Protocole de traitement des données

^{Version 1}

Le présent protocole de traitement des données (le « Protocole ») décrit de quelle façon WTW (la « Société » ou « WTW ») traite les renseignements personnels assujettis aux lois canadiennes sur la protection des données (définies ci-dessous) au nom de sa clientèle ou des titulaires de licence (chacun étant désigné dans les présentes par le terme « client »).

Le protocole fait partie de toute entente conclue entre WTW et le client qui fait expressément référence au protocole ou à la page d’accueil du protocole de traitement des données de WTW ou qui y est lié, et qui porte sur le traitement de renseignements personnels assujettis aux lois canadiennes sur la protection des données (l’« Entente »).

Définitions. Dans le présent protocole, les termes qui ne sont pas définis dans les présentes ont le même sens que celui dans l’Entente. De plus, les définitions suivantes s’appliquent :

1.1. Les « lois canadiennes sur la protection des données » (les « Lois ») sont la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5, la Personal Information Protection Act de la Colombie-Britannique, SBC 2003, ch. 63, la Personal Information Protection Act de l’Alberta, SA 2003, ch. P-6.5 et la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ ch. P-39.1, et leurs versions modifiées, ainsi que leurs règlements d’application et d’autres lois provinciales ou territoriales similaires, chaque loi dans sa version modifiée, ainsi que leurs règlements d’application.

1.2. La « personne concernée » désigne la personne physique sur qui portent les renseignements personnels recueillis.

1.3. Les « renseignements personnels » sont synonymes de « données personnelles ». Ils désignent toute information se rapportant à une personne physique identifiée ou identifiable, qu’elle soit identifiée de façon directe ou indirecte.

1.4. L’« atteinte à la protection des renseignements personnels » désigne toute atteinte à la sécurité non autorisée ou illégitime entraînant la destruction, la perte ou la modification illégitime, la divulgation non autorisée ou l’accès non autorisé aux renseignements personnels. Elle ne comprend pas les tentatives ou les activités infructueuses qui ne compromettent pas la sécurité des renseignements personnels, notamment les tentatives infructueuses d’ouverture de session, le recours à des sondeurs PING, les balayages de ports, les attaques résultant en des dénis de service, et d’autres attaques de réseau contre des pare-feu ou des systèmes en réseau.

1.5. Le terme « commissaire à la protection de la vie privée » s’entend de l’autorité gouvernementale compétente qui fait appliquer les lois canadiennes sur la protection des données.

1.6. Les termes « traitement », « traités », et leurs variantes, décrivent toute activité ou série d’activités effectuées à l’aide de renseignements personnels ou d’ensembles de renseignements personnels, par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d’une autre manière, l’harmonisation ou la combinaison, la limitation, l’effacement ou la destruction de renseignements personnels.

1.7. Les « renseignements personnels des clients » désignent les renseignements personnels assujettis aux lois canadiennes sur la protection des données que WTW traite pour le compte d’un client dans le cadre de la prestation des services,comme il est décrit de façon plus précise à l’annexe 1.

1.8. Les « services » sont les services fournis par WTW au client selon les modalités de l’Entente.

1.9. Un « sous-traitant » désigne tout tiers dont les services ont été retenus par WTW pour traiter des renseignements personnels dans le but de fournir des services, conformément à l’Entente et à l’article 2.3 ci-dessous. Le terme « sous-traitant » peut désigner une société affiliée ou une filiale de WTW, mais il ne désigne pas les employés, les fournisseurs ou les consultants de WTW.
Utilité et portée du traitement

2.1. Portée. Le présent protocole porte sur le traitement des renseignements personnels des clients dans le cadre de la prestation des services. Le Protocole ne s’applique pas aux renseignements personnels que WTW recueille et utilise à ses propres fins ni aux renseignements personnels qui peuvent être traités par l’entremise de sites Web ou de services de tiers.

2.2. Précisions sur le traitement. Le sujet, la nature, la finalité et la durée du traitement, les types de renseignements personnels traités et les catégories de personnes concernées sont décrits à l’annexe 1 du présent protocole.

2.3. Limites d’utilisation. WTW ne traitera les renseignements personnels des clients qu’aux fins décrites dans l’Entente, à l’article 3.6 qui suit et dans la description du traitement figurant à l’annexe 1. Le traitement sera effectué uniquement selon les modalités qui ont été convenues par écrit, le cas échéant, entre le client et WTW, sauf si les lois pertinentes exigent que WTW traite les renseignements d’une façon différente, ce dont WTW informera le client, à moins qu’une loi pertinente n’interdise la transmission d’un tel avis.

