Renseignements juridiques

FAQ sur la confidentialité et la sécurité

Renseignements juridiques
/
FAQ sur la confidentialité et la sécurité

Avetta respecte la confidentialité de ses clients et s’engage à protéger leurs données.

La présente FAQ fournit de l’information sur la relation entre Avetta, les clients d’Avetta (chacun, un « client ») et les fournisseurs participant au réseau Avetta (chacun un « fournisseur ») sur le plan de la confidentialité, et répond aux questions fréquentes des fournisseurs sur la façon dont Avetta traite et protège leurs données. Cette FAQ est fournie à titre informatif uniquement. Elle ne doit pas être considérée comme un remplacement de conseils juridiques. Elle ne sera pas incorporée dans des contrats avec Avetta et n’en fera pas partie. Les termes utilisés dans la présente page, mais non définis dans les présentes ont le sens énoncé dans le contrat de service de l’utilisateur final (« EUSA »).

1. Comment un fournisseur peut-il rejoindre le réseau Avetta?

Il existe deux méthodes courantes pour les fournisseurs qui souhaitent se joindre au réseau Avetta :

  • Le client identifie le fournisseur avec lequel il souhaite interagir et qu’il souhaite gérer au moyen de la plateforme SaaS Avetta (la « plateforme Avetta »). Par la suite, Avetta, conjointement avec le client, envoie une invitation au fournisseur pour lui demander de rejoindre le réseau Avetta. Ce processus facilite les situations où le client demande d’accéder à certains documents ou à d’autres données sur le fournisseur, ces données étant par la suite fournies au fournisseur par Avetta. Avetta rend ensuite ces données accessibles au client par la plateforme Avetta. Par conséquent, les données du fournisseur sont recueillies par Avetta pour répondre à une demande de ces données par un client avec qui le fournisseur fait affaire.
  • Un fournisseur peut également rejoindre le réseau Avetta de son propre gré, puis entrer en contact avec des clients du réseau Avetta et fournir les documents et les autres données conformément aux exigences des clients connectés.

2. Quelles données Avetta recueille-t-elle auprès des fournisseurs par la plateforme Avetta?

De manière générale, Avetta recueille deux types de données auprès des fournisseurs : Données à accès général et données à accès limité.

Les « données à accès général » incluent le nom commercial d’un fournisseur, la description de ses services, son adresse commerciale, les coordonnées de son entreprise et d’autres renseignements commerciaux généraux.

Les « données à accès limité » incluent les données d’un fournisseur contenues dans les formulaires de préqualification (FPA), les renseignements précis des assurances, les statistiques sur la sécurité, comme le taux de modification de l’expérience (EMR) et les données OSHA, toutes les données recueillies pendant un audit (c’est-à-dire l’évaluation objective par Avetta des procédures et des pratiques d’un fournisseur dans le but d’évaluer la conformité d’un fournisseur avec les normes réglementaires pertinentes, les pratiques exemplaires du secteur ou d’autres critères ou paramètres déterminés par les clients connectés) ainsi que les données des travailleurs si le fournisseur utilise nos produits pour les travailleurs. La portée précise des données à accès limité qu’Avetta recueille auprès d’un fournisseur dépend des services Avetta auxquels le fournisseur est abonné ainsi que des exigences définies par les clients connectés du fournisseur sur la plateforme Avetta.

3. Qui peut accéder aux données des fournisseurs dans la plateforme Avetta et pourquoi?

Les données à accès général ne sont pas accessibles au public; elles sont protégées par un mot de passe et partagées uniquement avec les clients et fournisseurs faisant partie du réseau Avetta et, dans certaines circonstances, avec des clients potentiels. L’affichage des données à accès général des fournisseurs est un avantage ou une fonctionnalité que nous offrons aux fournisseurs, pour que les autres clients puissent rechercher les fournisseurs dans le réseau Avetta pour des travaux potentiels.

Les données à accès limité sont accessibles seulement par les clients connectés d’un fournisseur (et les fournisseurs principaux si le fournisseur est un sous-traitant). Les données à accès limité sont conservées au profit des clients connectées (par exemple, pour confirmer que le fournisseur respecte les exigences de travail avec le client ou qu’un travailleur en particulier peut accéder au chantier du client). Les données à accès limité peuvent être catégorisées dans deux groupes : i) les données sur la conformité standard, accessibles par tous les clients connectés (et les fournisseurs principaux, le cas échéant), et ii) les données sur la conformité spécifique aux clients, accessibles exclusivement par le client définissant les exigences précises (ainsi que les fournisseurs principaux pour ce client, le cas échéant). Il est important de noter que les données des travailleurs soumises par l’intermédiaire de nos produits pour travailleurs entrent dans la catégorie des données sur la conformité spécifique aux clients, et l’accès à ces données est limité au client qui définit les exigences d’accès au site.

