Annexe: Protection des renseignements personnels

Préambule

Dans le cadre de la présente Annexe de protection des renseignements personnels (« Entente »), le Client, agissant en tant que Responsable de Traitement, a déterminé les Finalités et les moyens du ou des Traitement(s) dont l’exécution a été confiée à Talan qui intervient, dans le cadre des Services fournis, en qualité de Sous-traitant.

Les parties sont conscientes de la nécessité d’assurer un Traitement des Renseignements Personnels en conformité avec la réglementation en vigueur et assurant un niveau de sécurité approprié et en conséquence, chacune d’elles garantit les moyens qu’elle met en œuvre pour assurer la conformité des Traitements.

Ceci étant rappelé, les parties sont convenues de ce qui suit.

1. Objet

Talan est informé qu'il aura accès, dans le cadre de la fourniture des Services, à des Renseignements Personnels appartenant au Client.

La présente Annexe a pour objet de définir les conditions dans lesquelles Talan, qui intervient comme Sous-traitant, s’engage à effectuer, pour le compte du Client, les opérations de Traitement de Renseignements Personnels définies à chaque Offre de services selon les modalités décrites à l’article 3 des présentes.

Le Client autorise Talan, pour la durée et pour les seuls besoins de chaque Offre de services, à procéder au Traitement des Renseignements Personnels nécessaire à la fourniture des Services tels que décrits dans l’Offre de services.

Le Client demeure seul responsable du Traitement des Renseignements Personnels et en conserve l'entière propriété, y compris pour les modifications ou compléments qui pourraient y être apportés par Talan.

Talan s’engage à respecter les consignes du Client et à ne traiter les Renseignements Personnels que sur instructions du Client et exclusivement pour son compte et, sauf les cas où il y est expressément autorisé, non pour ses besoins propres ou pour le compte de Tiers.

Ainsi, Talan mettra en œuvre toutes les mesures techniques et organisationnelles nécessaires pour protéger les Renseignements Personnels et prendra toutes les précautions appropriées pour préserver la sécurité, la disponibilité, la confidentialité et l’intégrité de ces Données, notamment contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés.

man filling out form

2. Definitions

Pour les besoins de l’Entente, les termes définis ci-après et débutant par une majuscule, au singulier ou au pluriel, auront le sens qui leur est donné au présent article.

Si d’autres définitions ont été données dans le corps de l’Entente, en cas de contradiction, les définitions de la présente Annexe prévalent.

« Anonymisation »

L’anonymisation de Renseignements Personnels consiste à modifier le contenu ou la structure de ces Renseignements afin de rendre impossible la « ré-identification » des personnes physiques concernées.

« Destinataire »

La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de Renseignements Personnels, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de Renseignements Personnels dans le cadre d'une mission d'enquête particulière conformément à la législation applicable ne sont pas considérées comme des Destinataires ; le Traitement de ces Renseignements par les autorités publiques en question est conforme aux règles applicables en matière de protection des Renseignements Personnels en raison des Finalités du Traitement.

« Évaluation des Facteurs relatifs à la Vie Privée » (EFVP)

Ou « Privacy Impact Assessment » (PIA) : un EFVP est un processus dont l’objet est de décrire un Traitement de Renseignements Personnels, d’en évaluer la nécessité et la proportionnalité, et d’aider à gérer les risques d’atteintes aux droits et libertés des personnes physiques liés au Traitement de leurs Renseignements Personnels, en les évaluant et en déterminant les mesures nécessaires pour y faire face.

« Fichiers »

Tout ensemble structuré de Renseignements Personnels accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique, quel qu’en soit le support.

« Finalités » 

Objectif principal de l’utilisation de Renseignements Personnels.

« Hébergement »

Ensemble des prestations relatives au stockage, à la conservation sur les serveurs de Talan et à la mise à disposition de la solution ou des Renseignements dans les conditions définies à l’Entente.

« Pseudonymisation »

Le Traitement de Renseignements Personnels de telle façon que ceux-ci ne puissent plus être attribués à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les Renseignements Personnels ne soient pas attribués à une personne physique identifiée ou identifiable.

« Renseignements Personnels » ou « Renseignements »

Toute information relative à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Responsable de Traitement » ou « Client » 

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement.

