Convention de traitement de données par QuickBooks en ligne

Date d’entrée en vigueur : 13 janvier 2025

La présente convention de traitement des données (la « CTD ») de QuickBooks en ligne est intégrée à la convention entre Intuit et l’entité cliente partie à la convention (le « client ») et est soumise à ses conditions.

Afin d’éviter toute ambiguïté, toutes les références à la « convention » doivent inclure la présente CTD (y compris les CCT, le cas échéant, telles qu’elles sont définies dans la présente convention).

1. Définitions

Le terme « convention » désigne les conditions d’utilisation, les conditions de produit, les conditions d’utilisation de la suite Intuit Enterprise ou toute autre convention écrite ou électronique qui régit la fourniture du service au client. Ces conditions peuvent être mises à jour à l’occasion.

Le terme « données de connexion d’entreprise » désigne toutes les données personnelles d’un client, d’un fournisseur, d’un employé ou d’un client potentiel d’un client qui interagit avec le service ou dont les données personnelles sont stockées dans le service ou sont traitées par celui-ci.

Le terme « lois sur la protection des données » désigne l’ensemble des lois et des réglementations relatives à la protection des données qui concernent le traitement de données personnelles par une partie en vertu de la convention, y compris, le cas échéant, les lois européennes et britanniques sur la protection des données et les lois supplémentaires sur la protection des données, les lois sur la mise sur écoute, les lois sur la localisation des véhicules et des appareils ou d’autres lois relatives à la surveillance des communications, les lois sur la surveillance électronique des employés, les lois sur la photographie des employés et les lois régissant la prise de décision automatisée ou le profilage.

Le terme « lois européennes et britanniques sur la protection des données » désigne l’ensemble des lois et des règlements relatifss à la protection des données applicables dans l’Espace économique européen (« EEE ») et ses États membres, en Suisse et au Royaume-Uni (« R.-U. ») (tels que modifiés ou remplacés à l’occasion), et comprennent i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données (Règlement général sur la protection des données ou « RGPD »); ii) la directive 2002/58/CE concernant le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques; iii) les mises en œuvre nationales applicables des points i) et ii); iv) le RGPD tel qu’il fait partie du droit britannique en vertu de l’article 3 de la UK European Union (Withdrawal) Act 2018 et de la UK Data Protection Act 2018 (collectivement, les « lois du Royaume-Uni sur la protection des données »); v) la loi fédérale sur la protection des données (« LPD ») suisse du 19 juin 1992 et son ordonnance.

Le terme « CPD » désigne (le cas échéant) les programmes d’autocertification du cadre de protection des données UE-États-Unis, le cadre de protection des données Suisse-États-Unis et l’extension du Royaume-Uni du cadre de protection des données UE-États-Unis, tous exploités par le U.S. Department of Commerce, et leurs successeurs respectifs. 

Le terme « principes du cadre de protection des données » désigne les principes et principes supplémentaires contenus dans le cadre de protection des données concerné, tel que modifié, annulé ou remplacé.

Le terme« Intuit » désigne l’entité du Groupe Intuit concernée qui a conclu une convention avec le client.

Le terme « Groupe Intuit » désigne Intuit, Inc. ou toute autre entité qui contrôle directement ou indirectement Intuit, Inc., qui est contrôlée par Intuit, Inc., ou est sous contrôle commun avec Intuit, Inc.

Le terme « lois supplémentaires sur la protection des données » désigne les lois des États-Unis sur la protection des données; la Loi sur la protection des renseignements personnels et les documents électroniques du Canada(« LPRPDE »); et la Privacy Act de 1988 (Cth) de l’Australie et ses modifications (« loi australienne en matière de confidentialité »).     

Le terme « service » désigne les services fournis en vertu de la convention applicable.

« CCT » désigne i) les clauses contractuelles types entre les responsables du traitement et les sous-traitants adoptées par la Commission européenne dans sa décision d’exécution (UE) 2021/91 du 4 juin 2021, se trouvant présentement ici (les « clauses de responsable du traitement à sous-traitant 2021 d’Intuit »); ou ii) les clauses contractuelles types entre les sous-traitants adoptées par la Commission européenne dans sa décision d’exécution (UE) 2021/91 du 4 juin 2021, se trouvant présentement ici (les « clauses de sous-traitant à sous-traitant 2021 d’Intuit); le cas échéant, conformément à l’article 6.3.

Le terme « incident de sécurité » désigne toute violation non autorisée ou illégale de la sécurité qui entraîne la destruction, la perte ou la modification accidentelle ou illégale des données de connexion d’entreprise, leur divulgation non autorisée ou leur accès accidentel ou illégal sur les systèmes gérés ou autrement contrôlés par Intuit.

Le terme « données sensibles » désigne a) un numéro de sécurité sociale, un numéro de dossier fiscal, un numéro de passeport, un numéro de permis de conduire ou tout identifiant similaire (ou toute partie de celui-ci); b) les renseignements génétiques, biométriques, de santé ou de crédit; c) la race, l’ethnicité, l’appartenance politique ou religieuse, l’appartenance à un syndicat, les informations sur l’orientation ou les activités sexuelles, ou les renseignements relatifs à un casier judiciaire; d) les mots de passe de comptes.

