont le sens qui leur est attribué en vertu des lois sur la protection des données applicables ou, s’ils n’y sont pas définis, le sens qui leur est attribué par le RGPD; et, en ce qui concerne les données à caractère personnel, les termes « traitement », « traitements », « traités » et « traitées » ont un sens correspondant.

2. Rôles et responsabilités des parties

2.1 Rôles des parties. Afin de permettre à Intuit de fournir les Services au Client, le Client (qu’il agisse lui-même à titre de responsable du traitement ou de sous-traitant agissant pour le compte d’un tiers responsable du traitement) nomme Intuit comme sous-traitant des données sur les relations d’affaires. Il est toutefois entendu que les parties reconnaissent qu’Intuit sera considérée comme un responsable du traitement lorsqu’elle utilise des données sur les relations d’affaires pour certaines fins déterminées, comme il est précisé dans l’Entente (y compris, par exemple, dans le cadre de la mise au point ou de l’amélioration de produits par Intuit ou dans le cadre d’analyses de données et de mesures de prévention des fraudes et de protection de la sécurité). Lorsqu’Intuit agit comme responsable du traitement, les données sur les relations d’affaires seront gérées conformément à la Déclaration de confidentialité mondiale d’Intuit. Il est toutefois entendu que, sauf pour attester le rôle d’Intuit à titre de responsable du traitement de données sur les relations d’affaires pour certaines fins déterminées, tel qu’il est précisé dans l’Entente, la présente Convention ne s’applique pas lorsque Intuit agit comme responsable du traitement, à moins d’indications contraires dans l’Annexe B (Modalités propres à un territoire) de la présente Convention.

2.2 Limitation de la finalité. Intuit traitera les données sur les relations d’affaires, tel qu’il est précisé à l’Annexe A (Détails du traitement de données) de la présente Convention, que conformément à des instructions licites documentées du Client, tel qu’il est mentionné dans la présente Convention, selon ce qui est nécessaire pour se conformer aux lois applicables ou tel qu’elle y est autrement autorisée par notre Entente et par la présente Convention et/ou tel qu’il en est convenu par écrit (les « fins autorisées »). Les parties conviennent que l’Entente, y compris la présente Convention, ainsi que la configuration ou l’utilisation, par le Client, de paramètres, de fonctions ou d’options des Services (que le Client peut être en mesure de modifier temps à autre), constituent les instructions complètes et définitives du Client à Intuit en ce qui concerne le traitement de données sur les relations d’affaires (y compris aux fins des CCT), et tout traitement qui sort du cadre de ces instructions (le cas échéant) doit faire l’objet d’une entente préalable écrite entre les parties. Il est toutefois entendu que le Client reconnaît que, dans le cadre d’un « Master Admin File Transfer » (terme défini dans les conditions d’utilisation), les instructions concernant le traitement de données sur les relations d’affaires peuvent être fournies par un utilisateur supplémentaire lorsque les services fournis par Intuit se rapportent à l’entreprise ou aux autres affaires de cet utilisateur supplémentaire, à l’égard duquel le Client fournit également des services (par exemple, lorsque le Client agit en qualité de comptable ou de conseiller financier pour le compte de l’utilisateur supplémentaire).

2.3 Données interdites. Le Client ne fournira pas (ou ne fera pas fournir) des données sensibles à Intuit aux fins de traitement aux termes de l’Entente, et Intuit n’assumera aucune responsabilité à l’égard de données sensibles, que ce soit dans le cadre d’un incident relatif à la sécurité des données ou autrement.

2.4 Conformité du Client. Le Client déclare et garantit : i) qu’il s’est conformé et qu’il continuera de se conformer à toutes les lois applicables, y compris aux lois sur la protection des données, en ce qui a trait au traitement de données sur les relations d’affaires et à toutes instructions de traitement qu’il transmet à Intuit; et ii) qu’il a fourni et qu’il continuera de fournir, et qu’il a obtenu et continuera d’obtenir, tous les avis et tous les consentements requis en vertu des lois sur la protection des données et des modalités de l’Entente pour qu’Intuit puisse traiter les données sur les relations d’affaires aux fins décrites dans l’Entente. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des données sur les relations d’affaires et des moyens par lesquels le Client a acquis les données sur les relations d’affaires.