2.4. Responsabilités du client. Dans le cadre de son utilisation des services, il incombe au client d’effectuer ce qui suit :
- établir si les services incluent le traitement des renseignements personnels des clients, conformément aux lois canadiennes sur la protection des données;
- respecter ses obligations prévues par les lois canadiennes sur la protection des données pertinentes et veiller à ce que les directives transmises à WTW soient légitimes et conformes à ces lois;
- assumer l’entière responsabilité en ce qui a trait à la qualité, l’exactitude et la légitimité des renseignements personnels des clients, déclarer et garantir que les renseignements personnels des clients ont été recueillis conformément aux lois canadiennes sur la protection des données pertinentes, qu’il a entièrement le droit d’effectuer une telle collecte de renseignements et qu’il a obtenu le consentement requis en vertu des lois canadiennes sur la protection des données pertinentes pour fournir les renseignements personnels des clients à WTW pour les besoins de l’Entente et aux fins de la prestation des services, notamment comme il est indiqué dans la description du traitement;
- avoir obtenu tous les consentements, toutes les autorisations et tous les droits nécessaires pour que WTW, ses sociétés affiliées et ses sous-traitants puissent en toute légitimité traiter les renseignements personnels des clients aux fins prévues par l’Entente, y compris, au besoin, au nom des personnes à charge et des bénéficiaires, dont certains peuvent être des personnes mineures.
Traitement des renseignements personnels

3.1. Directives relatives au traitement. WTW traitera les renseignements personnels des clients conformément aux directives documentées et légitimes du client, aux lois canadiennes sur la protection des données pertinentes, à l’Entente et au présent protocole. WTW notifiera rapidement le client s’il s’avère impossible de se conformer à de telles directives en raison des lois sur la protection des données pertinentes, ou pour une autre raison.

3.2. Confidentialité. WTW s’engage à faire ce qui suit :
- préserver la confidentialité des renseignements personnels des clients, exiger que son personnel et toutes les autres personnes agissant sous son autorité qui traitent les renseignements personnels des clients soient liés par des obligations de confidentialité, notamment dans le cadre d’une entente écrite, d’une obligation de confidentialité prévue par une loi pertinente ou d’une autre forme d’obligation, et protéger tous les renseignements personnels des clients conformément aux exigences du présent protocole et aux lois canadiennes sur la protection des données pertinentes;
- permettre l’accès aux renseignements personnels des clients uniquement à des membres du personnel de WTW ou à toute autre personne agissant sous l’autorité de WTW aux fins de la prestation des services conformément à l’Entente et au présent protocole.
3.3. Assistance. Dans la mesure requise par les lois canadiennes sur la protection des données pertinentes, WTW doit faire ce qui suit :
- prendre en compte la nature du traitement et, dans la mesure où il est commercialement raisonnable de le faire, et aider le client à s’acquitter de son obligation à répondre : a) aux demandes formulées par des personnes concernées qui exercent leurs droits en vertu des lois canadiennes sur la protection des données pertinentes au sujet des renseignements personnels des clients que WTW a en sa possession; et b) à toute demande ou communication d’un commissaire à la protection de la vie privée concernant les renseignements personnels des clients que WTW a en sa possession;
- prendre en compte la nature du traitement et des renseignements auxquels WTW a accès, et aider le client à s’acquitter de ses obligations visant à mettre en place des mesures de sécurité techniques et organisationnelles, informer de toute atteinte à la protection des renseignements personnels le ou les commissaires à la protection de la vie privée et les personnes concernées, effectuer des évaluations d’incidence sur la protection des données et consulter les commissaires à la protection de la vie privée au sujet des évaluations d’incidence sur la protection des données, s’il y a lieu;
- prendre en compte la nature du traitement, et permettre au responsable de la protection des données du client d’effectuer des audits de confidentialité qui peuvent être exigés par la loi, à la réception d’un préavis d’au moins 30 jours.
3.4. Enquêtes. Après en avoir avisé WTW, WTW fournira une assistance et un soutien raisonnables au client dans le cas d’une enquête menée par un commissaire à la protection de la vie privée dans la mesure où cette enquête porte sur les renseignements personnels des clients traités par WTW selon les termes et modalités prevues par une Entente. Selon la situation, WTW se réserve le droit d’exiger le paiement d’honoraires pour la prestation d’un tel service.

