Mentions légales
Avenant relatif à la protection des données
Date d'entrée en vigueur : 22 mai 2026 · Dernière mise à jour : 22 mai 2026
Le présent DPA fait partie intégrante des Conditions d'utilisation de CATAAM conclues entre TheMarkups Canada Inc. et le Client. Il s'applique partout où CATAAM traite des Données à caractère personnel pour le compte du Client.
1. Définitions
Aux fins du présent Avenant relatif à la protection des données (« DPA »), les termes suivants ont la signification indiquée ci-dessous. Les termes non définis ici conservent le sens qui leur est attribué dans les Conditions d'utilisation de CATAAM.
- Responsable du traitement — la personne physique ou morale qui détermine les finalités et les moyens du Traitement des Données à caractère personnel. Aux fins du présent DPA, le Client est le Responsable du traitement.
- Sous-traitant — une personne physique ou morale qui traite des Données à caractère personnel pour le compte d'un Responsable du traitement. Aux fins du présent DPA, TheMarkups Canada Inc. (exploitant sous le nom de CATAAM) est le Sous-traitant.
- Données à caractère personnel — toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »), y compris les noms, adresses e-mail, adresses IP et toute autre donnée que le Client téléverse vers le Service ou génère au sein de celui-ci.
- Traitement — toute opération effectuée sur des Données à caractère personnel, y compris la collecte, le stockage, la consultation, l'utilisation, la communication, l'effacement ou la destruction.
- Sous-traitant ultérieur — tout tiers mandaté par le Sous-traitant pour réaliser des activités de Traitement pour le compte du Responsable du traitement.
- Personne concernée — une personne physique identifiée ou identifiable dont les Données à caractère personnel sont traitées dans le cadre du présent DPA.
- Loi applicable en matière de protection des données — l'ensemble des lois et réglementations applicables relatives au traitement des Données à caractère personnel, y compris, sans s'y limiter, le Règlement général sur la protection des données 2016/679 de l'UE (« GDPR »), le UK GDPR, la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (« PIPEDA ») et ses équivalents provinciaux applicables, ainsi que toute autre législation nationale applicable en matière de protection des données.
- Clauses contractuelles types (« SCCs ») — les clauses contractuelles types de la Commission européenne pour le transfert de Données à caractère personnel vers des pays tiers, telles qu'adoptées par la décision d'exécution (UE) 2021/914 de la Commission.
- Incident de sécurité — toute violation avérée de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel, ou l'accès non autorisé à celles-ci.
2. Rôles et champ d'application
Le présent DPA s'applique à tout Traitement de Données à caractère personnel effectué par CATAAM en qualité de Sous-traitant dans le cadre de la fourniture du Service au Client agissant en qualité de Responsable du traitement. Le Client est responsable de la licéité de toutes les Données à caractère personnel qu'il soumet au Service, y compris de s'assurer qu'il dispose d'une base juridique valable pour le traitement au titre de la Loi applicable en matière de protection des données.
Lorsque CATAAM traite des Données à caractère personnel à ses propres fins (par ex. gestion de compte, facturation, sécurité de la plateforme), il agit en qualité de Responsable du traitement et ce traitement est régi par la Politique de confidentialité plutôt que par le présent DPA.