Le terme « sous-traitants ultérieurs » peut inclure des tiers ou un membre du Groupe Intuit, mais exclut les employés, les sous-traitants et les consultants d’Intuit.

Le terme « Addenda du Royaume-Uni » désigne l’Addenda relatif au transfert international de données (version B1.0) publié par l’Information Commissioner’s Office en vertu de l’article 119(A) de la UK Data Protection Act 2018 (loi britannique sur la protection des données de 2018), telle que mise à jour ou modifié à l’occasion.

Le terme « lois des États-Unis sur la protection des données » désigne les lois fédérales, étatiques et locales des États-Unis relatives à la protection de la confidentialité (ainsi que les règlements d’application et les modifications qui y sont apportées), les lois sur la surveillance des employés et les lois régissant l’interception des communications et qui s’appliquent au traitement des données personnelles en vertu de la convention ou du service, qui peuvent inclure, selon les circonstances et sans s’y limiter, la California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 et suivants), telle qu’elle est modifiée par la California Privacy Rights Act de 2023 et ses règlements d’application (« CCPA »).

Les termes « données personnelles », « responsable du traitement », « personne concernée », « sous-traitant » et « traitement » ont le sens qui leur est donné dans le cadre des lois applicables sur la protection des données ou, s’ils ne sont pas définis dans celles-ci, dans le cadre du RGPD, et « traiter », « traite » et « traité » seront interprétés en conséquence en ce qui concerne les données personnelles.

2. Rôles et responsabilités des parties

2.1 Rôles des parties. Aux fins de la fourniture par Intuit des services au client, le client (qu’il s’agisse d’un responsable du traitement ou d’un sous-traitant pour le compte d’un responsable du traitement tiers) désigne Intuit comme sous-traitant pour traiter les données de connexion d’entreprise. Les parties reconnaissent toutefois qu’Intuit doit agir en tant que responsable du traitement lorsqu’elle utilise les données de connexion d’entreprise à certaines fins limitées, telles qu’elles sont décrites plus en détail dans la convention (y compris, par exemple, dans le cadre du développement et de l’amélioration des produits d’Intuit, de l’analyse des données, de la prévention de la fraude et de la mise en œuvre de mesures de sécurité) afin d’améliorer les produits et services d’Intuit et de les commercialiser. Lorsque vous agissez en tant que responsable du traitement, les données de connexion d’entreprise seront traitées conformément à la déclaration de confidentialité mondiale d’Intuit.  Afin d’éviter toute ambiguïté, sauf aux fins de la reconnaissance du rôle de responsable du traitement d’Intuit en ce qui concerne les données de connexion d’entreprise à certaines fins limitées, comme spécifié dans la convention, la présente CTD ne s’appliquera pas si Intuit agit en tant que responsable du traitement, sauf indication contraire à l’annexe B (conditions propres à chaque territoire) des présentes.

2.2 Limitation des fins. Intuit traitera les données de connexion d’entreprise, tel qu’il est décrit plus en détail à l’annexe A (Détails relatifs au traitement des données) de la présente CTD, uniquement conformément aux instructions légales documentées du client énoncées aux présentes, dans la mesure où un tel traitement est nécessaire pour se conformer à la loi en vigueur, ou que notre convention, la présente CTD ou un accord écrit le permettent (les « fins autorisées »). Les parties conviennent que la convention, qui comprend la présente CTD, ainsi que la configuration ou l’utilisation par le client de tout paramètre ou de toute fonction ou option du service (que le client peut être en mesure de modifier à l’occasion), constitue les instructions complètes et finales du client transmises à Intuit concernant le traitement des données de connexion d’entreprise (y compris aux fins des CCT) et que le traitement en dehors de la portée de ces instructions (le cas échéant) nécessite un accord écrit préalable entre les parties.  Le client reconnaît toutefois que, dans le cadre d’un transfert de fichiers d’administrateur principal, tel qu’il est défini dans les conditions d’utilisation, les instructions relatives au traitement des données de connexion d’entreprise peuvent être fournies par un utilisateur supplémentaire dans l’éventualité où les services fournis par Intuit concernent les activités commerciales ou autres de cet utilisateur supplémentaire, pour lesquelles le client fournit également des services (par exemple, lorsque le client est un comptable ou un conseiller financier pour le compte d’un utilisateur supplémentaire).

2.3 Données interdites. Sauf dans les cas expressément prévus par les services ou à la demande d’Intuit, le client ne pourra ni fournir ni demander que soient fournies de données sensibles à Intuit aux fins de traitement en vertu de la convention, et Intuit ne pourra pas être tenue responsable de ces données sensibles non autorisées, que ce soit en lien avec un incident de sécurité ou autrement. 

