Convention relative au traitement des données par les services

QuickBooks Paie et QuickBooks Time

Revision July 25, 2024


La présente Convention relative au traitement des données (la présente « convention ») fait partie de la convention conclue entre Intuit et le client (le « client ») relativement à l’achat des services QuickBooks Time (« QB Time ») et de QuickBooks Payroll (les « services de paie ») (conjointement avec les services QB Time, les « services ») et au soutien technique connexe offert au client, en sa version modifiée, s’il y a lieu (la « convention d’achat »). La présente convention fait foi de l’entente intervenue entre les parties quant aux modalités régissant la sécurité des données du client et le traitement qu’Intuit fait de ces données. En ce qui a trait aux autres données qui sont fournies par le client ou ses utilisateurs ou qui portent sur ceux-ci, Intuit est un responsable du traitement et la présente convention ne s’applique pas.


Application de la présente convention


  • Si (i) l’entité cliente qui conclut la présente convention est partie à la convention d’achat conclue entre le client et Intuit, (ii) Intuit agit à titre de sous‑traitant des données du client pour le compte du client (sauf dans les cas limités où la présente convention s’applique expressément au traitement effectué par Intuit à titre de responsable du traitement) et (iii) les données du client font partie d’une catégorie visée par l’une ou l’autre des lois sur la protection des données applicables, la présente convention s’applique et fait partie de la convention d’achat en tant qu’addenda.
  • Si l’entité cliente qui conclut la présente convention n’est pas partie à la convention d’achat conclue entre Intuit et le client, la présente convention n’est ni valide ni contraignante.
  • La présente convention ne remplace aucun droit supplémentaire ou comparable relatif au traitement des données du client qui est énoncé dans la convention d’achat.
  • En cas de divergence entre les modalités de la présente convention et celles de la convention d’achat en ce qui a trait au traitement des données du client, la présente convention aura préséance.


1. Définitions et interprétation

1.1. Définitions  Dans la présente convention, les termes suivants ont le sens qui leur est donné ci‑après :

« Client » désigne l’entité cliente qui a conclu la convention d’achat avec Intuit pour le service QB Time ou les services de paie.

« Données du client » désigne les données à caractère personnel (aussi appelées renseignements personnels dans la convention d’achat) qui se trouvent (i) dans les données que vous téléversez ou saisissez dans le service, (ii) dans les données qui sont générées ou recueillies pendant que vous configurez ou utilisez le service et (iii) dans les données relatives à l’utilisation. Les données du client ne comprennent pas les données sur les relations d’affaires.

« Données du compte » désigne les données à caractère personnel recueillies en lien avec les données relatives au compte que vous avez fournies à Intuit dans le cadre de l’achat, de l’inscription, de la facturation ou de la prestation de services de soutien technique relativement à votre compte, ou d’autres données que vous avez générées en utilisant les Services. Les données du compte comprennent, notamment, les coordonnées des administrateurs, les évaluations des produits et les sondages connexes, les renseignements recueillis dans le cadre de nos événements, de nos séances de formation, de nos webinaires et des ventes que nous réalisons et les renseignements recueillis aux fins de marketing, ainsi que les données techniques anonymisées qui servent au soutien technique et à l’entretien des produits.

« Données relatives à l’utilisation » désigne les données recueillies sur l’interaction de l’utilisateur final avec les services.

« Incident de sécurité » désigne une « violation des données à caractère personnel » ou tout concept similaire défini par les lois sur la protection des données applicables. 

« Intuit » désigne Intuit, Ltd. ou toute autre entité qui la contrôle, est contrôlée par celle‑ci ou est sous contrôle commun avec elle, que ce soit directement ou indirectement.

« Lois sur la protection des données applicables » désigne toutes les lois sur la protection des données et la protection des renseignements personnels applicables au traitement des données à caractère personnel et à la surveillance des employés, y compris, s’il y a lieu, la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) et les lois provinciales correspondantes.

« Responsable du traitement », « sous‑traitant », « personne concernée », « données à caractère personnel » (aussi appelées renseignements personnels dans la convention d’achat) et « traitement » (et « traiter ») ont le sens qui leur est donné dans les lois sur la protection des données applicables.

 « Tiers sous‑traitant » désigne un tiers sous‑traitant auquel Intuit fait appel directement pour l’aider à traiter les données du client. 