3.5. Évaluations d’incidence sur la protection des données. Aux termes des exigences des lois canadiennes pertinentes sur la protection des données, WTW fournira au client une assistance raisonnable dans le cadre des évaluations d’incidence sur la protection des données liées au traitement des renseignements personnels des clients par WTW, conformément aux lois canadiennes sur la protection des données, au présent protocole et à l’Entente. Selon la situation, WTW se réserve le droit d’exiger le paiement d’honoraires pour la prestation d’un tel service.

3.6. Traitement ultérieur des renseignements personnels. WTW ne traitera les renseignements personnels des clients qu’aux fins suivantes : i) pour le compte du client, conformément à l’Entente; ii) pour désigner un sous-traitant, lorsque cela est nécessaire, pour fournir les services faisant l’objet de l’Entente; iii) au besoin, pour assurer la prestation, la gestion et l’amélioration des services; iv) à des fins d’usage interne pour mettre en œuvre et pour améliorer les services de WTW; v) pour déceler les incidents de sécurité des données ou pour se protéger contre les activités frauduleuses ou illégales; vi) au besoin, pour se conformer aux lois pertinentes; vii) sous réserve des dispositions de l’article 3.9 ci-dessous, pour se conformer à une enquête civile, criminelle ou réglementaire; et viii) dans le cadre d’une procédure judiciaire requise ou autorisée par la loi pertinente. Le client reconnaît que WTW peut rendre anonymes les renseignements personnels des clients pour produire des rapports de données regroupées et améliorer la qualité des services qui lui sont fournis.

3.7. Sécurité. WTW veillera à tenir à jour un programme écrit de sécurité de l’information qui comprend des mesures de protection administratives, techniques et physiques destinées à préserver la sécurité, la confidentialité ou l’intégrité des renseignements personnels contre les menaces ou les risques anticipés pesant sur leur sécurité, leur confidentialité ou leur intégrité. Compte tenu de l’évolution des technologies, du coût de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, WTW mettra en place des mesures de sécurité et de confidentialité techniques et organisationnelles appropriées (qui pourront comprendre la pseudonymisation ou l’anonymisation des renseignements personnels, s’il y a lieu, et si les lois en vigueur le permettent, compte tenu de la nature du traitement), lesquelles sont nécessaires pour protéger contre l’accès, l’utilisation, ou la divulgation non autorisée ou illégitime des renseignements personnels des clients et contre leur perte, leur destruction, ou leur détérioration accidentelle. Ces mesures seront adaptées aux risques auxquels sont exposés les renseignements personnels des clients en cas d’accès, d’utilisation ou de divulgation non autorisée ou illégitime et de perte, de destruction ou de détérioration accidentelle. Le programme écrit de sécurité de l’information ne peut pas être modifié de façon à réduire la protection des renseignements personnels des clients.

3.8. Incidents de sécurité. WTW avisera le client, dans les plus brefs délais, chaque fois que WTW sera informée d’une atteinte à la sécurité qui aurait entraîné la destruction, la perte, la modification, la divulgation non autorisée ou l’accès non autorisé aux renseignements personnels des clients traités par WTW et régis par le Protocole (« incident de sécurité »). WTW s’engage à respecter ses obligations en matière de notification, conformément aux lois pertinentes. Une fois l’avis transmis, WTW mènera une enquête sur l’incident de sécurité, prendra les mesures nécessaires pour éliminer ou limiter les répercussions de l’incident de sécurité et tiendra le client informé de l’état de l’incident de sécurité et de tous les enjeux qui en découlent.

3.9. Avis de demandes d’accès ou plaintes. Dans la mesure permise par les lois pertinentes, WTW informera rapidement le client : i) de toute demande formulée par une personne pour accéder à ses renseignements personnels ou d’exercer autrement ses droits en tant que personne concernée, et WTW transmettra alors la demande au client; ii) de toute demande ou de toute communication provenant d’un organisme d’application de la loi ou du commissaire à la protection de la vie privée concernant des renseignements personnels des clients traités dans le cadre de l’Entente. Pour l’essentiel, WTW ne se conformera pas à une demande de divulgation de renseignements personnels avant d’avoir reçu l’autorisation écrite du client, à moins d’y être contrainte par la loi, par l’ordonnance d’un tribunal ou tout autre mécanisme juridiquement exécutoire.