2.4 Données biométriques. Certaines parties du service peuvent utiliser des informations biométriques personnelles (« données biométriques »), telles que la technologie de reconnaissance faciale, sur les photographies recueillies au moyen du service. Les données biométriques peuvent être assujetties à d’autres lois et règlements. Par conséquent, dans le cadre de la collecte, de la conservation et de l’utilisation des données biométriques, les parties conviennent de ce qui suit : Le client est le responsable du traitement des données biométriques recueillies au moyen du service et Intuit agit uniquement en tant que sous-traitant à leur égard. Le client s’engage à fournir un avis suffisant et à obtenir tous les consentements et les droits nécessaires pour qu’Intuit traite les données biométriques en son nom. Le client reconnaît et accepte qu’il existe diverses lois qui régissent spécifiquement la collecte, l’utilisation et la conservation des données biométriques, et comprend qu’il est de sa responsabilité de se conformer à toutes les lois applicables. De temps à autre, Intuit peut fournir une aide raisonnable au client à l’égard de certaines obligations, le cas échéant. En ce qui concerne l’aide relative au consentement et à la divulgation, le client accepte qu’une telle aide ne constitue pas un avis juridique et qu’elle n’est fournie qu’à titre informatif, et qu’il est ultimement de sa responsabilité de garantir la conformité avec toutes les lois applicables. Le client adoptera un calendrier de conservation et de destruction applicable aux données biométriques et le mettra à la disposition des utilisateurs du service. Le client utilisera les données biométriques au moyen du service à des fins de vérification d’identité et d’authentification uniquement. Toute autre utilisation constitue une violation de la présente convention. Leclient informera Intuit de son intention de supprimer, de modifier ou de retirer du service des données biométriques d’un utilisateur, que ce soit parce que l’objectif de la collecte a été atteint ou pour toute autre raison. 

2.5 Conformité du client. Le client déclare et garantit i) qu’il s’est conformé et qu’il continuera de se conformer à toutes les lois applicables, y compris les lois sur la protection des données, en ce qui concerne le traitement des données de connexion d’entreprise et toutes les instructions de traitement qu’il transmet à Intuit; et ii) qu’il a fourni et continuera de fournir tous les avis et a obtenu et continuera d’obtenir tous les consentements et tous les droits nécessaires en vertu des lois sur la protection des données et des conditions de la convention permettant à Intuit de traiter les données de connexion d’entreprise pour les fins décrites dans la convention. Le client est seul responsable de l’exactitude, de la qualité et de la légalité des données de connexion d’entreprise et des moyens par lesquels il a acquis les données de connexion d’entreprise. 

2.6 Légalité des instructions du client. Le client s’assurera que le traitement par Intuit des données de connexion d’entreprise selon ses instructions n’amènera pas Intuit à enfreindre les lois, des règlements ou des règles applicables, y compris, sans s’y limiter, les lois sur la protection des données. Sauf si la loi en vigueur l’interdit, Intuit avisera par écrit le client dans les plus brefs délais si elle est informée ou estime qu’une instruction concernant le traitement des données du client enfreint les lois européennes ou britanniques sur la protection des données. Lorsque le client agit en tant que sous-traitant pour le compte d’un responsable du traitement tiers (ou de tout autre intermédiaire auprès du responsable du traitement final), il garantit que ses instructions de traitement, telles qu’elles sont énoncées dans la convention et la présente CTD, y compris les autorisations qu’il a données à Intuit pour la nomination d’un sous-traitant ultérieur conformément aux présentes, ont été autorisées par le responsable du traitement concerné. Le client sera le seul point de contact pour Intuit, et Intuit n’a besoin d’interagir directement avec aucun responsable du traitement (y compris pour transmettre des avis ou pour demander des autorisations) autrement que par la fourniture régulière du service dans la mesure requise en vertu de la convention. Le client est responsable de la transmission de tout avis reçu en vertu de la présente CTD au responsable du traitement concerné, le cas échéant.

3. Sous-traitance ultérieure

3.1 Autorisation des sous-traitants ultérieurs. Le client autorise Intuit, ou tout membre du Groupe Intuit agissant au nom ou pour le bénéfice d’Intuit, à faire appel à des sous-traitants ultérieurs, conformément à l’article 3.2, pour aider Intuit à remplir ses obligations relatives à la fourniture du service conformément à la convention ou à la présente CTD.  

3.2 Obligations des sous-traitants ultérieurs. Intuit doit : i) conclure un accord écrit avec chaque sous-traitant ultérieur indiquant des obligations en matière de protection des données qui assurent au moins le même niveau de protection des données de connexion d’entreprise que celles énoncées dans la présente CTD, dans la mesure applicable à la nature du service fourni par ce sous-traitant ultérieur; et ii) demeurer responsable du respect par le sous-traitant ultérieur de ses obligations en vertu de la présente CTD et de tout geste ou de toute omission de sa part qui amènerait Intuit à manquer à l’une de ses obligations en vertu des présentes. Le client reconnaît et accepte que, le cas échéant, Intuit remplit ses obligations en vertu de la clause 9 des clauses de responsable du traitement à sous-traitant 2021 et des clauses de sous-traitant à sous-traitant 2021 (le cas échéant) en se conformant au présent article 3 et qu’Intuit peut être empêchée de divulguer les conventions de sous-traitants ultérieurs au client pour des raison de confidentialité, mais Intuit doit, sur demande, faire tous les efforts raisonnables pour fournir au client toutes les informations pertinentes raisonnablement disponibles relatives aux contrats de sous-traitants ultérieurs. Pour les services fournis dans le cadre de QB Time, Intuit doit maintenir et fournir des copies à jour de la liste de ses sous-traitants ultérieurs qui se trouve dans le compte QB Time du client sous « Mon profil » et la mettre à jour. 