1.2. Les termes clés qui sont utilisés dans la présente convention sans y être définis ont le sens qui leur est donné dans la convention d’achat.



2. Protection des données

2.1. Lien entre les parties  Le client (à titre de responsable du traitement) désigne Intuit comme sous‑traitant chargé de traiter les données du client lorsqu’elle agit directement pour le compte du client. Or, lorsqu’elle utilise les renseignements personnels à ses propres fins, y compris pour améliorer ses produits et présenter des possibilités de faire affaire avec elle à ses utilisateurs finaux, Intuit est le responsable du traitement des données du compte et des données du client, qu’elle traitera conformément à la Déclaration de confidentialité mondiale d’Intuit : https://www.intuit.com/privacy/statement/fr‑ca/. Chaque partie doit remplir les obligations qui lui incombent en vertu des lois sur la protection des données applicables.

2.2. Limitation des fins du traitement  Lorsqu’elle agit à titre de sous‑traitant, Intuit doit traiter les données du client seulement dans la mesure où cela est nécessaire pour remplir les obligations qui lui incombent aux termes de la convention d’achat et en se conformant rigoureusement aux instructions écrites du client (les « fins autorisées »), sauf exigence contraire de l’une ou l’autre des lois sur la protection des données applicables qui s’appliquent au client. Lorsqu’elle agit à titre de responsable du traitement, notamment pour améliorer les produits ou pour faire la promotion d’offres aux employés qui sont les utilisateurs finaux des services, Intuit doit, dans chaque cas, déterminer les fins du traitement des données du client et des données du compte et les moyens utilisés pour effectuer ce traitement. 

2.3. Transferts internationaux  Intuit ne doit pas transférer les données du client de QB Time (ni permettre que ces données soient transférées) à l’extérieur de leur territoire d’origine, sauf (i) si cela est fait conformément aux lois sur la protection des données applicables et (ii) si Intuit prend toutes les mesures nécessaires pour s’assurer que ces données continuent d’être traitées conformément aux lois sur la protection des données applicables après le transfert. Le client doit effectuer toutes les évaluations nécessaires pour faciliter le transfert, s’il y a lieu. Pour plus de précision, les données du client des services de paie peuvent être transférées aux États‑Unis.

2.4. Confidentialité du traitement  Intuit doit s’assurer que les personnes qu’elle autorise à traiter les données du client (y compris les membres de son personnel, ses mandataires, ses prestataires de services et les tiers) (une « personne autorisée ») sont assujetties à une obligation stricte de confidentialité (que ce soit aux termes d’une politique interne, d’un contrat ou d’une loi) et ne doit permettre à aucune personne qui n’est pas assujettie à une telle obligation de traiter les données du client. Elle doit également veiller à ce que les personnes autorisées traitent les données du client uniquement dans la mesure où cela est nécessaire aux fins autorisées.

2.5. Sécurité  Intuit doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données du client contre un incident de sécurité. Ces mesures doivent tenir compte de l’état de la technologie, des frais de mise en œuvre et de la nature, de la portée, du contexte et des fins du traitement, ainsi que des risques, dont la probabilité et la gravité sont variables, auxquels sont exposés les droits et les libertés de personnes physiques.

Pour obtenir de plus amples renseignements sur les mesures techniques et organisationnelles que nous prenons afin de protéger les données contre un incident de sécurité, veuillez consulter le site https://security.intuit.com/&sa=D&source=docs&ust=1681488505410166&usg=AOvVaw2VLpi‑5g9dg_hxA53egHf2

2.6. Tiers sous‑traitants  Le client consent à ce qu’Intuit fasse appel à des tiers sous‑traitants pour le traitement des données du client, aux conditions suivantes :

Si Intuit retient les services d’un tiers sous‑traitant ou y met fin, elle devra en informer le client (y compris en lui décrivant les services de traitement que ce tiers sous‑traitant fournit ou fournira), ce qu’elle pourra faire en affichant un avis détaillé à cet égard dans le « Profil » du compte QB Time du client.

Intuit doit imposer aux tiers sous‑traitants auxquels elle fait appel des obligations de protection des données qui sont cohérentes avec celles qui sont énoncées dans la présente convention.

Intuit demeure entièrement responsable des violations de la présente clause qui résultent des actions, des erreurs ou des omissions commises par un tiers sous‑traitant qui agit pour son compte aux termes de la présente convention. Intuit doit tenir cette liste à jour et en fournir un exemplaire à jour dans le « Profil » du compte QB Time du client.