3. Détails du traitement
Les éléments suivants décrivent les activités de Traitement réalisées dans le cadre du présent DPA :
| Élément | Détails |
|---|---|
| Objet | Fourniture au Client de la plateforme GRC, iASM et BAS de CATAAM |
| Durée | Pendant la durée de l'abonnement du Client, majorée de toute période de conservation post-résiliation décrite à la Section 11 |
| Nature du traitement | Collecte, stockage, consultation, analyse, affichage, exportation et suppression des Données Client téléversées vers le Service ou générées par celui-ci |
| Finalité du traitement | Permettre au Client de gérer les preuves de conformité, les tests d'audit, les constats de sécurité et les flux de travail associés ; collecte automatisée de preuves à partir des intégrations connectées |
| Types de Données à caractère personnel | Noms ; adresses e-mail ; intitulés de poste ; adresses IP ; journaux d'accès ; documents de preuve d'audit ; identifiants d'intégration (chiffrés au repos) ; toute autre Donnée à caractère personnel contenue dans les fichiers ou preuves téléversés par le Client |
| Catégories de Personnes concernées | Les employés, sous-traitants, auditeurs et clients du Client (pour les comptes Partenaires), ainsi que toute personne physique mentionnée dans les preuves de conformité soumises au Service |
4. Obligations du Sous-traitant
En qualité de Sous-traitant, CATAAM s'engage à :
- Traiter les Données à caractère personnel uniquement sur la base d'instructions documentées du Client, y compris celles énoncées dans le présent DPA et les Conditions d'utilisation, sauf obligation légale applicable (auquel cas CATAAM en informera le Client avant le traitement, sauf interdiction de le faire).
- Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel soient soumises à des obligations de confidentialité appropriées.
- Mettre en œuvre et maintenir les mesures de sécurité techniques et organisationnelles décrites à la Section 8.
- Aider le Client, à ses frais, à répondre aux demandes des Personnes concernées exerçant leurs droits au titre de la Loi applicable en matière de protection des données, notamment l'accès, la rectification, l'effacement, la limitation, la portabilité et l'opposition.
- Notifier le Client sans retard injustifié (et en tout état de cause dans un délai de 72 heures après en avoir pris connaissance) de tout Incident de sécurité avéré affectant les Données à caractère personnel traitées dans le cadre du présent DPA.
- Mettre à la disposition du Client toutes les informations nécessaires pour démontrer la conformité au présent DPA et contribuer aux audits décrits à la Section 10.
- Au choix du Client, supprimer ou restituer l'ensemble des Données à caractère personnel à la résiliation du Service, sous réserve de la Section 11.
- Ne pas vendre, louer ni divulguer de Données à caractère personnel à un tiers à des fins commerciales propres à ce dernier.
5. Obligations du Client
En qualité de Responsable du traitement, le Client s'engage à :
- S'assurer qu'il dispose d'une base juridique valable pour le traitement de chaque catégorie de Données à caractère personnel soumise au Service au titre de la Loi applicable en matière de protection des données.
- Fournir à CATAAM toutes les instructions nécessaires à la réalisation du Traitement et veiller à ce que ces instructions soient licites.
- Répondre rapidement aux demandes des Personnes concernées que CATAAM lui transmet et fournir à CATAAM toute directive nécessaire pour donner suite à ces demandes.
- Veiller à ce que son utilisation du Service soit conforme à la Politique d'utilisation acceptable et à l'ensemble de la Loi applicable en matière de protection des données.
- Tenir des registres appropriés des activités de traitement, conformément à l'article 30 du GDPR ou aux obligations équivalentes.
6. Sous-traitants ultérieurs
Le Client accorde à CATAAM une autorisation générale de recourir à des Sous-traitants ultérieurs aux fins de la fourniture du Service. La liste actuelle des Sous-traitants ultérieurs de CATAAM est tenue à jour à l'adresse cataam.com/legal/sub-processors et comprend :
| Sous-traitant ultérieur | Finalité | Localisation |
|---|---|---|
| Amazon Web Services (AWS) | Hébergement cloud, stockage et infrastructure | Canada (ca-central-1 principal) ; bascule aux États-Unis |
| Stripe | Traitement des paiements et facturation | États-Unis |
| SendGrid (Twilio) | Distribution d'e-mails transactionnels | États-Unis |
| Atlassian (Forge) | Calcul pour l'intégration Jira (Forge serverless) | Cloud Atlassian (mondial) |
CATAAM informera le Client de tout ajout ou remplacement prévu de Sous-traitants ultérieurs en mettant à jour la liste des sous-traitants ultérieurs et en notifiant le Client par e-mail au moins 14 jours avant la prise d'effet du changement. Le Client peut s'opposer à un nouveau Sous-traitant ultérieur durant cette période en contactant privacy@themarkups.com. Si les parties ne parviennent pas à résoudre l'objection, le Client peut résilier sans pénalité la partie concernée du Service.