4. Sécurité

4.1 Mesures de sécurité. 

Intuit doit au minimum mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données de connexion d’entreprise contre un incident de sécurité. Ces mesures doivent tenir compte des technologies de pointe, des coûts de mise en œuvre et de la nature, de l’étendue, du contexte et des fins du traitement, ainsi que du risque, plus ou moins probable et grave, d’une atteinte aux droits et libertés des personnes physiques. Ces mesures doivent comprendre ce qui suit, le cas échéant :

a) La pseudonymisation ou le chiffrement des données personnelles

b) La capacité d’assurer en permanence la confidentialité, l’intégrité, l’accessibilité et la résilience des systèmes et services de traitement

c) La possibilité de restaurer les données personnelles en temps opportun en cas d’incident physique ou technique et leur accès

d) Un processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement

Pour plus d’informations sur nos mesures techniques et organisationnelles visant à protéger les données de connexion d’entreprise contre un incident de sécurité, consultez le centre de sécurité Intuit.

4.2 Confidentialité du traitement. Intuit veillera à ce que toute personne qu’elle autorise à traiter les données de connexion d’entreprise (y compris son personnel, ses mandataires et ses sous-traitants) soit soumise à une obligation de confidentialité appropriée (qu’elle soit contractuelle ou législative).

4.3 Mise à jour des mesures de sécurité. Il est de la responsabilité du client d’examiner les informations rendues accessibles par Intuit concernant la sécurité des données et de déterminer de façon indépendante si le service répond aux exigences du client et à ses obligations en vertu des lois sur la protection des données. Le client reconnaît que les mesures de sécurité sont tributaires des progrès et avancements techniques et qu’Intuit peut les mettre à jour ou les modifier à l’occasion, à condition que ces mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale du service fourni au client.

4.4 Réponse aux incidents de sécurité. 

Si Intuit est informée d’un incident de sécurité réel concernant des données de connexion d’entreprise, Intuit : a) avisera le client de l’incident de sécurité dans les plus brefs délais; b) prendra les mesures appropriées pour cerner la cause de l’incident de sécurité, minimiser les dommages et sécuriser les données de connexion d’entreprise, dans la mesure où Intuit peut raisonnablement y remédier; et fournira au client les informations, sous réserve de nos politiques de confidentialité et de sécurité des données, et des exigences en matière juridique et de confidentialité, qui peuvent être raisonnablement nécessaires pour aider le client à s’acquitter de ses responsabilités d’avis et de signalement. Intuit n’évaluera pas le contenu des données de connexion d’entreprise pour relever une obligation de signalement ou de nature juridique qui s’applique au client.  Toutes les obligations réglementaires et de signalement des personnes concernées liées à l’incident de sécurité relèvent de la responsabilité du client.

Le signalement d’un incident de sécurité par Intuit ou la réponse en vertu des présentes ne sera pas interprété comme une reconnaissance par Intuit de toute responsabilité ou faute à l’égard de l’incident de sécurité.  

La notification de tout incident de sécurité par Intuit seront faite à l’adresse courriel ou postale indiquée dans la convention. Le client est seul responsable de s’assurer que les coordonnées de notification (par exemple, le numéro de téléphone et l’adresse courriel) sont valides et exactes.

4.5 Responsabilités du client. Nonobstant ce qui précède, le client accepte qu’il est responsable son utilisation sécuritaire du service (sauf dans les cas prévus par la présente CTD), notamment de la sécurisation de ses identifiants de compte, de la protection de la sécurité des données de connexion d’entreprise lors de leur transfert vers le service et à partir de celui-ci, et toutes les mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les données de connexion d’entreprise téléversées dans le service.

5. Rapports et audits de sécurité

Intuit rendra accessibles les informations raisonnablement nécessaires pour démontrer le respect des obligations énoncées dans la présente CTD. En particulier, Intuit permet au client d’examiner les rapports d’audit de sécurité et l’autorise à lui soumettre par écrit des questions concernant le traitement et la protection des données de connexion d’entreprise par Intuit. 

6. Transferts internationaux

6.1 Emplacements des centres de données. Sous réserve de l’article 6.2, le client reconnaît qu’Intuit peut transférer les données de connexion d’entreprise vers les États-Unis et à l’intérieur du pays, et partout ailleurs dans le monde où Intuit, les entités du Groupe Intuit ou ses sous-traitants ultérieurs mènent des opérations de traitement des données et les y traiter. Intuit doit s’assurer à tout moment que ces transferts sont effectués conformément aux exigences des lois sur la protection des données et de la présente CTD.

6.2 Données australiennes. Dans la mesure où Intuit est le destinataire de données de connexion d’entreprise protégées par la loi australienne en matière de confidentialité, les parties reconnaissent et conviennent qu’Intuit peut transférer ces données de connexion d’entreprise hors de l’Australie, conformément aux conditions convenues entre les parties et sous réserve du respect de cette CTD et de la loi australienne en matière de confidentialité par Intuit.