3.10. Restitution ou destruction. Le client peut demander à WTW de supprimer ou de lui retourner les renseignements personnels après la résiliation ou l’arrivée à échéance de l’Entente. WTW se conformera à cette directive et confirmera au client que la suppression a bien été effectuée (le cas échéant), sauf disposition contraire exigée ou autorisée par les lois pertinentes, notamment le respect par WTW de normes professionnelles, la défense en cas de poursuites, ou en ce qui concerne les supports de sauvegarde et les renseignements personnels archivés pour lesquels la suppression sélective de fichiers n’est pas possible, à condition que WTW continue de se conformer aux conditions pertinentes du présent protocole concernant les renseignements personnels conservés et que WTW ne traite pas ces renseignements personnels à d’autres fins.

3.11. Traitement confié en sous-traitance. Le client convient et autorise, expressément par les présentes, WTW à avoir recours à des sous-traitants afin de fournir les services aux termes de l’Entente, et comme ils sont décrits dans la description du traitement, à condition que WTW :
- demeure responsable de remplir ses obligations au titre du présent protocole;
- fasse appel à ces sous-traitants dans le respect des lois canadiennes sur la protection des données ou d’autres lois sur la protection des données (s’il y a lieu);
- s’assure de conclure avec les sous-traitants des ententes écrites et juridiquement contraignantes comportant des obligations, au minimum, essentiellement équivalentes à celles énoncées dans le présent protocole et l’Entente. WTW fournira sur demande une liste des sous-traitants avec lesquels elle fait affaire.
WTW peut remplacer ou ajouter des sous-traitants, de temps à autre, conformément au présent article 3.11 et du présent protocole.

3.12. Transferts transfrontaliers de données . Le client confirme que WTW peut transférer des renseignements personnels à ses sociétés affiliées et à ses sous-traitants dans le monde entier, y compris à l’extérieur de la province de résidence des personnes concernées et à l’extérieur du Canada, pourvu que WTW s’assure que ces transferts sont effectués conformément aux lois pertinentes, ce qui inclut la mise en place de mesures de protection appropriées qui assurent un degré équivalent ou suffisant de protection des renseignements personnels et des protections contractuelles appropriées, comme il est prévu par les lois pertinentes, l’organisme de contrôle compétent ou l’organisme de réglementation de la protection des données. Par souci de clarté, WTW confirme que, lorsque, pour fournir les services, elle transfère des renseignements personnels à ses sociétés affiliées ou ses sous-traitants à l’extérieur de la province de résidence des personnes concernées ou à l’extérieur du Canada, tous ces transferts, le cas échéant, sont effectués selon des mécanismes de transfert appropriés. Le client reconnaît avoir informé les personnes concernées et obtenu leur consentement au transfert de leurs renseignements personnels à l’extérieur de leur province de résidence lorsque les lois sur la protection des données pertinentes l’exigent.

Annexe 1 – Description du traitement des renseignements personnels

Objet, nature et finalité

Toutes les activités de traitement (y compris la collecte, l’utilisation et la communication de renseignements personnels) qui sont raisonnablement nécessaires pour faciliter ou soutenir la prestation des services décrits dans l’Entente.

Durée du traitement des renseignements personnels

WTW traitera les renseignements personnels aussi longtemps qu’elle fournira les services au client aux termes de l’Entente. De plus, elle se conformera aux modalités de l’Entente (y compris le Protocole) portant sur la conservation et sur la destruction des renseignements personnels.

Catégories de personnes concernées

Les personnes concernées sont notamment les personnes nommées dans tout contrat et dans tout régime à l’égard desquels WTW est engagée pour fournir ses services, les personnes bénéficiaires d’un tel contrat ou d’un tel régime, ou les personnes qui ont présenté une demandes de règlement au d’un tel contrat ou d’un tel régime, ou des personnes qui sont autrement liées par un tel contrat ou un tel régime. En général, les personnes concernées sont : 1) des membres du personnel, des sous-traitants ou d’autres personnes qui ont travaillé, travaillent ou pourraient travailler pour le client, des participants ou des bénéficiaires de caisses de retraite ou de régimes de retraite dont le client est responsable (les « travailleurs ») ou des membres de leur famille, des mandataires ou d’autres personnes ayant des liens avec les travailleurs; 2) les clients anciens, actuels ou potentiels du client et les membres de son personnel, leurs employés ou d’autres personnes ayant des liens avec eux ainsi que les membres de leur famille, des représentants ou d’autres personnes ayant des liens avec eux; ou 3) les personnes ayant déposé une plainte ou ayant présenté une demande de règlement au titre de tout contrat d’assurance, que ces personnes soient anciennes, actuelles ou potentielles, ou les membres de leur famille, leurs mandataires ou d’autres personnes ayant des liens avec elles.