CATAAM veille à ce que chaque Sous-traitant ultérieur soit soumis à des obligations de protection des données au moins équivalentes à celles du présent DPA.
7. Droits des Personnes concernées
Lorsque CATAAM reçoit une demande directement d'une Personne concernée exerçant ses droits au titre de la Loi applicable en matière de protection des données (accès, rectification, effacement, limitation, portabilité, opposition), CATAAM transmet rapidement cette demande au Client. CATAAM ne répondra pas à de telles demandes pour le compte du Client sans instruction écrite explicite.
CATAAM met à disposition les mécanismes suivants pour aider le Client à donner suite aux droits des Personnes concernées :
- Les administrateurs du Client peuvent exporter à tout moment l'ensemble des Données Client depuis la plateforme via la fonction Paramètres → Exportation des données.
- Les administrateurs du Client peuvent supprimer définitivement des comptes utilisateurs et les Données à caractère personnel associées via le panneau Paramètres → Membres.
- Les clients peuvent soumettre une demande de suppression à privacy@themarkups.com pour les données non accessibles via l'interface en libre-service.
8. Mesures de sécurité techniques et organisationnelles
CATAAM met en œuvre les mesures suivantes pour protéger les Données à caractère personnel traitées dans le cadre du présent DPA :
| Catégorie | Mesure |
|---|---|
| Chiffrement au repos | Chiffrement AES-256 pour l'ensemble des Données Client stockées sur AWS (RDS, S3) |
| Chiffrement en transit | TLS 1.2+ imposé pour toutes les connexions API et web ; HSTS activé |
| Contrôle d'accès | Contrôle d'accès basé sur les rôles (RBAC) avec moindre privilège ; authentification multifacteur imposée à l'ensemble du personnel de CATAAM |
| Stockage des identifiants | Secrets d'intégration (clés API, secrets de webhook) stockés sous forme de secrets chiffrés ; jamais journalisés en clair |
| Sécurité réseau | Isolation par VPC ; sous-réseaux privés pour les bases de données ; protection WAF et anti-DDoS en périphérie |
| Gestion des vulnérabilités | Analyse continue des dépendances ; tests d'intrusion trimestriels ; surveillance ASM des points de terminaison de production |
| Réponse aux incidents | Plan documenté de réponse aux incidents de sécurité ; rotation d'astreinte ; SLA de notification du Client sous 72 heures |
| Sauvegardes | Sauvegardes chiffrées quotidiennes automatisées conservées pendant 30 jours ; réplication interrégionale pour la reprise après sinistre |
| Journalisation d'audit | Journaux d'audit immuables pour tous les accès privilégiés et opérations sur les données, conservés pendant 12 mois |
| Risque fournisseur | Revue de sécurité annuelle de tous les Sous-traitants ultérieurs ; obligations de sécurité contractuelles répercutées |
CATAAM réexamine et met à jour ces mesures au moins une fois par an ainsi qu'à la suite de tout changement important de l'infrastructure ou du paysage des menaces.
9. Transferts internationaux de données
L'infrastructure principale de CATAAM est située au Canada (AWS ca-central-1), pays que la Commission européenne a reconnu comme offrant un niveau de protection adéquat des Données à caractère personnel au titre de l'article 45 du GDPR.
Lorsque des Données à caractère personnel sont transférées vers des Sous-traitants ultérieurs situés dans des pays ne bénéficiant pas d'une décision d'adéquation (par ex. les États-Unis), CATAAM veille à ce que ces transferts soient protégés par les Clauses contractuelles types (SCCs) telles qu'adoptées par la décision d'exécution (UE) 2021/914 de la Commission, ou par un mécanisme de transfert équivalent approuvé.
Pour les transferts depuis le Royaume-Uni, CATAAM s'appuie sur l'accord britannique de transfert international de données (IDTA) ou sur l'avenant britannique aux SCCs de l'UE, selon le cas.