Si le client refuse de consentir à ce qu’Intuit nomme un tiers sous‑traitant relativement à la protection des données du client, il pourra suspendre ou résilier la convention d’achat, y compris la présente convention, à la condition qu’il paie tous les frais et les autres sommes qu’il doit en contrepartie des services fournis.

2.7. Collaboration et droits des personnes concernées

2.7.1. Pendant la durée, Intuit doit, d’une manière compatible avec la fonctionnalité des services et en tenant compte de la nature du traitement, fournir une aide raisonnable au client afin de lui permettre de répondre a) à la demande d’une personne concernée qui souhaite exercer l’un ou l’autre des droits que lui confèrent les lois sur la protection des données applicables (y compris son droit d’accès ou d’opposition, ou son droit à la suppression, à la limitation du traitement, à la rectification, à l’effacement ou à la portabilité des données, selon le cas) et b) aux autres communications, demandes de renseignements ou plaintes qu’il reçoit d’une personne concernée, d’un organisme de réglementation ou d’un autre tiers dans le cadre du traitement des données conformément aux lois sur la protection des données applicables.

2.7.2. Si Intuit reçoit d’une personne concernée une demande relative aux données à caractère personnel du client (lorsqu’elle agit à titre de sous‑traitant), elle doit l’inviter à envoyer sa demande directement au client, qui aura la responsabilité d’y répondre. Intuit doit fournir l’aide raisonnable que le client pourrait raisonnablement demander afin de l’aider à remplir l’obligation de répondre aux demandes des personnes concernées qui lui incombe en vertu des lois sur la protection des données applicables.

2.8. Analyse d’impact relative à la protection des données et consultation des autorités de contrôle  À la demande écrite du client et dans la mesure où celui‑ci ne peut accéder d’une autre manière aux renseignements pertinents et qu’Intuit peut raisonnablement y accéder, Intuit doit fournir au client, aux frais de ce dernier, l’aide raisonnable dont il a besoin pour remplir son obligation d’effectuer une analyse d’impact relative à la protection des données au sujet de l’utilisation qu’il fait du service. Dans la mesure où cela est nécessaire, Intuit doit fournir au client une aide raisonnable dans le cadre de la consultation de l’autorité de contrôle compétente.

2.9. Incidents de sécurité

2.9.1. Si Intuit prend connaissance d’un incident de sécurité réel touchant les données du client à l’égard desquelles Intuit agit à titre de sous‑traitant pour le compte du client, elle devra a) informer le client de l’incident de sécurité sans délai indu, b) prendre les mesures appropriées pour déterminer la cause de l’incident de sécurité, atténuer le préjudice qui pourrait en découler et protéger les données du client, dans la mesure où il est raisonnablement possible pour Intuit d’y remédier ainsi et c) renseigner le client, sous réserve de nos politiques sur la protection des renseignements personnels et la sécurité des données, de nos obligations de confidentialité et des autres obligations qui nous incombent en vertu de la loi, dans la mesure où cela est raisonnablement nécessaire, pour aider le client à remplir ses obligations en matière de notification et de communication. Intuit n’évalue pas le contenu des données du client dans le but de déterminer si le client a des obligations précises en matière de communication de l’information ou d’autres obligations qui lui incombent en vertu de la loi. Il incombe au client de remplir les obligations imposées par règlement ou les obligations de communication de l’information aux personnes concernées dans le cadre de l’incident de sécurité. Chaque partie doit se conformer aux lois applicables s’il se produit un incident de sécurité qui touche des renseignements personnels qu’elle traite à titre de responsable du traitement.

2.9.2. Si Intuit informe le client d’un incident de sécurité ou prend les mesures qui s’imposent à la suite d’un tel incident conformément à la présente convention, cela ne doit pas être interprété comme une admission de quelque responsabilité ou faute que ce soit de la part d’Intuit relativement à l’incident de sécurité.

2.9.3. Intuit doit informer le client d’un incident de sécurité en lui faisant parvenir un avis à l’adresse électronique ou physique indiquée dans la convention d’achat ou, si elle le juge approprié, à sa discrétion, elle pourra le faire par téléphone ou en personne. Il incombe entièrement au client de s’assurer que ses coordonnées (par exemple, son numéro de téléphone et son adresse électronique) sont valides et exactes.

