1.1 Définitions. Les termes suivant commençant par une majuscule ont le sens qui leur est attribué ci-après.

1.1.1 « Membre du même groupe » désigne une entité qui contrôle une entité, qui est contrôlée par une autre entité ou qui est sous un contrôle commun avec une autre entité, selon le contexte. Aux fins de la présente définition, les termes « contrôler » et « contrôle » désignent : (i) la propriété directe ou véritable de cinquante pour cent (50 %) ou plus des titres avec droit de vote de l’entité; ou (ii) la capacité d’élire une majorité des administrateurs de l’entité.

1.1.2 « Contrat » désigne un contrat écrit qui fait référence à la présente Annexe.

1.1.3 « Annexe » désigne le présent document relatif aux obligations en matière de sécurité, tel qu’il est mis à jour de temps à autre conformément aux présentes.

1.1.4 « Anonymisation » désigne la modification irréversible et permanente des Données personnelles, conformément aux meilleures pratiques généralement reconnues, afin de garantir qu’aucune personne ne puisse être identifiée à partir des informations, directement ou indirectement, par quelque moyen que ce soit.

1.1.5 « Lois applicables » désigne l’ensemble des lois, des règles, des règlements, des règlements administratifs, des ordonnances, des arrêtés, des protocoles, des codes, des lignes directrices, des politiques, des avis, des directives ou des jugements, des décisions, des décrets, des traités, des instructions ou des autres exigences ou lignes directrices judiciaires, arbitraux, administratifs ou ministériels nationaux ou étrangers applicables, tels qu’ils sont rendus ou publiés par chaque Autorité gouvernementale ayant compétence à l’égard des parties ou des Livrables ou tels qu’ils sont par ailleurs dûment adoptés et exécutoires en droit, en common law ou en equity. Il est entendu que le terme « Lois applicables » comprend les abrogations, les remplacements et les modifications de ce qui précède, le cas échéant, effectués par une Autorité gouvernementale.

1.1.6 « Intelligence artificielle » ou « IA » ou « système d’IA » désigne un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à des activités humaines en utilisant un algorithme génétique, un réseau neuronal, l’apprentissage automatique ou une autre technique afin de générer du contenu ou de prendre des décisions ou de faire des recommandations ou des prédictions.

1.1.7 « Bell » désigne la Société Bell, y compris ses successeurs et ayants droit autorisés, qui a conclu le Contrat.

1.1.8 « Société Bell » désigne Bell Canada ou un Membre du même groupe qu’elle, selon le contexte; et « Sociétés Bell » désigne Bell et tous les Membres du même groupe qu’elle.

1.1.9 « Données de Bell » désigne toutes les informations et données qui ont été mises à la disposition du Fournisseur ou de son Personnel par les Sociétés Bell et leur Personnel dans le cadre du Contrat et comprend les Renseignements confidentiels des Sociétés Bell.

1.1.10 « Renseignements confidentiels » désigne les renseignements (y compris les Données personnelles et les Données dérivées), sous forme tangible ou intangible, qui sont directement ou indirectement communiqués par une partie ou pour son compte (la « Partie émettrice ») à l’autre partie, aux Membres du même groupe qu’elle ou à son Personnel (la « Partie réceptrice ») en rapport avec la présente Annexe ou le Contrat et : (i) qui sont désignés ou traités comme des renseignements confidentiels par la Partie émettrice; (ii) qu’une personne exerçant un jugement commercial raisonnable considérerait comme des renseignements confidentiels et (iii) qui comprennent l’existence de la présente Annexe et du Contrat et le fait que des discussions ont eu lieu ou ont lieu entre les parties. Les Renseignements confidentiels ne comprennent pas les renseignements dont la Partie réceptrice peut prouver : (a) qu’elle en avait légitimement connaissance avant que la Partie émettrice les lui communique; (b) qu’ils sont ou deviennent généralement connus du public autrement qu’en conséquence d’une violation de la présente Annexe ou du Contrat par la Partie réceptrice; (c) qu’ils ont été élaborés de manière indépendante par la Partie réceptrice ou (d) qu’ils sont ou deviennent accessibles à la Partie réceptrice à titre non confidentiel auprès d’une autre source que la Partie émettrice, à la condition que cette source ne viole pas ses obligations de confidentialité à l’égard de la Partie émettrice.

1.1.11 « Dépersonnalisation » désigne la modification des Données personnelles de manière à ce qu’une personne ne puisse pas être directement identifiée à partir de ces données, bien qu’il subsiste un risque d’identification de la personne.