2.5 Légitimité des instructions du Client. Le Client s’assurera que le traitement par Intuit des données sur les relations d’affaires conformément aux instructions du Client ne fera pas en sorte qu’Intuit viole une loi, un règlement ou une règle applicable, y compris, notamment, les lois sur la protection des données. À moins que cela ne lui soit interdit en vertu des lois applicables, Intuit doit aviser rapidement le Client par écrit si elle croit ou prend connaissance du fait qu’une instruction de traitement de données transmises par le Client viole les lois sur la protection des données en Europe et au Royaume-Uni. Si le Client agit en qualité de sous-traitant pour le compte d’un tiers responsable du traitement (ou d’un autre intermédiaire du responsable du traitement final), le Client garantit que ses instructions de traitement, telles qu’elles figurent dans l’Entente ou dans la présente Convention, y compris l’autorisation que le Client donne à Intuit de nommer des sous-traitants ultérieurs conformément à la présente Convention, ont été autorisées par le responsable du traitement concerné. Le Client devra être le seul point de contact pour Intuit, et Intuit ne sera pas tenue d’interagir directement (y compris aux fins de transmettre des avis ou d’obtenir des autorisations) avec un tiers responsable du traitement, autrement que par la prestation régulière des Services, dans la mesure requise aux termes de l’Entente. Il incombe au Client de transmettre au responsable du traitement concerné tous les avis reçus aux termes de la présente Convention, s’il y a lieu.

3. Sous-traitants ultérieurs

3.1 Autorisation des sous-traitants ultérieurs. Par les présentes, le Client autorise Intuit ou tout membre du Groupe Intuit agissant pour le compte d’Intuit ou au profit d’Intuit à engager des sous-traitants ultérieurs conformément à l’article 3.2, pour aider Intuit à s’acquitter de ses obligations relativement à la fourniture des Services conformément à l’Entente ou à la présente Convention. 

3.2 Obligations des sous-traitants ultérieurs. Intuit : i) conclura avec chaque sous-traitant ultérieur une entente écrite énonçant des obligations en matière de protection des données qui assurent aux données sur les relations d’affaires un niveau de protection au moins égal à celui que prévoit la présente Convention, dans la mesure où c’est possible compte tenu de la nature des services fournis par un tel sous-traitant ultérieur; et ii) restera responsable de la conformité d’un tel sous-traitant ultérieur avec les obligations prévues aux termes de la présente Convention et pour tout acte ou toute omission de ce sous-traitant ultérieur qui fait en sorte qu’Intuit manque à l’une ou l’autre de ses obligations aux termes de la présente Convention. Le Client reconnaît et convient que, s’il y a lieu, Intuit remplit ses obligations aux termes de la clause 9 des clauses de 2021 pour le transfert entre un responsable du traitement et un sous-traitant et des clauses de 2021 pour le transfert entre sous-traitants (selon le cas) en se conformant au présent article 3 et qu’en raison d’obligations de confidentialité, il peut être interdit à Intuit de divulguer au Client des ententes avec des sous-traitants ultérieurs. Toutefois, si la demande lui en est faite, Intuit devra déployer des efforts raisonnables pour transmettre au Client toutes les informations pertinentes qu’elle peut raisonnablement lui divulguer à l’égard d’ententes avec des sous-traitants ultérieurs.

4. Sécurité

4.1 Mesures de sécurité 

Au minimum, Intuit doit mettre en œuvre des mesures techniques et organisationnelles pour protéger les données sur les relations d’affaires contre un incident relatif à la sécurité des données. Ces mesures doivent tenir compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Ces mesures comprendront, au besoin :

a) des mesures de pseudonymisation ou de chiffrement des données à caractère personnel;

b) des mesures visant à assurer la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des mesures permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) un processus visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles permettant d’assurer la sécurité du traitement.

Pour de plus amples informations au sujet des mesures techniques et organisationnelles visant à protéger les données sur les relations d’affaires d’un incident relatif à la sécurité des données, veuillez visiter Intuit Security Center.

4.2 Confidentialité du traitement. Intuit s’assurera que toutes les personnes qu’elle autorise à traiter des données sur les relations d’affaires (y compris les membres de son personnel, ses mandataires et ses sous-traitants) soient assujetties à une obligation de confidentialité appropriée (que ce soit aux termes d’un contrat ou en vertu de la loi). 

4.3 Mises à jour des mesures de sécurité. Il incombe au Client d’examiner les informations auxquelles Intuit lui donne accès en ce qui concerne la sécurité des données et de prendre de façon indépendante une décision quant à savoir si les Services répondent aux besoins du Client et satisfont à ses obligations juridiques en vertu des lois sur la protection des données. Le Client reconnaît que les mesures de sécurité peuvent être modifiées en fonction des avancées techniques et qu’Intuit peut les modifier et les mettre à jour de temps à autre, étant entendu que de telles modifications et de telles mises à jour ne doivent pas donner lieu à une dégradation de la sécurité d’ensemble des Services fournis au Client.