« Sous-traitant » ou « Talan »

La personne physique ou morale, le service ou un autre organisme qui traite des Renseignements Personnels pour le compte du Responsable de Traitement.

« Tiers » 

Une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le Responsable de Traitement, le Sous-Traitant et les personnes qui, placées sous l'autorité directe du Responsable de Traitement ou du Sous-Traitant, sont autorisées à traiter les Renseignements Personnels.

« Traitement de Renseignements Personnels» ou « Traitement»

Signifie toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqué aux Renseignements, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

3. Caractéristiques du traitement des renseignements personnels

Dans le cadre de la présente Entente, le Client convient qu’il indiquera à Talan le type de Renseignements personnels devant être traités par Talan ainsi que la nature du Traitement devant être effectué. Ces instructions seront données en la forme du tableau suivant :

Services fournis

Résumer les services confiés au titre de l’Offre de services

[A COMPLETER : merci de préciser les services qui doivent être fournis par Talan]

Nature des opérations de Traitement

Préciser si le Traitement consiste en une collecte, un enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction de données.

Exemple : collecte de données, conservation, transferts, etc.

Cocher les cases adéquates :

☐ Collecte
☐ Consultation
☐ Enregistrement
☐ Organisation/Adaptation
☐ Suppression
☐ Modification
☐ Restriction
☐ Utilisation
☐ Transfert
☐ Autre [merci de préciser]:

Finalités du Traitement

Présenter les objectifs du Traitement mis en place par le biais des Services confiés dans l’Offre de services.

Exemple : Assurer la maintenance du logiciel X, déduplication de base de données, services de call center, dispenser une formation aux personnels, réaliser des sondages, envoyer des courriels pour le compte du client, etc.

Finalités à préciser :

Catégorie(s) de Personnes Concernées

Il s’agit de préciser les catégories de personnes dont les Renseignements seront traités dans le cadre de l’Offre de services ou document contractuel équivalent, que ce soit l’objet ou non des Services (collectés, utilisés, modifiés, etc.).

Cocher les cases adéquates et compléter le cas échéant.

☐ Clients du Responsable de Traitement
☐ Employés du Responsable de Traitement
☐ Fournisseurs du Responsable de Traitement
☐ Autres catégories : [merci de préciser]:

Catégorie(s) de Renseignements Personnels

Toute information concernant une personne physique identifiée ou identifiable, notamment par référence à son nom, numéro d’identification données de localisation, ou à un ou plusieurs éléments physiologiques génétiques, économiques, culturels ou sociales qui lui sont propres.

Cocher les cases adéquates et compléter.

☐ Données d’identification (exemples : nom, prénoms, numéros de téléphone, adresses, etc.)

Si oui, [merci de préciser]:
☐ Données de vie professionnelle (exemples : CV, formations, diplômes, fonctions, titres professionnels, séniorités, etc.)

Si oui, [merci de préciser]:
☐ Données de vie personnelle (exemples : statut marital, nombre d’enfants, habitudes de vie, comportements, etc.)

Si oui, [merci de préciser]:
☐ Données économiques/financières (exemples : informations bancaires, revenus, situation fiscale, etc.)

Si oui, [merci de préciser]:
☐ Données de connexion (exemples : adresses IP, logs, etc.)

Si oui, [merci de préciser]:
☐ Autres types de données (exemples : données relatives aux infractions, numéros d’assurance sociale, etc.)

Si oui, [merci de préciser]:

Catégories particulières de Renseignements Personnels

Aussi appelés « Renseignements sensibles », tels que tous Renseignements qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ainsi que le Traitement des données génétiques, des données biométriques et tout Traitement de Renseignements concernant la santé, la vie sexuelle, le casier judiciaire et les Renseignements Personnels relatif à des comportements illégaux ou interdits.

Exemples : données de santé, numéro de sécurité sociale, opinions politiques, orientation sexuelle, etc.

Cocher la(les) case(s) concernée(s):

☐ Non.
☐ Oui. Si oui, [Si oui, merci de préciser]:
☐ Données de santé
☐ Données liées à la vie sexuelle
☐ Origines raciales ou ethniques
☐ Opinions religieuses
☐ Opinions philosophiques
☐ Affiliations syndicales
☐ Données génétiques
☐ Données biométriques

Localisation(s) des opérations de Traitement

Exemples : Hébergement des Renseignements en Argentine (spécifier adresse précise), équipes d’assistance/support/hotline situées en Tunisie (préciser adresse exacte), sous-traitants de 2e rang ayant accès aux Renseignements et situés en Inde (préciser adresse exacte), etc.