Types de renseignements personnels

Les services prévus par l’Entente peuvent comprendre le traitement des types de renseignements personnels suivants :

noms et les coordonnées d’une personne;

données démographiques (notamment le sexe, l’âge, la date de naissance, l’état civil, la nationalité, les antécédents scolaires ou professionnels, les diplômes d’études et les attestations professionnelles, les renseignements sur l’emploi, les loisirs, la composition de la famille et les personnes à charge);

renseignements médicaux personnels, notamment les évaluations médicales, les résultats d’examens médicaux, les plans de traitement, le nom des médecins traitants et d’autres fournisseurs de soins de santé, les renseignements sur les mesures d’adaptation, l’état d’invalidité et les prestations reçues, les résultats de tests de dépistage d’alcool et de drogues, et les évaluations et les traitements qui en découlent, la date de décès ou la date de la période d’invalidité;

renseignements sur d’autres demandes de règlement ou d’indemnisation présentées au titre d’une assurance ou d’un régime public (c.-à-d. au titre d’un régime d’indemnisation des accidentés du travail, d’une assurance automobile, d’une assurance créances) ainsi que sur la représentation par un avocat, sur des litiges et sur la subrogation;

renseignements portant sur les déductions établies en fonction de règlements, sur les paiements anticipés, sur les prestations d’organismes publics ou versées au titre d’autres couvertures, notamment au titre d’un régime d’indemnisation des accidentés du travail, d’une assurance automobile, d’une assurance créances en cas d’invalidité ou des régimes publics en cas d’invalidité du RPC ou du RRQ.

documents d’identification personnelle et les renseignements connexes, notamment numéros de passeport et d’assurance sociale et numéros d’identification d’employé;

données financières et de paiement, notamment numéros de comptes bancaires et renseignements sur les transactions;

renseignements relatifs à la prestation de services, tels que renseignements relatifs aux contrats et aux demandes de règlement, y compris de l’information relative aux incidents donnant lieu à la présentation de demandes de règlement et aux pertes qui en découlent;

registres de communications;

données relatives aux ressources humaines, notamment la situation d’emploi, le titre de poste et fonctions, avantages sociaux et rémunération; renseignements sur les personnes à charge ou sur les bénéficiaires; renseignements sur les diplômes, les études et les qualifications professionnelles; coordonnées des personnes avec qui communiquer en cas d’urgence; renseignements sur la gestion du rendement.

List of website locations and languages available in Americas
Location	Languages Available
Argentina	Spanish
Bermuda	English
Brazil	Portuguese
Canada	English French
Chile	Spanish
Colombia	Spanish
Costa Rica	Spanish
El Salvador	Spanish
Guatemala	Spanish
Honduras	Spanish
Mexico	Spanish
Nicaragua	Spanish
Panama	Spanish
Peru	Spanish
United States	English
Venezuela	Spanish

List of website locations and languages available in Asia-Pacific
Location	Languages Available
Australia	English
China	Simplified Chinese
Hong Kong (China, SAR)	English
India	English
Indonesia	English
Japan	Japanese
Korea	Korean
Malaysia	English
New Zealand	English
Philippines	English
Singapore	English
Taiwan	Traditional Chinese
Thailand	English Thai
Vietnam	English Vietnamese

List of website locations and languages available in Europe
Location	Languages Available
Austria	German
Belgium	English French Flemish
Croatia	English Croatian
Czech Republic	English Czech
Denmark	Danish
Finland	Finnish
France	French
Germany	German
Greece	Greek
Hungary	Hungarian
Ireland	English
Italy	Italian
Kazakhstan	Kazakh Russian
Luxembourg	French
Netherlands	Dutch English
Norway	Norwegian
Poland	Polish
Portugal	Portuguese
Romania	Romanian
Serbia	Serbian
Slovakia	Slovak
Spain	Spanish
Sweden	English Swedish
Switzerland	English French German
Turkey	Turkish
Ukraine	Ukrainian
United Kingdom	English

List of website locations and languages available in Middle East and Africa
Location	Languages Available
Cameroon	English French
Congo	French
Egypt	English
Ghana	English
Ivory Coast	French
Israel	English
Jordan	English
Kenya	English
Kuwait	English
Mauritius	English
Nigeria	English
Saudi Arabia	English
Senegal	French
South Africa	English
UAE	English
Uganda	English

Protocole de traitement des données – Canada

Annexe 1 – Description du traitement des renseignements personnels