4.4 Gestion des incidents relatifs à la sécurité des données

Si Intuit se rend compte de la survenance d’un incident relatif à la sécurité des données qui touche des données sur les relations d’affaires, Intuit doit : a) en informer le Client sans retard injustifié; b) prendre des mesures appropriées pour trouver la cause de l’incident relatif à la sécurité des données, pour réduire au minimum les préjudices qu’il occasionne et pour préserver la sécurité des données sur les relations d’affaires, dans la mesure où Intuit, agissant raisonnablement, peut mettre en œuvre des mesures correctives; et c) fournir au Client des renseignements, sous réserve de nos politiques en matière de protection des renseignements personnels et de sécurité des données, sur les exigences en matière de confidentialité et les exigences prévues par la loi, selon ce qui est raisonnablement requis pour aider le Client à s’acquitter de ses obligations de notification et de déclaration. Intuit n’examinera pas les données sur les relations d’affaires en vue d’identifier les obligations légales du Client, notamment en matière de déclaration, et il incombe au Client de s’assurer du respect de toutes les obligations réglementaires et/ou de toutes les obligations de communication d’informations à la personne concernée en ce qui concerne l’incident relatif à la sécurité des données.

Le fait qu’Intuit s’acquitte de ses obligations de notification d’un incident relatif à la sécurité des données en vertu de la présente Convention ou qu’elle prenne des mesures en conséquence d’un tel incident ne doit pas être interprété comme une admission par Intuit de sa responsabilité ou de sa faute à l’égard d’un tel incident relatif à la sécurité des données.

Les avis par Intuit au sujet d’un incident relatif à la sécurité des données seront transmis à l’adresse postale ou à l’adresse de courriel qui figure dans l’Entente. Il incombe au Client de s’assurer que les coordonnées aux fins de notification (p. ex. son numéro de téléphone et son adresse de courriel) sont valides et exactes.

4.5 Responsabilités du Client. Malgré ce qui précède, le Client convient que, sauf tel que le prévoit la présente Convention, il est responsable de son utilisation sécuritaire des Services, y compris de protéger la confidentialité des renseignements d’authentification relatifs à ses comptes, de protéger la sécurité des données sur les relations d’affaires lors de leur transfert aux Services ou par les Services, et de prendre des mesures appropriées pour chiffrer ou sauvegarder de façon sécuritaire toutes les données sur les relations d’affaires transférées aux Services.

5. Rapports et vérifications de sécurité

Intuit devra donner accès aux informations raisonnablement nécessaires pour attester de sa conformité aux obligations énoncées dans la présente Convention. En particulier, Intuit devra permettre au Client d’examiner les rapports de vérification de la sécurité (security audit reports) et de transmettre à Intuit, par écrit, de questions, concernant le traitement et la protection des données sur les relations d’affaires par Intuit.

6. Transferts internationaux

6.1 Emplacement des centres de données. Sous réserve de l’article 6.2, le Client reconnaît qu’Intuit peut transférer et traiter des données sur les relations d’affaires aux États-Unis et dans toute autre région du monde où Intuit, des entités du Groupe Intuit ou des sous-traitants ultérieurs d’Intuit exercent des activités de traitement des données. Intuit doit s’assurer en tout temps que ces transferts sont effectués conformément aux lois sur la protection des données et à la présente Convention.

6.2 Données en provenance d’Australie. Dans la mesure où Intuit reçoit des données sur les relations d’affaires protégées par la Loi de l’Australie sur la protection des renseignements personnels, les parties reconnaissent et conviennent qu’Intuit peut transférer ces données sur les relations d’affaires à l’extérieur de l’Australie dans la mesure convenue par les parties et sous réserve de la conformité d’Intuit à la présente Convention et à la Loi de l’Australie sur la protection des renseignements personnels.