[A COMPLETER : merci de préciser le lieu de réalisation des Traitements (Hébergement, sauvegardes back-up, maintenance, modération, helpdesk, etc.]

Y a-t-il des transferts de données hors du Québec ?

☐ Non
☐ Oui. Si oui, [merci de préciser les garanties mises en place]:

Identité des sous-traitants ultérieurs de Talan

Préciser la forme sociale et l’adresse du (des) sous-traitant(s) que Talan utilise dans le cadre des Prestations. Préciser les services qui ont été confiés par Talan à chaque sous- traitant.

Exemple : le sous-traitant X assure l’Hébergement des données, le sous- traitant Y assure le service d’assistance/support, etc.

[A COMPLETER : merci de préciser les sous-traitants ultérieurs qui interviendront pour le compte du Sous-Traitant]

Y a-t-il des sous-traitants ultérieurs (sous-traitants de Talan) ?

☐ Non.

☐ Oui. Si oui, merci de compléter le tableau ci-dessous :

Dénomination sociale	Prestations sous-traitées	Coordonnées	Pays

Durée des opérations de Traitement

Merci de cocher la case correspondante :

☐ La durée du Traitement correspond à la durée des Services
☐ Autre [merci de préciser]

Dans le cas où Talan serait tenu de procéder à un transfert de Renseignements vers un pays tiers ou à une organisation internationale, en vertu de la législation applicable, il devra en informer le Responsable du Traitement avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

Dans l’hypothèse où la nature des Renseignements Personnels et les catégories de personnes concernées par le Traitement viendraient à évoluer, le Client devra obtenir l’accord exprès de Talan avant que ce dernier ne procède au Traitement.

4. Obligations relatives à la protection des renseignements personnels

4.1 Obligations communes

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable en matière de Traitement de Renseignements Personnels à la date de signature de l’Entente.

Dans la mesure où les dispositions de la loi précitée et des autres textes légaux ou réglementaires, ou encore des recommandations de la Commission d’Accès à l’Information le prescrivent, les parties examinent les mesures techniques ou de sécurité requises pour les Traitements, Fichiers et Renseignements. Chaque partie sera tenue pour responsable, le cas échéant, du non-respect des mesures techniques ou de sécurité qui lui incombent.

Les parties désignent en tout état de cause un interlocuteur privilégié qui les représente dans le cadre des Services et qui est associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des Renseignements Personnels. Chacune des parties communiquera à l’autre partie le nom et les coordonnées de son gestionnaire de renseignements personnels (ci-après « RPRP »), si elle en a désigné un conformément à la réglementation applicable.

4.2 Obligations du Client

En tant que Responsable de Traitement, le Client garantit à Talan qu’il a procédé à l’ensemble des obligations qui lui incombent, notamment à l’inscription des Traitements dans son inventaire/registre de ses Fichiers de Renseignements Personnels, et qu’il a informé les personnes concernées de l’usage qui est fait de ces Renseignements. Par conséquent, le Client demeure seul responsable des Traitements dont il a déterminé la Finalité et les moyens mis en œuvre.

Si la nature du Traitement le requiert, le Client procèdera, avec en cas de besoin de l’assistance de Talan, aux évaluations des facteurs d’impact relatifs à la vie privée et, le cas échéant, lui en transmettra les conclusions.

Par ailleurs, le Client est seul responsable de la qualité, de la licéité et de la pertinence des Renseignements Personnels qu’il transmet à Talan aux fins de l’exécution de toute Offre de services.

Il s’engage à veiller, au préalable et pendant toute la durée du Traitement, au respect par Talan, en sa qualité de Sous-traitant, de ses obligations en matière de Renseignements Personnels, et à superviser le Traitement, y compris en réalisant les audits définis ci-après.

4.3 Obligations de Talan en sa qualité de Sous-traitant

Talan s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées et conformes à l’état des connaissances, au contexte, aux Finalités du Traitement et aux risques, pour préserver la sécurité, la disponibilité, la confidentialité et l’intégrité des Renseignements Personnels, notamment contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés.