2.9.4 Si Intuit prend connaissance d’un incident de sécurité réel touchant des données du client à l’égard desquelles elle agit comme responsable du traitement, elle se conformera aux obligations qui lui incombent en vertu des lois sur la protection des données applicables.

2.10. Suppression ou renvoi des données  Au choix du client, Intuit doit lui renvoyer toutes les données du client qu’elle a en sa possession ou sous son contrôle (y compris celles qui sont en la possession d’un tiers sous‑traitant), ou les détruire, conformément aux processus et aux délais de conservation et de destruction des données d’Intuit, sauf entente contraire conclue avec le client. Cette obligation ne s’applique pas a) dans la mesure où Intuit est tenue par l’une ou l’autre des lois sur la protection des données applicables de conserver une partie ou la totalité des données, auquel cas Intuit doit isoler les données du client et empêcher que l’on continue à les traiter, sauf exigence contraire de la loi applicable, ou b) aux copies de sauvegarde des données, lesquelles seront détruites conformément à nos politiques habituelles en la matière en raison du coût et des difficultés techniques associés à la suppression de copies de sauvegarde.

2.11. Audit  Intuit doit répondre aux questions que le client lui soumet par écrit au sujet de ses méthodes de sécurité dans le cadre d’un audit, étant entendu que le client ne peut exercer ce droit plus d’une fois par année.

2.12. Données biométriques  Dans le cadre de certaines parties du service, Intuit peut utiliser des renseignements personnels biométriques (les « données biométriques »), comme la reconnaissance faciale appliquée à des photographies recueillies par l’intermédiaire du service. Les données biométriques peuvent être assujetties à d’autres lois et règlements. Par conséquent, dans le cadre de la collecte, de la conservation et de l’utilisation des données biométriques, vous convenez de ce qui suit :

2.12.1. Vous êtes le responsable du traitement des données biométriques recueillies par l’intermédiaire du service et nous agissons uniquement à titre de sous‑traitant à l’égard de ces données. Vous vous engagez à donner les avis appropriés et à obtenir tous les consentements et les droits qui sont nécessaires pour nous permettre de traiter les données biométriques pour votre compte. Vous reconnaissez et convenez que la collecte, l’utilisation et la conservation des données biométriques sont régies expressément par diverses lois et vous comprenez qu’il est de votre responsabilité de vous conformer à celles qui s’appliquent. Nous pourrions vous fournir une aide raisonnable afin de vous permettre de remplir certaines obligations, s’il y a lieu, notamment en vous aidant à répondre aux demandes des personnes concernées et en vous proposant des libellés pertinents en matière de consentement et de divulgation. En ce qui concerne la proposition de tels libellés, vous convenez qu’une aide de ce type ne constitue pas un conseil d’ordre juridique, qu’elle vous est offerte à titre informatif uniquement et que c’est à vous qu’incombe la responsabilité ultime d’assurer votre conformité aux lois applicables.

2.12.2. Vous vous engagez à adopter un calendrier de conservation et de destruction applicable aux données biométriques, que vous mettrez à la disposition des utilisateurs du service.

2.12.3. Vous devez utiliser les données biométriques par l’intermédiaire du service à des fins de vérification de l’identité et d’authentification uniquement. Toute autre utilisation constitue une violation de la présente convention.

2.12.4. Si vous souhaitez supprimer les données biométriques d’un utilisateur, les modifier ou les retirer du service d’une autre manière, que ce soit parce que les fins de la collecte ont été remplies ou pour une autre raison, vous devrez nous en informer. Vous convenez qu’il est de votre responsabilité de déterminer à quel moment les renseignements biométriques d’un utilisateur ne sont plus requis ou ne peuvent plus être conservés en vertu des lois sur la protection des données applicables et de nous en informer.


3. Dispositions diverses

3.1. Cette version de la présente convention prend effet immédiatement dès qu’elle est publiée.

3.2. La présente convention, y compris les modalités de la convention d’achat sous‑jacente, constitue l’entente intégrale conclue entre vous et Intuit et remplace toutes les autres ententes et communications, verbales ou écrites, quant à son objet. Si un tribunal compétent juge qu’une partie de la présente convention est invalide, cette partie sera retranchée, sans préjudice des autres modalités de la présente convention, lesquelles demeureront valides et exécutoires.