4. Quelles données personnelles Avetta recueille-t-elle auprès des fournisseurs?

De manière générale, les données à accès général n’incluent pas de données personnelles, à moins que les coordonnées commerciales fournies par le fournisseur ne contiennent le nom ou l’adresse de courriel d’une personne.

Les données à accès limité peuvent contenir des données personnelles, mais les types précis de données personnelles inclus dans les données à accès limité dépendent des services Avetta auxquels le fournisseur est abonné et des exigences définies par les clients connectés du fournisseur.

Veuillez consulter l’annexe B de notre présent addenda relatif au traitement des données (« ATD ») pour les catégories de données personnelles, les types de personnes concernées, les fins du traitement et les autres détails du traitement qu’Avetta effectuera relativement à la prestation des services conformément à l’EUSA.

5. À quelles fins les données sont-elles traitées?

Les fins du traitement de données par Avetta sont les suivantes :

  • Pour pouvoir exécuter les services Avetta.
  • Les données personnelles sur les travailleurs sont conservées dans la plateforme Avetta au profit des clients connectés (par exemple, pour confirmer qu’un travailleur en particulier peut accéder au chantier du client).
  • Les données agrégées et anonymisées sont utilisées par Avetta pour ce qui suit :
    • Développement de produit
    • Recherche
    • Analyse de marché
  • Les coordonnées commerciales sont utilisées par Avetta pour ce qui suit :
    • Marketing direct (par exemple, pour l’envoi de bulletins et de courriels promotionnels)
    • Prospection
    • Soutien à la clientèle
  • Pour les autres intérêts légitimes d’Avetta : consultez l’article 5 de la politique de confidentialité d’Avetta.

6. Quel est le rôle d’Avetta en vertu du RGPD lors du traitement des données personnelles des fournisseurs?

Avetta agit en tant que responsable du traitement dans la mesure où le traitement des données personnelles est effectué au nom du fournisseur et sous sa direction, comme dans le cas du traitement des données personnelles du fournisseur contenues dans les FPA, des ensembles de données OSHA, des ensembles de données collectées lors d’un audit, des données des travailleurs contenues dans le ou les produits destinés aux travailleurs, ou d’autres données soumises à Avetta en fonction des exigences déterminées par les clients connectés au fournisseur.

Avetta agit en tant que responsable du traitement dans la mesure où le traitement des données personnelles est effectué à des fins propres à Avetta, en lien avec la fourniture des services ou pour ses intérêts commerciaux légitimes, tels que la facturation, la gestion des comptes, l’assistance technique, la prévention de la fraude, ainsi que les ventes et le marketing (par exemple, l’envoi de bulletins d’information aux administrateurs des fournisseurs).

7. Comment Avetta protège-t-elle les données des fournisseurs?

Avetta est liée par les dispositions en matière de confidentialité contenues à l’article 13 de l’EUSA et s’engage à traiter et à protéger les données personnelles des fournisseurs conformément à l’EUSA.

Avetta applique des contrôles techniques, physiques, administratifs et organisationnels robustes, conçus pour maintenir la confidentialité, la sécurité et l’intégrité des renseignements confidentiels, y compris les données personnelles, qui lui sont confiés et a mis en place des systèmes et des procédures pour détecter et prévenir les attaques, les intrusions et les défaillances du système ainsi qu’y répondre, et pour tester et surveiller régulièrement l’efficacité de ces systèmes et procédures, y compris, mais sans s’y limiter, au moyen d’analyses de vulnérabilité et de tests d’intrusion. Avetta possède les certifications ISO/IEC 27001:2013 (normes pour les systèmes de gestion de la sécurité de l’information [SGSI]), 27701:2019 (Système de gestion de l’information sur la confidentialité [SGIC] sous forme d’ajout à la norme ISO/IEC 27001), ISO/IEC 27017:2015 (normes pour les contrôles de sécurité applicables à la prestation et à l’utilisation de services infonuagiques), ISO/IEC 27018:2019 (normes pour la protection des renseignements permettant d’identifier une personne dans les nuages publics) et ISO/IEC 22301:2019 (normes pour les systèmes de gestion de la continuité des affaires), et fait l’objet d’audits indépendants SOC 2 de type II chaque année.

Pour obtenir des renseignements supplémentaires sur les mesures organisationnelles et techniques d’Avetta visant à protéger les données des clients, veuillez consulter l’annexe II de l’ATD.

8. À qui Avetta peut-elle divulguer les données des fournisseurs?