En conséquence, sur demande écrite du Client à cet effet, Talan communiquera au Client l’ensemble des mesures prises pour garantir la sécurité des Renseignements Personnels et décrira les conditions dans lesquelles les mesures de sécurité sont mises en œuvre, et notamment selon les besoins :

La Pseudonymisation et le chiffrement des Renseignements Personnels ;
Les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;
Les moyens permettant de rétablir la disponibilité des Renseignements Personnels et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
Les moyens permettant de garantir la traçabilité de toutes les opérations menées sur les Renseignements ou permettant d’avoir un accès direct ou indirect à ces derniers ;
Les moyens permettant de détecter une violation ou faille exposant des Renseignements Personnels et d’en informer le Client ;
Les moyens permettant de garantir l’exercice des droits des individus ;
Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement ;
Toutes autres mesures appropriées.

En tout état cause, le Client, en sa qualité de Responsable de Traitement, apprécie si ces mesures présentent le niveau de sécurité approprié et adapté au risque pour :

Garantir la confidentialité des Renseignements Personnels traités dans le cadre des Services et, à ce titre, veiller à ce que les personnes autorisées à traiter les Renseignements Personnels en vertu de l’Entente :
- S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
- Reçoivent la formation nécessaire en matière de protection de Renseignements Personnels.
Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Renseignements dès la conception et de protection des Renseignements par défaut.
Ne pas conserver les Renseignements Personnels au-delà de la durée de conservation fixée en concertation avec le Client au regard des Finalités pour lesquelles ils ont été collectés, et en tout état de cause, à ne pas les conserver après la fin de l’Entente.
Effectuer les purges d’archivage ou anonymisation nécessaires, conformément aux obligations légales et réglementaires et/ou aux instructions du Client, en fonction de la nature des Renseignements Personnels et de la Finalité du Traitement.

4.4 Tenue d’un inventaire/registre

Talan tiendra par écrit un inventaire/registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Client comprenant :

Le nom et les coordonnées des éventuels Sous-traitants ultérieurs autorisés dans les conditions prévues à l’article 5 ci-après et, le cas échéant, du représentant à la protection des renseignements personnels ;
Les catégories de Traitements effectués pour le compte du Client ;
Une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- De la pseudonymisation et du chiffrement des Renseignements Personnels ;
- Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;
- Des moyens permettant de rétablir la disponibilité des Renseignements Personnels et l'accès à ceux-ci dans des délais appropriés en cas d'incident physique ou technique ;
Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

Le Client s’engage à fournir à Talan toutes les informations utiles à la bonne tenue de ce registre.

4.5 Audits

Le Client se réserve la possibilité de procéder une fois par année au cours de la durée de l’Entente, sur préavis écrit de trente (30) jours et à ses propres frais, à des audits techniques de tout ou partie des Services et à toute vérification qui lui paraîtrait utile pour constater le respect des obligations précitées.

Cet audit peut être effectué, moyennant, sauf cas d’urgence et notamment de suspicion de faille, le respect d’un préavis écrit d’un mois précisant le périmètre de l’audit. Cet audit pourra être effectué soit par une structure d’audit interne du Client, soit par un cabinet tiers indépendant soumis à un engagement de confidentialité et non concurrent direct de Talan. Les conditions de réalisation de l’audit (règles de confidentialité, horaires et conditions des interventions, délais, tarifs de l’intervention de Talan, prise en charge des frais afférents) seront préalablement définies dans un accord signé par toutes les parties impliquées.

Talan met à la disposition du Client, ou des auditeurs, la documentation nécessaire aux besoins de l’audit, à l’exception de celle relevant du savoir-faire, du secret des affaires de Talan ainsi que celle couverte par des accords de confidentialité. Tous les documents, informations ou données, quel qu’en soit le support, confiés par Talan au Client ou aux auditeurs, seront considérés et traités comme confidentiels conformément à l’article « Confidentialité » de l’Entente. Les données contenues dans ces documents et supports sont strictement couvertes par le secret professionnel, de même que toutes les données dont le Client ou les auditeurs prennent connaissance à l’occasion de l’exécution de la présente Entente.