6.3 Transferts de données provenant de l’EEE, de la Suisse et du R.-U. Dans la mesure où Intuit reçoit des données sur les relations d’affaires protégées par les lois sur la protection des données en Europe et au Royaume-Uni dans un pays qui n’est pas considéré comme un pays assurant un degré de protection adéquat aux données à caractère personnel (selon la description qui en est donnée dans les lois sur la protection des données applicables en Europe et au Royaume-Uni), les parties conviennent de respecter les dispositions énoncées ci-après et de traiter ces données sur les relations d’affaires conformément aux dispositions énoncées ci-après : 

  1. Cadre de protection des données. Intuit utilisera le cadre de protection des données pour recevoir légalement des données sur les relations d’affaires aux États-Unis et pour s’assurer de fournir à ces données sur les relations d’affaires un niveau de protection au moins égal à celui qu’exigent les principes du cadre de protection des données et, si elle n’est pas en mesure de respecter ces exigences, elle en informera le Client.
  2. Transferts de données provenant de l’EEE. Si le RGPD exige que des mesures de protection appropriées soient mises en place (par exemple, si le cadre de protection des données ne couvre pas le transfert de données à Intuit et/ou si le cadre de protection des données est invalidé), les CCT seront intégrées dans la présente Convention et en feront partie intégrante.
  3. Transferts de données provenant du R.-U. Si les lois du Royaume-Uni sur la protection des données exigent que des mesures de protection appropriées soient mises en place (par exemple, si le cadre de protection des données ne couvre pas le transfert à Intuit et/ou si le cadre de protection des données est invalidé), les CCT s’appliqueront et seront réputées avoir été modifiées comme le prévoit l’Addenda du Royaume-Uni. L’Addenda du Royaume-Uni sera réputé avoir été signé par les parties et il sera réputé être intégré dans la présente Convention et en faire partie intégrante. De plus, les tableaux 1 à 3 qui figurent dans la partie 1 de l’Addenda du Royaume-Uni seront réputés avoir été remplis avec l’information présentée dans les Annexes I et II des CCT pertinentes, et le tableau 4 qui figure dans la partie 1 de l’Addenda du Royaume-Uni sera réputé avoir été rempli en choisissant « neither party » (aucune des parties). 
  4. Transferts de données provenant de Suisse. Si la LPD de la Suisse exige que des mesures de protection appropriées soient mises en place (par exemple, si le cadre de protection des données ne couvre pas le transfert à Intuit et/ou si le cadre de protection des données est invalidé), les CCT s’appliqueront compte tenu des modifications suivantes : i) les renvois au « Règlement (UE) 2016/679 » seront interprétés comme des renvois à la LPD de la Suisse; ii) les renvois à des articles du « Règlement (UE) 2016/679 » seront remplacés par des renvois aux articles ou aux paragraphes correspondants de la LPD de la Suisse; iii) les renvois à l’Union européenne, à l’Union et aux « lois d’un état membre » seront remplacés par des renvois à la Suisse; iv) la clause 13a) et la partie C de l’Annexe II seront supprimées; v) les renvois à l’« autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacés par des renvois au « Préposé fédéral à la protection des données et à la transparence de la Suisse » et « aux tribunaux compétents de la Suisse »; vi) la clause 17 sera remplacée par l’énoncé suivant : « Les clauses sont régies par les lois de la Suisse »; et vii) la clause 18 sera remplacée par l’énoncé suivant : « Tout différend découlant de ces clauses sera résolu par les tribunaux compétents de la Suisse. Les parties acceptent de se soumettre à la compétence de ces tribunaux. ».

6.4 Conformité avec les CCT. Les parties conviennent que si Intuit n’est pas en mesure de se conformer aux CCT, s’il y a lieu, elle doit en informer sans délai le Client. Si le Client prévoit suspendre le transfert de données provenant d’Europe et/ou mettre fin aux parties touchées des Services, il doit d’abord en aviser Intuit et accorder à cette dernière un délai raisonnable pour remédier à cette non-conformité. Durant ce délai, Intuit et le Client devront coopérer raisonnablement en vue de s’entendre sur des mesures de sécurité supplémentaires, s’il en est, pouvant être raisonnablement requises. Si Intuit n’a pas remédié ou ne peut pas remédier à cette non-conformité dans un délai raisonnable, le Client ne pourra que suspendre le transfert de données et/ou mettre fin aux parties touchées des Services au motif de non-conformité avec les CCT.

6.5 Autres mécanismes de transfert. Si, aux fins du transfert de données provenant d’Europe, Intuit adopte un mécanisme légal de transfert des données qui n’est pas décrit dans la présente Convention (un « autre mécanisme de transfert »), cet autre mécanisme de transfert s’appliquera à la place des mécanismes de transfert décrits dans la présente Convention (mais uniquement dans le mesure où cet autre mécanisme de transfert est conforme aux lois sur la protection des données en Europe et au Royaume-Uni et s’applique aux pays dans lesquelles ces données sont transférées). De plus, si un tribunal compétent ou une autorité de contrôle compétente décide (pour quelque raison que ce soit) qu’il n’est pas possible de se fier sur les mesures décrites dans la présente Convention pour transférer légalement des données provenant d’Europe (au sens des lois sur la protection des données en Europe et au Royaume-Uni applicables), Intuit peut mettre en œuvre les mesures de protection supplémentaires qui peuvent être raisonnablement requises pour effectuer le transfert légal de données provenant d’Europe.