Sur demande, CATAAM fournira au Client des copies des SCCs en vigueur avec les Sous-traitants ultérieurs concernés. Contact privacy@themarkups.com.
10. Droits d'audit
Sur demande écrite, CATAAM mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité de CATAAM au présent DPA, notamment :
- Les résultats synthétiques des audits de sécurité ou tests d'intrusion réalisés par des tiers (sous réserve d'expurgation pour confidentialité)
- Le rapport SOC 2 Type II, lorsqu'il est disponible
- Les réponses aux questionnaires de sécurité standard (SIG, CAIQ ou équivalent)
Si le Client requiert un audit sur site ou technique allant au-delà de ce qui précède, les parties doivent convenir au préalable de la portée, du calendrier et du coût. Les audits doivent être réalisés moyennant un préavis raisonnable (au moins 30 jours), pendant les heures ouvrables, et sans perturber de manière déraisonnable les activités de CATAAM. Le Client supporte le coût d'un tel audit, sauf si l'audit révèle un manquement substantiel au présent DPA.
11. Restitution et suppression des données
À l'expiration ou à la résiliation de l'abonnement du Client, CATAAM :
- Conservera les Données Client en lecture seule pendant 90 jours afin de permettre au Client d'exporter ses données.
- Supprimera définitivement toutes les Données à caractère personnel du Client des systèmes de production dans un délai de 30 jours après la fin de la période de conservation.
- Supprimera les Données Client des systèmes de sauvegarde dans un délai de 90 jours suivant la suppression en production (la durée du cycle de rotation des sauvegardes).
- Sur demande écrite, fournira au Client une confirmation écrite de la suppression.
CATAAM peut conserver des données anonymisées et agrégées dérivées des Données Client (ne permettant d'identifier aucune personne) à des fins d'amélioration du produit après la suppression.
CATAAM peut également conserver certaines données lorsque la loi applicable l'exige (par ex. les registres financiers au titre du droit fiscal), auquel cas CATAAM informera le Client des catégories et de la durée d'une telle conservation.
12. Responsabilité
La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions énoncées dans les Conditions d'utilisation de CATAAM. Aucune disposition du présent DPA ne limite la responsabilité de l'une ou l'autre partie en cas de décès ou de dommage corporel causé par négligence, en cas de fraude, ou pour toute autre responsabilité ne pouvant être limitée en vertu de la loi applicable.
Lorsqu'une Autorité de contrôle impose une amende ou une sanction administrative résultant d'un manquement à la Loi applicable en matière de protection des données, la partie responsable de ce manquement supporte le coût de cette sanction.
13. Durée et résiliation
Le présent DPA prend effet à la date à laquelle le Client accepte pour la première fois les Conditions d'utilisation de CATAAM (ou, pour les clients existants, à la Date d'entrée en vigueur du DPA indiquée ci-dessus) et demeure en vigueur tant que CATAAM traite des Données à caractère personnel pour le compte du Client.
Le présent DPA prend automatiquement fin à la résiliation des Conditions d'utilisation sous-jacentes, à l'exception des obligations relatives à la suppression des données, à la confidentialité et aux droits d'audit, qui survivent à la résiliation pendant les périodes spécifiées ci-dessus.
14. Droit applicable
Le présent DPA est régi par les lois de la province de l'Ontario et les lois fédérales du Canada, sans égard aux principes de conflit de lois — conformément au droit applicable aux Conditions d'utilisation.
Nonobstant ce qui précède, lorsque le Client est soumis au GDPR ou au UK GDPR et qu'un litige survient en lien avec ces obligations, les parties conviennent que les tribunaux d'Angleterre et du Pays de Galles auront une compétence non exclusive sur ce litige.
15. Contact
Toute question relative au présent DPA, toute demande émanant d'une personne concernée ou toute demande de documentation d'audit doit être adressée à :
TheMarkups Canada Inc.
Mississauga, Ontario, Canada
E-mail : privacy@themarkups.com