5. Sous-traitance

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après « le sous-traitant ultérieur ») pour mener des activités de Traitement spécifiques. Dans ce cas, il informe le Responsable de Traitement préalablement et par écrit de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates de l’Entente de sous-traitance. Le Responsable de Traitement dispose d’un délai maximum de cinq (5) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ultérieure ne peut être effectuée que si le Responsable de Traitement n’a pas émis d’objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations de la présente Entente pour le compte et selon les instructions du Responsable de Traitement. Il appartient au Sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences légales et réglementaires en matière de protection des Renseignements Personnels. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des Renseignements, le Sous-traitant initial demeure pleinement responsable devant le Responsable de Traitement de l’exécution par le sous-traitant ultérieur de ses obligations.

6. Droits et information des personnes concernées en cas de collecte directe par le sous-traitant

Dans l’éventualité où, pour les besoins des Services, Talan serait amené à collecter directement des Renseignements Personnels pour le compte du Client, il lui appartiendrait au moment de la collecte de ces Renseignements, de fournir aux personnes concernées par les opérations de Traitement, l’information relative aux Traitements qu’il réalise pour le compte du Client. La formulation et le format de l’information doit être convenue en concertation avec le Client avant la collecte des Renseignements Personnels.

Si des personnes concernées exerçaient leurs droits (droit à l’information, droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, etc.) directement auprès de Talan, à propos de Renseignements Personnels confiés par le Client ou traités pour le compte de ce dernier, Talan devra adresser ces demandes dès réception par courrier électronique à l’adresse indiquée par le Client pour ses communications et Talan devra aider le Client à s’acquitter de son obligation de donner suite à ces demandes.

Talan devra fournir au Client toute information utile concernant les Destinataires des Renseignements Personnels, afin que le Client soit en mesure d’informer les personnes concernées par le Traitement et de répondre à leurs demandes conformément à la réglementation en vigueur.

7. Violation des données

En cas de violation de Renseignements Personnels présentant un risque sérieux de préjudice, et conformément à la réglementation applicable en matière de Renseignements Personnels, Talan notifiera au Client la violation en question dans les meilleurs délais après en avoir pris connaissance, et par le courriel, à l’adresse indiquée par le Client pour ses communications.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, et de communiquer à la personne concernée la violation des données la concernant. A minima, cette notification comprendra :

La nature de la violation de Renseignements Personnels y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Renseignements Personnels concernés ;
Le nom et les coordonnées du RPRP ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
Les conséquences probables de la violation de Renseignements Personnels ;
Les mesures prises, ou que le Responsable de Traitement propose de prendre, pour remédier à la violation de Renseignements Personnels, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives de la violation de Renseignements Personnels.

En tout état de cause, Talan ne traitera pas directement des demandes de plaintes engagées par les personnes concernées.

Woman at computer, filling out form

8. Assistance

Eu égard aux obligations qui incombent au Responsable de Traitement en vertu de la réglementation applicable en matière de protection des Renseignements Personnels, pour assurer la conformité des Traitements, Talan s’engage :

À aider via des mesures techniques et organisationnelles appropriées, le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes des personnes concernées concernant l’exercice de leurs droits ;
À fournir au Client toutes informations et alertes utiles dans les plus brefs délais pour lui permettre de respecter ses obligations en matière de Traitement des Renseignements Personnels.

Par ailleurs, Talan s’engage à aider le Client pour la réalisation le cas échéant des EFVP dont celui-ci peut avoir la charge en vertu de la réglementation applicable en matière de Renseignements Personnels.

9. Fin du contrat

A l’expiration de toute Offre de services, pour quelque cause que ce soit, Talan devra sans délai et aux choix du Client :

Soit détruire les Renseignements Personnels et toute copie quel qu’en soit le support ;
Soit restituer les Renseignements dans le même format que celui utilisé par le Client pour communiquer les Renseignements Personnels à Talan ou, à défaut, dans un format structuré et couramment utilisé, et en détruire les copies existantes quel qu’en soit le support, sauf à ce que Talan soit tenu de conserver les Renseignements Personnels en application de la loi applicable, ce dont il s’engage à informer le Client.

Il appartiendra à Talan de s’assurer que tous Renseignements ou copies de Renseignements Personnels qui auraient pu être transmises à un Tiers soient également détruites.

En tout état de cause, Talan devra apporter la preuve de ces destructions.

Les dispositions de la présente Annexe « Protection des Renseignements Personnels » continueront de produire leurs effets et s’imposeront à Talan tant que Talan ou ses éventuels sous-traitants ultérieurs conserveront des Renseignements Personnels.