7. Retour ou suppression de données

7.1 Retour ou suppression en cas de résiliation. En cas de résiliation ou d’expiration de l’Entente, Intuit devra prendre des mesures raisonnables pour fournir au Client (au choix du Client) des outils permettant au Client de supprimer ou de se faire retourner toutes les données sur les relations d’affaires (y compris des copies de celles-ci) qu’Intuit a en sa possession ou sous son contrôle. Toutefois, cette exigence ne s’appliquera pas si Intuit est tenue, en vertu des lois applicables ou des règles de l’industrie, de conserver la totalité ou une partie des données sur les relations d’affaires, ni aux données sur les relations d’affaires qu’Intuit a archivées sur des systèmes de sauvegarde. Intuit doit isoler ces données sur les relations d’affaires de façon sécuritaire, les protéger de tout autre traitement et, éventuellement, les supprimer conformément aux politiques de suppression de données d’Intuit, sauf dans la mesure requise par les lois applicables. Le Client reconnaît et convient que, dans la mesure applicable, le mécanisme d’exportation de données à caractère personnel ou d’autres informations dépendra de l’Entente applicable et de la nature des informations exportées. Les parties conviennent qu’Intuit ne doit fournir au Client l’attestation de suppression de données sur les relations d’affaires décrite à la clause 8.5 et à l’article 16d) des clauses de 2021 pour le transfert entre un responsable du traitement et un sous-traitant et des clauses de 2021 pour le transfert entre sous-traitants (selon le cas), que si le Client en fait la demande par écrit. Les parties reconnaissent et conviennent également qu’Intuit n’est pas tenue de supprimer ou de retourner des données sur les relations d’affaires qu’elle continue de traiter pour les fins déterminées décrites dans la présente Convention et dans l’Entente pertinente (et conformément aux critères internes de conservation des données d’Intuit).

8. Droits des personnes concernées et coopération

8.1 Demandes des personnes concernées. Compte tenu de la nature du traitement, Intuit doit fournir une aide raisonnable au Client, dans la mesure du possible, pour permettre au Client (ou à son tiers responsable du traitement) de se conformer à ses obligations en matière de protection des données relativement aux droits des personnes concernées en vertu des lois sur la protection des données. Si une telle demande est transmise directement à Intuit, Intuit n’y répondra pas directement, sauf s’il est approprié de le faire (par exemple, pour demander à la personne concernée de communiquer avec le Client) ou si elle est légalement tenue de le faire, sans l’autorisation préalable du Client. Si Intuit est tenue de donner suite à une telle demande et si le Client est identifié ou si la demande permet de l’identifier, Intuit doit en informer le Client sans délai et lui transmettre une copie de la demande, à moins que la loi ne lui interdise de le faire. Il est toutefois entendu que rien dans l’Entente (incluant la présente Convention) n’empêche Intuit de donner suite à une demande d’une personne concernée ou d’une autorité de protection des données relativement à des données à caractère personnel à l’égard desquelles Intuit agit à titre de responsable du traitement.

8.2 Analyse d’impact relative à la protection des données. Dans la mesure où elle y est tenue en vertu des lois sur la protection des données applicables et compte tenu de la nature du traitement et de l’information à laquelle elle a accès, Intuit doit fournir toutes les informations raisonnablement demandées au sujet des Services afin de permettre au Client de procéder à des analyses d’impact relatives à la protection des données ou à des consultations préalables avec des autorités de protection des données conformément aux lois sur la protection des données. Intuit s’acquittera de cette obligation : i) en se conformant à l’article 5 (Rapports et vérifications de sécurité); ii) en fournissant des informations contenues dans l’Entente, incluant la présente Convention; et iii) si les dispositions décrites en i) et en ii) ne sont pas suffisantes pour que le Client puisse respecter ces obligations, en fournissant, sur demande, une aide supplémentaire raisonnable (aux frais du Client).

8.3 Conformité sur demande. Chacune des parties reconnaît que l’autre partie peut divulguer les CCT, la présente Convention et les dispositions en matière de protection des renseignements personnels contenues dans l’Entente à tout organisme de réglementation européen ou américain ou à tout tiers responsable du traitement qui en fait la demande.