De manière générale, Avetta peut divulguer les données d’un fournisseur :

  • aux sociétés affiliées du groupe et à ses fournisseurs de services et fournisseurs (comme AWS pour les services d’hébergement infonuagiques, les produits de tiers intégrés dans la plateforme Avetta, Salesforce pour CRM, les fournisseurs de services de sécurité réseau et les autres outils utilisés dans le cadre de ses activités);
  • comme expliqué à la troisième question, les utilisateurs des services Avetta dans le cadre de l’offre de produits (données à accès général accessibles aux utilisateurs dans la plateforme Avetta et données à accès limité partagées seulement avec les clients connectés du fournisseur et les fournisseurs principaux, le cas échéant); et
  • autres destinataires, y compris les tiers liés aux activités de fusions-acquisitions et les parties pour lesquelles la divulgation n’a pas le « consentement » comme fondement juridique (par exemple, Avetta peut être appelée à divulguer les données d’un fournisseur à des organismes d’application de la loi).

Veuillez consulter l’article 6 de notre politique de confidentialité pour en savoir plus.

9. Avetta vend-elle les données des fournisseurs?

Avetta ne vend pas les données que les fournisseurs lui ont soumises dans le cadre de leur utilisation de la plateforme Avetta.

Cependant, nous pouvons utiliser les témoins et des technologies semblables sur notre site Web général (et non la plateforme Avetta) à des fins publicitaires, qui peuvent être considérées comme la « vente » ou le « partage » des données personnelles d’un visiteur de site Web en vertu de la California Privacy Rights Act de 2018. Néanmoins, nous ne participons à aucun type de « vente » de données personnelles contre des contreparties monétaires.

10. Certains services Avetta permettent aux clients d’accéder à AskAvaMC, un outil alimenté par l’IA conçu pour générer des suggestions de sécurité pour les chantiers. Est-ce qu’Avetta utilise le contenu des clients pour former AskAva, et comment cet outil traite-t-il les données personnelles?

Avetta n’utilise pas de contenu des clients pour former AskAva. AskAva est alimentée par OpenAI. Comme les suggestions sont générées par l’IA, elles peuvent contenir des erreurs ou être incomplètes.

L’utilisation appropriée d’AskAva ne nécessite pas que les utilisateurs saisissent de données personnelles. Nous conseillons aux utilisateurs de ne pas saisir de données personnelles, car elles ne sont pas nécessaires pour générer des suggestions de sécurité pour les chantiers. Les données personnelles seront seulement partagées avec OpenAI à des fins de traitement si un utilisateur fournit intentionnellement ces données.

L’utilisation d’AskAva est entièrement facultative, et si vous ne souhaitez pas qu’OpenAI traite vos données, vous ne devez pas utiliser AskAva. Pour en savoir plus sur la façon dont OpenAI traite les données, veuillez consulter la documentation d’OpenAI concernant son API.

11. Où Avetta stocke-t-elle les données des fournisseurs?

Le tableau ci-dessous présente les emplacements des serveurs où Avetta traite et conserve les données pour les services SaaS. De manière générale, Avetta sélectionne les serveurs dans les pays où les lois locales offrent un niveau de protection supérieur des droits en matière de confidentialité des particuliers.

Produit Avetta Emplacement du client (emplacement d’hébergement)
Les produits de conformité du fournisseur, y compris, mais sans s’y limiter, Avetta ConnectMD Health & Safety; ESG & Sustainability; Business Risk; et Avetta Transportation Safety – Motor Carrier Statistics Enterprise
  • Mondial (Allemagne)
  • Reprise après sinistre (Irlande)
Gestion des travailleurs
  • APAC (Australie)
  • Mondial, sauf pour APAC (Allemagne)
Pegasus Workforce Management
  • Australie (Australie)
  • États-Unis (États-Unis)
  • Mondial, sauf pour l’Australie et les États-Unis (Royaume-Uni)

Veuillez noter que nos données de non-production sont stockées au Canada.

12. Les données personnelles seront-elles transférées en dehors des territoires où vivent les personnes concernées?

Le siège social d’Avetta se situe aux États-Unis, et Avetta conclut des contrats avec divers fournisseurs tiers (responsables ou sous-responsables) pour la prestation des services. Les données personnelles sont susceptibles d’être transférées en dehors des territoires où vivent les personnes concernées.

13. Quels sont les mécanismes de transfert transfrontaliers qu’Avetta utilise pour transférer les données?

Lorsque nous transférerons vos données personnelles à l’extérieur de l’EEE ou du R.-U. :

i) nous veillerons à ce que le pays dans lequel les données personnelles seront traitées ait été jugé « adéquat » par la Commission européenne ou le Royaume-Uni, le cas échéant;

ii) nous intégrerons aux contrats les clauses contractuelles standard approuvées par la Commission européenne (le cas échéant) pour le transfert de données personnelles de l’EEE ou du R.-U. en plus de l’International Data Transfer Addendum to the EU Commission Standard Contractual Clauses pour le transfert de données personnelles du Royaume-Uni; ou

iii) nous aurons recours à d’autres mécanismes ou conditions conformes à la loi pour ces transferts de données.