6.3 Transferts de données de l’EEE, de la Suisse et du Royaume-Uni. Dans la mesure où Intuit est destinataire de données de connexion d’entreprise protégées par les lois européennes et britanniques sur la protection des données dans un pays qui n’est pas reconnu comme offrant une protection adéquate des données personnelles (tel qu’elle est décrite dans les lois européennes et britanniques sur la protection des données applicables), les parties conviennent de respecter et de traiter ces données de connexion d’entreprise conformément à ce qui suit :

1. Cadre de protection des données.  Intuit utilisera le cadre de protection des données pour recevoir légalement des données de connexion d’entreprise aux États-Unis et s’assurera qu’il offre au moins le même niveau de protection de ces données que les principes du cadre de protection des données. Il informera également le client s’il n’est pas en mesure de se conformer à cette exigence.
2. Transferts de données de l’EEE. Si le RGPD exige la mise en place de mesures de protection appropriées (par exemple, si le cadre de protection des données ne couvre pas le transfert vers Intuit ou si ce cadre est invalidé), les CCT doivent être intégrées à la présente CTD et en faire partie intégrante.
3. Transferts de données du Royaume-Uni.  Si la loi britannique sur la protection des données exige que des mesures de protection appropriées soient mises en place (par exemple, si le cadre de protection des données ne couvre pas le transfert vers Intuit ou si ce cadre est invalidé), les CCT s’appliqueront et seront réputées avoir été modifiées tel qu’il est précisé par l’addendum du Royaume-Uni. L’addenda du Royaume-Uni sera réputé avoir été signé par les parties, intégré à la présente CTD et en faire partie intégrante. En outre, les tableaux 1 à 3 de la partie 1 de l’addenda du Royaume-Uni sont réputés être remplis avec les informations figurant aux annexes I et II des CCT concernés; tandis que le tableau 4 est réputé rempli si vous sélectionnez « aucune des parties ».
4. Transferts de données de la Suisse. Si la LPD suisse exige la mise en place de mesures de protection appropriées (par exemple, si le cadre de protection des données ne couvre pas le transfert à Intuit ou s’il est invalidé), les CCT s’appliqueront avec les modifications suivantes : i) les références au « Règlement (UE) 2016/679 » doivent être interprétées comme des références à la LPD suisse; ii) les références à des articles précis du « Règlement (UE) 2016/679 » sont remplacées par une section ou un article équivalent de la LPD suisse; iii) les références à l’« UE », l’« l’Union » et au « droit de l’État membre » sont remplacées par la « Suisse »; iv) la clause 13a) et la partie C de l’annexe Il sont supprimées; v) les références à l’« autorité de contrôle compétente » et aux « tribunaux compétents » sont remplacées par le « Préposé fédéral à la protection des données et à la transparence » et par les « tribunaux suisses compétents »; vi) la clause 17 sera remplacée par « Les clauses sont régies par le droit suisse »; vii) la clause 18 sera remplacée par la déclaration suivante : « Tout litige découlant des présentes clauses sera tranché par les tribunaux suisses compétents. » Les parties conviennent de se soumettre à la compétence de ces tribunaux.

6.4 Respect des CCT. Les parties conviennent que si Intuit ne peut garantir le respect des CCT, le cas échéant, elle informera sans délai le client de son incapacité à les respecter. Si le client a l’intention de suspendre le transfert des données européennes ou de mettre fin aux éléments concernés du service, il doit d’abord en informer Intuit et lui accorder un délai raisonnable pour remédier à la non-conformité, pendant lequel Intuit et le client coopéreront raisonnablement pour convenir des mesures de sécurité ou des mesures supplémentaires, le cas échéant, qui pourraient être raisonnablement requises. Le client n’a le droit de suspendre le transfert de données ou de mettre fin aux parties concernées du service pour non-respect des CCT que si Intuit n’y a pas remédié ou ne peut pas y remédier dans un délai raisonnable. Par souci de clarté, aucune donnée des services de paie ne sera transférée hors des États-Unis.

6.5 Autre mécanisme de transfert. Dans la mesure où Intuit adopte un autre mécanisme de transfert légal pour le transfert de données européennes non décrit dans la présente CTD (« autre mécanisme de transfert »), celui-ci s’appliquera à la place des mécanismes de transfert décrits dans la présente CTD (mais seulement si ce mécanisme de transfert est conforme aux lois européennes et britanniques applicables sur la protection des données et s’applique aux pays vers lesquels les données européennes sont transférées). En outre, si et dans la mesure où un tribunal compétent ou une autorité de contrôle décide (pour quelque raison que ce soit) que les mesures décrites dans la présente CTD ne peuvent être invoquées lors du transfert légal des données européennes (au sens des lois de protection des données européennes et britanniques applicables), Intuit peut mettre en œuvre toutes les mesures de sécurité ou supplémentaires qui peuvent être raisonnablement requises pour permettre le transfert légal des données européennes.