9. Modalités propres à un territoire

Dans la mesure où Intuit traite des données sur les relations d’affaires qui proviennent de l’un des territoires dont une liste est présentée à l’Annexe B et dans la mesure où ces données sur les relations d’affaires sont protégées par des lois sur la protection des données, alors les modalités énoncées dans l’Annexe B à l’égard du ou des territoires visés (les « modalités propres à un territoire ») s’appliquent en plus des modalités de la présente Convention. En cas d’incompatibilité ou de non-concordance entre les modalités propres à un territoire et toutes autres modalités de la présente Convention, les modalités propres à un territoire prévaudront, mais uniquement dans la mesure où les modalités propres à un territoire s’appliquent à Intuit.

10. Limitation de la responsabilité

10.1 Globalement, la responsabilité de chacune des parties et de l’ensemble des membres de son groupe qui découle de la présente Convention (incluant les CCT) ou qui s’y rapporte, est assujettie aux exclusions et aux limitations de la responsabilité énoncées dans l’Entente.

10.2 Les réclamations présentées contre Intuit ou les membres de son groupe en vertu de la présente Convention ou en lien avec la présente Convention (y compris, s’il y a lieu, les CCT) ne peuvent être présentées que par l’entité du Client qui est partie à l’Entente.

10.3 Une partie ne peut en aucun cas limiter sa responsabilité relativement aux droits de protection des données d’un particulier, que ce soit aux termes de la présente Convention ou autrement.

11. Lien avec l’Entente

11.1 La présente Convention restera en vigueur aussi longtemps qu’Intuit exercera des activités de traitement de données sur les relations d’affaires pour le compte du Client ou jusqu’à ce que l’Entente soit résiliée (et que l’ensemble des données sur les relations d’affaires aient été retournées ou supprimées conformément à l’article 7 des présentes).

11.2 Les parties conviennent que la présente Convention remplace toute entente existante de traitement de données ou toute entente comparable que les parties ont pu conclure précédemment relativement aux Services.

11.3 En cas d’incompatibilité ou de non-concordance entre les dispositions de la présente Convention et celles de l’Entente, les dispositions des documents suivants prévaudront (par ordre de priorité) : i) les CCT; ii) la présente Convention; et iii) l’Entente. 

11.4 À l’exception des modifications apportées par la présente Convention, l’Entente demeure inchangée et pleinement en vigueur.

11.5 Les modalités de la présente Convention ne peuvent être mises à exécution que par une partie à la présente Convention ou par ses successeurs et ses ayants droit autorisés.

11.6 À moins de dispositions contraires dans les lois sur la protection des données applicables, la présente Convention est régie par les dispositions de l’Entente concernant les lois applicables et les tribunaux compétents, et elle doit être interprétée conformément à ces lois.


Annexe A – Détails du traitement de données

a. Catégories de personnes concernées :

Les catégories de personnes concernées dont les données à caractère personnel sont traitées comprennent les clients, les fournisseurs et les clients éventuels des Clients d’Intuit.

b. Catégories de données à caractère personnel :

Le Client peut transférer, soumettre ou fournir autrement certaines données à caractère personnel aux Services, dans des limites habituellement déterminées et contrôlées par le Client, à son entière discrétion.

Traitement des données sensibles (s’il y a lieu) : 

Intuit ne souhaite pas recueillir ou traiter des données sensibles dans le cadre de la fourniture des Services, et elle ne le fait pas intentionnellement.

c. Fréquence du traitement :

Traitement continu selon la fréquence déterminée par le Client et les Services applicables.

d. Objet et nature du traitement :

Des précisions sur les Services fournis par Intuit, y compris les Services aux entreprises, sont fournies dans l’Entente. Le traitement de données prévu aux termes de la présente Convention vise des données sur les relations d’affaires. Les données sur les relations d’affaires seront traitées conformément à l’Entente (y compris la présente Convention) et peuvent faire l’objet des traitements suivants : 

Stockage et autre traitement requis pour fournir, maintenir en vigueur et améliorer les Services fournis au Client aux termes de l’Entente; et/ou

Communication d’informations conformément à l’Entente et/ou aux exigences des lois applicables.

e. Objet du traitement :

Intuit ne traitera les données sur les relations d’affaires que conformément à l’article 2.2 (Limitation de la finalité) de la présente Convention.

f. Durée du traitement et de la période durant laquelle les données à caractère personnel seront conservées :

Intuit traitera les données sur les relations d’affaires conformément à l’article (Retour ou suppression de données) de la présente Convention. 