Pour les transferts de données aux États-Unis, Avetta a choisi l’autocertification en vertu du EU-US Data Privacy Framework (le « EU-US DPF »), du UK Extension to the EU-US Data Privacy Framework (le « UK Extension ») et du Swiss-US Data Privacy Framework (le « Swiss-US DPF », avec le « EU-US DPF » et le « UK Extension », le cadre de confidentialité des données ou le « CCD ») gérés par le département du Commerce des États-Unis. La Commission européenne a délivré une décision d’adéquation pour l’EU-US DPF, confirmant que les États-Unis offrent un niveau de protection adéquat, comparable à celui de l’Union européenne, pour les données personnelles transférées de l’UE à des entreprises américaines en vertu du cadre. De même, les autorités du R.-U. ont déterminé que l’UK Extension n’affaiblit pas le niveau de protection des données pour les personnes concernées du R.-U. lorsque leurs données sont transférées aux États-Unis et ont donc établi un pont de données entre le R.-U. et les États-Unis dans le cadre de l’UK Extension. En tant que participante du programme du CCD, Avetta s’engage à respecter les DPF Principles concernant l’avis, le choix, la responsabilité du transfert ultérieur, la sécurité, l’intégrité des données et la limite des fins, l’accès ainsi que le recours, l’application et la responsabilité dans le cadre du traitement de données personnelles. Pour en savoir plus, veuillez consulter notre avis relatif au cadre relatif à la confidentialité des données, qui se trouve ici.

Si les lois sur la protection des données applicables prescrivent des exigences supplémentaires ou modifient les mécanismes existants pour les transferts de données transfrontaliers, nous prendrons des mesures appropriées, y compris en travaillant avec nos clients, pour appliquer les exigences ou mettre à jour les mécanismes de transfert afin de permettre le transfert légitime des données personnelles des personnes concernées en dehors de leur pays de résidence.

Pour en savoir plus, veuillez consulter l’article 7 de l’ATD.

14. Comment Avetta respecte-t-elle le RGPD et les autres lois en matière de protection des données applicables?

En tant qu’organisation exerçant ses activités dans plusieurs territoires, Avetta est assujettie à plusieurs lois en matière de protection des données (comme le RGPD, le RGPD du R.-U., la CCPA, la LPRPDE et la Privacy Act 1988 de l’Australie). Notre programme en matière de confidentialité a été conçu sur des fondations basées sur les exigences du RGPD. Pour répondre aux besoins mondiaux en matière de conformité, nous avons adopté l’approche suivante : nous identifions d’abord les exigences communes aux lois applicables sur la protection des données, repérons les lacunes et mettons en place des solutions pour répondre à ces exigences communes. Ensuite, nous analysons les variations et évaluons s’il est nécessaire de personnaliser le programme pour répondre aux exigences locales ou de les appliquer de manière uniforme dans tous les territoires.

De manière générale, nous adhérons aux principes de la confidentialité des données qui exigent que les données personnelles :

  • soient traitées légalement, équitablement et de manière transparente (légalité, équité et transparence);
  • soient recueillies seulement aux fins spécifiées, explicites et légitimes (limite des fins);
  • soient adéquates, pertinentes et limitées à ce qui est nécessaire relativement aux fins pour lesquelles elles sont traitées (minimisation des données);
  • soient exactes et, lorsque nécessaires, tenues à jour dans l’ensemble du cycle de vie des données personnelles (exactitude);
  • ne soient pas conservées dans un format permettant d’identifier les personnes concernées pendant plus longtemps que nécessaire aux fins pour lesquelles les données sont traitées (limite de conservation);
  • soient traitées de manière à assurer leur sécurité à l’aide de mesures techniques et organisationnelles appropriées pour les protéger contre un traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels (sécurité, intégrité et confidentialité);
  • ne soient pas transférées dans un autre pays sans protections appropriées (limite du transfert); et
  • soient mises à la disposition des personnes concernées, qui doivent pouvoir exercer certains droits relativement à leurs données personnelles (droits et demandes des personnes concernées).

15. Quelles sont les conditions régissant la relation entre Avetta et les fournisseurs?

La relation contractuelle entre Avetta et un fournisseur est régie par :

Pour en savoir plus sur le programme de confidentialité et de sécurité d’Avetta, veuillez accéder à notre page de renseignements juridiques. Avetta évalue continuellement l’efficacité de son programme de confidentialité et de sécurité, et s’engage à surveiller et à appliquer les changements appropriés et nécessaires en raison des développements juridiques, du marché ou des pratiques.