7. Retour ou suppression des données

7.1 Suppression ou retour en cas de résiliation. À la résiliation ou à l’expiration de la convention, Intuit prendra des mesures raisonnables pour fournir au client les outils nécessaires (au choix de celui-ci) pour supprimer ou retourner en la possession du client ou sous son contrôle toutes les données de connexion d’entreprise (y compris les copies), sauf dans la mesure où Intuit est tenue par la loi en vigueur ou par les règles de l’industrie de conserver l’ensemble ou une partie des données de connexion d’entreprise, ou les données de connexion d’entreprise qu’elle a archivées sur des systèmes de sauvegarde, lesquelles Intuit doit isoler de manière sécurisée, protéger de tout traitement et, éventuellement, supprimer conformément à ses politiques de suppression, sauf dans la mesure prévue par la loi en vigueur. Le client accepte et reconnaît que, dans la mesure du possible, le mécanisme d’exportation précis des données personnelles ou d’autres informations dépendra de la convention applicable et de la nature des informations exportées. Les parties conviennent que l’attestation de suppression des données de connexion d’entreprise décrite aux clauses 8.5 et 16d) des clauses de responsable du traitement à sous-traitant 2021 et des clauses de sous-traitant à sous-traitant 2021 (le cas échéant) doit être fournie par Intuit au client uniquement sur demande écrite de celui-ci. En outre, les parties reconnaissent et conviennent qu’Intuit ne sera pas tenue de supprimer ni de retourner les données de connexion d’entreprise qu’elle continue de traiter aux fins limitées de responsable du traitement décrites dans la présente CTD et dans la convention concernée (et conformément aux critères de conservation internes d’Intuit). 

8. Droits des personnes concernées et coopération

8.1 Demandes des personnes concernées. Intuit doit, compte tenu de la nature du traitement, fournir au client une assistance raisonnable dans la mesure du possible pour lui permettre (ou à son responsable du traitement tiers) de se conformer à ses obligations en matière de protection des données en ce qui concerne les droits des personnes concernées en vertu des lois sur la protection des données. Si une telle demande est adressée directement à Intuit, Intuit n’y répondra pas directement sans l’autorisation préalable du client, sauf dans les cas appropriés (par exemple, pour demander à la personne concernée de communiquer avec le client) ou si la loi l’exige. Si Intuit doit répondre à une telle demande, Intuit doit, lorsque le client est identifié ou identifiable à partir de la demande, en informer rapidement le client et lui fournir une copie de la demande, sauf si la loi lui interdit de le faire. Afin d’éviter toute ambiguïté, rien dans la convention (y compris la présente CTD) ne doit restreindre ou empêcher Intuit de répondre aux demandes des personnes concernées ou des autorités chargées de la protection des données concernant les données personnelles dont elle est responsable du traitement.

8.2 Analyse d’impact sur la protection des données. Dans la mesure requise par les lois sur la protection des données applicables, Intuit doit (compte tenu de la nature du traitement et des informations à sa disposition) fournir toutes les informations raisonnablement demandées concernant le service pour permettre au client d’effectuer une analyse d’impact sur la protection des données ou des consultations préalables avec les responsables de la protection des données, conformément aux lois sur la protection des données. Intuit s’engage à se conformer à ce qui précède : i) en respectant l’article 5 (Rapports et audits de sécurité); ii) en fournissant les informations contenues dans la convention, y compris la présente CTD; iii) si les sous-sections i) et ii) ci-dessus ne permettent pas au client de se conformer à ces obligations, en fournissant sur demande une aide supplémentaire raisonnable (aux frais du client).

8.3 Conformité sur demande. Chaque partie reconnaît que l’autre partie peut divulguer les CCT, la présente CTD et toutes les dispositions de la convention relatives à la confidentialité à tout organisme de réglementation européen ou américain ou tout responsable du traitement tiers sur demande.

9. Conditions propres aux territoires

Dans la mesure où Intuit traite les données de connexion d’entreprise provenant de l’un des territoires répertoriés à l’annexe B ou protégées par ses lois sur la protection des données, les conditions précisées à l’annexe B en ce qui concerne le ou les territoires applicables (les « conditions propres aux territoires ») s’appliquent en plus des conditions de la présente CTD. En cas de conflit ou d’ambiguïté entre les conditions propres aux territoires et toute autre condition de la présente CTD, les conditions propres aux territoires applicables prévaudront, mais uniquement dans la mesure où elles s’appliquent à Intuit.

10. Limitation de responsabilité

10.1 La responsabilité globale de chaque partie et de toutes ses sociétés affiliées découlant de la présente CTD (y compris les CCT) ou y étant liée sera assujettie aux exclusions et limitations de responsabilité énoncées dans la convention.

10.2 Toute réclamation contre Intuit ou ses sociétés affiliées en vertu ou en relation avec la présente CTD (y compris, le cas échéant, les CCT) doit être déposée uniquement par l’entité du client qui est partie à la convention.

10.3 Une partie ne peut en aucun cas limiter sa responsabilité à l’égard des droits à la protection des données d’un individu en vertu de la présente CTD ou autrement.

11. Relation avec la convention

11.1 La présente CTD restera en vigueur aussi longtemps qu’Intuit effectuera des opérations de traitement des données de connexion d’entreprise pour le compte du client ou jusqu’à la résiliation de la convention (et jusqu’à ce que toutes les données de connexion d’entreprise auront été retournées ou supprimées conformément à l’article 7 ci-dessus).

11.2 Les parties conviennent que la présente CTD remplacera toute convention relative au traitement des données ou tout document similaire que les parties auraient pu conclure antérieurement dans le cadre du service.

11.3 En cas de conflit ou d’incohérence entre la présente CTD et la convention, les dispositions des documents suivants (par ordre de priorité) prévaudront : i) CCT; ii) la présente CTD; iii) la convention.

11.4 À l’exception des modifications apportées par la présente CTD, la convention reste inchangée et pleinement en vigueur.