Annexe B - Modalités propres à un territoire

Europe et R.-U. :

  1. Demandes d’accès à des données présentées par un gouvernement. En règle générale, Intuit n’accordera pas volontairement à des agences ou à des autorités gouvernementales (y compris à des organismes d’application de la loi) l’accès à des comptes d’Intuit ou à des renseignements concernant des comptes d’Intuit (y compris des données sur les relations d’affaires). Si Intuit reçoit une requête (que ce soit par voie d’une assignation, d’une ordonnance d’un tribunal, d’un mandat de perquisition ou d’un autre processus judiciaire valable) d’une agence ou d’une autorité gouvernementale (y compris un organisme d’application de la loi) afin d’avoir accès à un compte d’Intuit appartenant à un Client dont les principales coordonnées indiquent qu’il est situé en Europe, ou à des renseignements concernant un tel compte (y compris des données sur les relations d’affaires), Intuit doit : i) étudier la légalité de la requête; ii) informer l’agence gouvernementale qu’Intuit est un sous-traitant des données; iii) tenter de faire en sorte que l’agence présente sa requête directement au Client; iv) informer le Client de la requête, au moyen d’un courriel transmis à la principale adresse de courriel du Client, afin de permettre au Client de tenter d’obtenir une ordonnance conservatoire ou d’exercer un autre recours approprié; et v) fournir le moins d’informations possible dans sa réponse à l’agence ou à l’autorité sur la base d’une interprétation raisonnable de la requête. À cette fin, Intuit pourra notamment fournir à l’agence les principales coordonnées du Client et ses coordonnées de facturation. Intuit ne sera pas tenue de se conformer au présent paragraphe s’il lui est légalement interdit de le faire ou si elle a des motifs raisonnables de croire qu’un accès urgent est nécessaire pour éviter un risque imminent de préjudice grave pour une personne physique, pour le public, pour des biens d’Intuit, pour le site d’Intuit ou pour les Services. Si la loi interdit à Intuit d’informer le Client de telles requêtes, elle devra faire de son mieux pour faire lever cette interdiction.

États-Unis :

Les modalités suivantes s’appliquent lorsqu’Intuit traite des données à caractère personnel assujetties aux lois des États-Unis sur la protection des données : 

  1. Dans la mesure où Intuit agit en qualité de sous-traitant ou de responsable du traitement lorsqu’elle traite des données sur les relations d’affaires comme il est indiqué plus haut à l’article 2, Intuit doit assumer le même rôle, s’il y a lieu, en vertu de l’ensemble des lois des États-Unis sur la protection des données autres que la CCPA.
  2. En ce qui concerne les données à caractère personnel assujetties à la CCPA, les parties reconnaissent et conviennent que : i) Intuit peut agir en qualité de « fournisseur de services » (au sens de Service Provider dans la CCPA) dans les cas où Intuit agit en qualité de responsable du traitement en vertu d’autres lois sur la protection des données applicables; et ii) Intuit a le droit de traiter des données sur les relations d’affaires pour toutes les fins autorisées pour des fournisseurs de services en vertu de la CCPA. Intuit devra se conformer à toutes les exigences énoncées dans la CCPA et à l’article 7051 de son règlement d’application et/ou à tout règlement d’application qui le remplace, et ces dispositions sont intégrées aux présentes par renvoi.
  3. Les obligations d’Intuit à l’égard de demandes de personnes concernées, selon la description qui en est donnée à l’article 8 (Droits des personnes concernées et coopération) de la présente Convention, s’étendent aux demandes de droits en vertu des lois des États-Unis sur la protection des données. Intuit doit assurer aux données sur les relations d’affaires un niveau de protection égal à celui qu’exige la CCPA et elle doit : i) aider le Client à donner suite à toute requête d’un consommateur (au sens donné au terme consumer dans les lois des États-Unis sur la protection des données) d’exercer des droits en vertu des lois des États-Unis sur la protection des données; et ii) le cas échéant, informer sans délai le Client de son incapacité de satisfaire aux exigences des lois des États-Unis sur la protection des données. Si Intuit est un fournisseur de services en vertu de la CCPA, mais qu’elle est autrement un responsable du traitement des données en vertu des lois sur la protection des données, et qu’un consommateur présente directement à Intuit une demande d’exercice de ses droits en vertu de la CCPA, le Client demande par les présentes à Intuit de communiquer directement avec le consommateur au sujet d’une telle requête. Il incombe au Client de s’assurer qu’il s’est conformé et qu’il continue de se conformer aux exigences des lois des États-Unis sur la protection des données en ce qui concerne son utilisation des Services et son propre traitement de données à caractère personnel.
  4. Les parties reconnaissent que les données sur les relations d’affaires que le Client communique à Intuit ne sont fournies que pour les fins limitées et déterminées décrites comme des fins autorisées. Les parties conviennent du fait que toutes les données sur les relations d’affaires que le Client communique à Intuit sont transmises pour les fins autorisées et que l’utilisation de ces données sur les relations d’affaires par Intuit ou leur communication à Intuit par le Client est nécessaire pour réaliser ces fins autorisées. 
  5. Malgré toute restriction d’utilisation énoncée ailleurs dans la présente Convention, Intuit traitera les données sur les relations d’affaires pour fournir les Services, pour les fins autorisées et/ou conformément aux instructions licites documentées du Client, ou tel qu’elle y est autrement tenue ou autorisée par les lois applicables.
  6. Malgré toute restriction d’utilisation énoncée ailleurs dans la présente Annexe B, Intuit peut dépersonnaliser ou regrouper des données sur les relations d’affaires dans le cadre de la prestation des Services décrits dans la présente Convention et dans l’Entente.
  7. Lorsque des données sur les relations d’affaires sont traitées par des sous-traitants ultérieurs, Intuit prend des mesures pour s’assurer que ces sous-traitants ultérieurs sont des fournisseurs de services en vertu de la CCPA et qu’Intuit a conclu avec eux des contrats écrits qui comprennent des modalités qui, pour l’essentiel, sont comparables à celles de la présente section de l’Annexe B ou qui sont autrement non assujetties à la CCPA. Intuit procède à des vérifications diligentes appropriées à l’égard de ses sous-traitants ultérieurs.
  8. Sans limiter la portée des droits d’utilisation des données énoncés aux présentes, en sa qualité de fournisseur de services, Intuit s’abstiendra :
  9. de vendre ou de transmettre des données sur les relations d’affaires;
  10. de conserver, d’utiliser ou de communiquer des données sur les relations d’affaires i) pour des fins autres que les fins autorisées, y compris pour des fins commerciales; ou ii) en dehors du cadre de la relation d’affaires directe entre les parties, sauf dans la mesure requise pour réaliser les fins autorisées ou tel que le permettent autrement les lois des États-Unis sur la protection des données; ou
  11. de combiner des données sur les relations d’affaires transmises par le Client ou pour le compte du Client avec des données à caractère personnel transmises par un tiers ou pour le compte d’un tiers ou recueillies dans le cadre des interactions d’Intuit avec des particuliers ou des personnes concernées, sauf aux fins de réaliser une fin autorisée conformément à la CCPA (y compris ses règlements d’application), à l’Entente ou à la présente Convention. 
  12. Le Client peut prendre les mesures raisonnables et appropriées requises pour : a) s’assurer que les données sur les relations d’affaires recueillies sont utilisées sans enfreindre les obligations de l’entreprise en vertu de la CCPA; b) mettre fin à toute utilisation non autorisée des données sur les relations d’affaires et pour y remédier; et c) s’assurer que toutes les données à caractère personnel pertinentes sont utilisées conformément à la CCPA.
  13. Intuit reconnaît et confirme qu’elle ne reçoit pas de données sur les relations d’affaires en contrepartie de services fournis au Client.

Canada :

  1. Intuit prend des mesures pour s’assurer que ses sous-traitants ultérieurs, selon la description qui en est donnée à l’article 3 (Sous-traitants ultérieurs) de la présente Convention, sont des tiers aux termes de la LPRPDE et qu’Intuit a conclu avec eux des contrats écrits contenant des modalités qui, pour l’essentiel, sont comparables à celles de la présente Convention. Intuit procède à des vérifications diligentes appropriées à l’égard de ses sous-traitants ultérieurs.
  2. Intuit mettra en œuvre des mesures techniques et organisationnelles, tel qu’il est mentionné à l’article 4 (Sécurité) de la présente Convention.
  3. Intuit peut transférer des données sur les relations d’affaires hors du territoire où elles ont été créées i) conformément aux lois sur la protection des données applicables, et ii) à condition qu’Intuit prenne toutes les mesures requises pour s’assurer que ces données sur les relations d’affaires continuent d’être traitées conformément aux lois sur la protection des données applicables après un tel transfert. Le Client doit procéder à toutes les évaluations requises pour faciliter un tel transfert.