11.5 Seuls les parties à la présente CTD, leurs successeurs et les personnes assignées ont le droit de faire appliquer ses conditions.

11.6 La présente CTD sera régie par la loi applicable et les dispositions relatives au territoire de la convention et interprétée conformément à celles-ci, sauf disposition contraire des lois sur la protection des données applicables.

Annexe A – Détails du traitement des données

a. Catégories de personnes concernées :

Les catégories de personnes concernées dont les données personnelles sont traitées comprennent les clients, les employés, le personnel, les fournisseurs et les clients potentiels d’Intuit. 

b. Catégories de données personnelles :

Le client peut téléverser, soumettre ou fournir de toute autre manière certaines données personnelles au service, dont il détermine et contrôle généralement la portée à sa seule discrétion. 

Données sensibles traitées (le cas échéant) :

Intuit n’a pas l’intention et ne souhaite pas recueillir ni traiter des données sensibles dans le cadre de la fourniture du service.

c. Fréquence de traitement :

En continue et telle qu’elle est déterminée par le client et les services applicables.

d. Objet et nature du traitement :

La fourniture de services par Intuit, incluant les services d’entreprise, tels qu’ils sont décrits plus précisément dans la convention. Les données de connexion d’entreprise sont l’objet du traitement des données en vertu de la présente CTD. Les données de connexion d’entreprise seront traitées conformément à la convention (incluant la présente CTD) et peuvent faire l’objet des activités de traitement suivantes :

Stockage et autre traitement nécessaires pour fournir, maintenir et améliorer le service fourni au client, conformément à la convention;

Divulgations conformes à la présente convention ou imposées par la loi en vigueur.

e. Fin du traitement :

Intuit traitera les données de connexion d’entreprise uniquement comme il est décrit à l’article 2.2. (Limitation de la fin) de la présente CTD.  

f. Durée du traitement et période de conservation des données personnelles :

Intuit traitera les données de connexion d’entreprise comme il est indiqué à l’article 7 (Retour ou suppression des données) de la présente CTD.

Annexe B – Conditions propres aux territoires

Europe et Royaume-Uni :

1. Demandes d’accès aux données par le gouvernement. En règle générale, Intuit ne fournit pas volontairement aux organismes ou autorités gouvernementaux (y compris les forces de l’ordre) l’accès aux comptes Intuit ni aux informations les concernant (y compris les données de connexion d’entreprise). Si Intuit reçoit une demande obligatoire (que ce soit au moyen d’une assignation à comparaître, d’une ordonnance d’un tribunal, d’un mandat de perquisition ou de toute autre procédure judiciaire valide) de la part d’un organisme ou d’une autorité gouvernemental (y compris des forces de l’ordre) visant à obtenir l’accès à un compte Intuit ou à des informations le concernant (y compris les données de connexion d’entreprise) appartenant à un client dont les coordonnées principales indiquent qu’il est situé en Europe, Intuit doit : i) vérifier la légalité de la demande; ii) informer l’organisme gouvernemental qu’Intuit est un sous-traitant des données; iii) tenter de rediriger l’organisme pour demander les données directement au client; iv) informer le client de la demande au moyen d’un courriel envoyé à l’adresse courriel principale du client pour lui permettre de solliciter une ordonnance conservatoire ou tout autre recours approprié; v) fournir le minimum d’informations permises en réponse à l’organisme ou à l’autorité selon une interprétation raisonnable de la demande. Dans le cadre de cet effort, Intuit peut fournir les coordonnées principales et les coordonnées de facturation du client à l’organisme concerné. Intuit ne sera pas tenue de se conformer au présent paragraphe si la loi lui interdit de le faire ou si elle a des motifs raisonnables de croire de bonne foi qu’un accès urgent est nécessaire pour prévenir un risque imminent de préjudice grave à quiconque, à la sécurité publique, à la propriété d’Intuit,ou au site ou au service d’Intuit. Lorsqu’il est légalement interdit à Intuit d’informer le client de demandes, elle doit tout mettre en œuvre pour obtenir la levée de l’interdiction.

États-Unis :

Les conditions suivantes s’appliquent lorsqu’Intuit traite des données personnelles soumises aux lois américaines sur la protection des données :

1. Si et dans la mesure où Intuit agit en tant que sous-traitant ou responsable du traitement pendant traitement des données de connexion d’entreprise comme il est indiqué à l’article 2 ci-dessus, Intuit assumera le même rôle lors du traitement, le cas échéant, en vertu de toutes les lois américaines sur la protection des données autres que la CCPA.
2. En ce qui concerne les données personnelles assujetties à la CCPA, les parties conviennent et reconnaissent ce qui suit : i) Intuit peut agir en tant que « fournisseur de services » en vertu de la CCPA dans les cas où Intuit agit en tant que responsable du traitement en vertu d’autres lois applicables sur la protection des données; ii) Intuit a le droit de traiter les données de connexion d’entreprise à toutes les fins autorisées aux fournisseurs de services en vertu de la CCPA. Intuit doit se conformer à toutes les exigences énoncées dans la CCPA et dans l’article 7051 du règlement de la CCPA, et à tout règlement qui y succédera, et ces dispositions sont intégrées aux présentes par référence.
3. Les obligations d’Intuit concernant les demandes des personnes concernées, telles qu’elles sont décrites à l’article 8 (Droits des personnes concernées et coopération) de la présente CTD, s’étendent aux demandes concernant les droits en vertu des lois américaines sur la protection des données. Intuit s’engage à fournir aux données de connexion d’entreprise le même niveau de protection que celui requis par la CCPA et : i) aidera le client à répondre à toute demande d’un consommateur (au sens des lois américaines sur la protection des données) qui cherche à exercer ses droits en vertu des lois américaines sur la protection des données; et ii) informera immédiatement le client s’il n’est pas en mesure de satisfaire aux exigences des lois américaines sur la protection des données. Dans les cas où Intuit est un fournisseur de services en vertu de la CCPA, mais est par ailleurs un responsable du traitement en vertu des lois sur la protection des données, et qu’un consommateur demande directement à Intuit d’exercer ses droits en vertu de la CCPA, le client demande par la présente à Intuit de répondre directement à cette demande au consommateur.  Le client est tenu de s’assurer qu’il s’est conformé et continuera de se conformer aux exigences des lois américaines sur la protection des données dans le cadre de son utilisation des services et de son propre traitement des données personnelles.
4. Les parties reconnaissent que les données de connexion d’entreprise que le client divulgue à Intuit sont fournies uniquement aux fins limitées et précises définies comme des « fins autorisées ». Les parties conviennent que toutes les données de connexion d’entreprise sont divulguées à Intuit par le client aux fins autorisées et que leur utilisation ou divulgation par le client à Intuit est nécessaire à la réalisation de ces fins autorisées. 
5. Nonobstant toute restriction d’utilisation contenue ailleurs dans la présente CTD, Intuit traitera les données de connexion d’entreprise pour exécuter le service, réaliser les fins autorisées ou conformément aux instructions légales documentées du client, ou tel que la loi en vigueur l’autorise ou l’exige.
6. Nonobstant toute restriction d’utilisation figurant ailleurs dans la présente annexe B, Intuit peut anonymiser ou agréger les données de connexion d’entreprise dans le cadre de l’exécution du service précisé dans la présente CTD et dans la convention.
7. Lorsque des sous-traitants ultérieurs traitent des données de connexion d’entreprise, Intuit prend des mesures pour s’assurer que ces derniers sont des fournisseurs de services en vertu de la CCPA avec lesquels Intuit a conclu un contrat écrit qui inclut des conditions essentiellement similaires à celles de la présente section de l’annexe B ou qui sont autrement exemptés de le CCPA. Intuit fait preuve de diligence raisonnable envers ses sous-traitants ultérieurs.
8. Sans limiter les droits concernant l’utilisation des données énoncés aux présentes, en tant que fournisseur de services, Intuit s’engage à ne pas faire ce qui suit :
9. vendre ou partager des données de connexion d’entreprises;
10. conserver, utiliser ou divulguer les données de connexion d’entreprise i) à des fins autres que les fins autorisées, y compris à des fins commerciales, ou ii) hors du cadre de la relation commerciale directe entre les parties, sauf dans la mesure nécessaire à l’exécution des fins autorisées ou tel qu’il est indiqué dans les lois américaines sur la protection des données;
11. combiner les données de connexion d’entreprise reçues à partir du compte du client ou de la part de celui-ci avec les données personnelles reçues à partir du compte d’un tiers ou de la part de celui-ci, ou recueillies lors de l’interaction d’Intuit avec des particuliers ou des personnes concernées, sauf dans le cadre d’une fin autorisée conformément à la CCPA (y compris tout règlement s’y rapportant), à la convention et à la présente CTD.
12. Le client peut prendre toutes les mesures raisonnables et appropriées qui peuvent être nécessaires a) pour s’assurer que les données de connexion d’entreprise recueillies sont utilisées pour respecter les obligations de l’entreprise en vertu de la CCPA, b) pour arrêter et corriger toute utilisation non autorisée des données de connexion d’entreprise, c) pour s’assurer que toutes les données personnelles pertinentes sont utilisées conformément à la CCPA.
13. Intuit reconnaît et confirme qu’elle ne reçoit pas les données de connexion d’entreprise en contrepartie de services fournis au client.

Canada :

1. Intuit prend les mesures nécessaires pour s’assurer que les sous-traitants ultérieurs d’Intuit, tels qu’ils sont décrits à l’article 3 (« Sous-traitance ultérieure ») de la CTD, sont des tiers au sens de la LPRPDE, avec lesquels Intuit a conclu un contrat écrit comportant des conditions essentiellement similaires à celles de la présente CTD. Intuit fait preuve de diligence raisonnable envers ses sous-traitants ultérieurs.
2. Intuit mettra en œuvre les mesures techniques et organisationnelles énoncées à l’article 4 (Sécurité) de la CTD.
3. Intuit peut transférer les données de connexion d’entreprise en dehors du territoire d’où elles proviennent i) conformément aux lois sur la protection des données applicables et ii) à condition de prendre toutes les mesures nécessaires pour s’assurer qu’elles continuent d’être traitées conformément à la loi applicable sur la protection des données à la suite d’un tel transfert. Le client doit procéder à toutes les évaluations nécessaires pour faciliter ce transfert.

Date d’entrée en vigueur :  13 janvier 2025