1.1.12 « Livrable » désigne ce qui suit :

1.1.12.1 « Produits » désigne les produits et l’équipement tangibles fournis par le Fournisseur ou en son nom en vertu du Contrat;

1.1.12.2 « Services » désigne les services fournis par le Fournisseur ou en son nom en vertu du Contrat, lesquels peuvent inclure : (i) des services d’infrastructure ou de logiciels hébergés; (ii) des services-conseils ou des services professionnels et (iii) des services d’impartition et

1.1.12.3 « Logiciels » désigne les logiciels fournis par le Fournisseur ou en son nom en vertu du Contrat et qui : (i) sont concédés aux Sociétés Bell pour leur Usage; (ii) peuvent être revendus par les Sociétés Bell à leurs clients pour leur Usage ou (iii) sont développés ou personnalisés pour les Sociétés Bell; Aux fins du Contrat, le terme « Usage » désigne tout acte qui, s’il était commis sans l’autorisation du propriétaire des Droits de propriété intellectuelle, constituerait une atteinte à ces Droits de propriété intellectuelle.

1.1.13 « Données dérivées » désigne toutes les données dérivées des Données de Bell se rapportant à : (i) la prestation des Services et des Services hébergés; et (ii) l’utilisation par les Sociétés Bell des Produits, des Logiciels et des Services hébergés.

1.1.14 « Date de prise d’effet » désigne la date à laquelle le Contrat est entré en vigueur.

1.1.15 « Autorité gouvernementale » comprend toute autorité gouvernementale, de réglementation, judiciaire ou administrative nationale ou étrangère fédérale, provinciale, étatique, municipale, locale ou autre.

1.1.16 « Droits de propriété intellectuelle » désigne les droits qui sont ou peuvent être accordés ou reconnus à l’égard de brevets, de droits d’auteur, de droits moraux, de secrets commerciaux, de marques de commerce, de noms de domaine, de dessins industriels, de topographies de circuits intégrés et de droits de la personnalité, ainsi que toute autre disposition législative ou tout autre principe de common law ou de droit civil concernant la propriété intellectuelle, enregistrés ou non, y compris les droits relatifs à toute demande à l’égard de ce qui précède.

1.1.17 « Données personnelles » désigne les renseignements concernant une personne identifiée ou identifiable que les Sociétés Bell mettent à la disposition du Fournisseur, directement ou indirectement, en rapport avec la présente Annexe ou le Contrat. Les Données personnelles comprennent tout « renseignement personnel » au sens de l’article 2(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5), en sa version modifiée ou remplacée.

1.1.18 « Personnel » désigne les administrateurs, les dirigeants, les employés, les mandataires et les sous-traitants.

1.1.19 « Analyse de la composition du logiciel » ou « ACL » désigne un essai à effectuer sur tous les logiciels pour identifier les composants logiciels à code source ouvert et passer en revue ces composants dans le but de détecter toutes les vulnérabilités connues en matière de sécurité, y compris celles qui sont identifiées dans la base de données MITRE Common Vulnerabilities and Exposures (CVE) et dans les bulletins de vulnérabilités en matière de sécurité du logiciel NIST, dans leur version mise à jour à l’occasion.

1.1.20 « Nomenclature du logiciel » désigne un inventaire imbriqué complet de tous les composants du logiciel (y compris tous les composants logiciels à code source ouvert, outils, bibliothèques, modules et autres actifs de tiers intégrés) et des éléments nécessaires qui composent le logiciel.

1.1.21 « Fournisseur » désigne le fournisseur, y compris ses successeurs et ayants droit autorisés, qui a conclu le Contrat avec Bell et qui est tenu de se conformer à la présente Annexe.

1.1.22 « Données d’utilisation » désigne les données relatives à la performance et à l’utilisation des Produits, des Logiciels et des Services hébergés, lesquelles données : (i) ne contiennent aucune Donnée personnelle ni aucun Renseignement confidentiel des Sociétés Bell; et (ii) sont agrégées et anonymisées de sorte qu’elles ne peuvent pas être utilisées pour identifier les Sociétés Bell ou leurs clients et Personnel respectifs.

1.2 Interprétation. Le terme « y compris » signifie « y compris, sans s’y limiter », et « inclus(e) » et « inclut » seront interprétés comme « inclus(e)/inclut notamment », et les références à « et » ou à « ou » signifieront « et/ou ».

1.3 Incorporation; modifications. La présente Annexe est incorporée dans le Contrat et en fait partie intégrante. Bell peut mettre à jour la présente Annexe de temps à autre en publiant une version modifiée sur le présent site Web. Le Fournisseur est seul responsable de la vérification périodique des mises à jour du présent site Web. Toute modification de la présente Annexe entrera en vigueur trente (30) jours après sa publication.

1.4 Avis. Tous les avis requis en vertu de la présente Annexe doivent être formulés par écrit et envoyés à la personne-ressource compétente désignée dans le Contrat en fonction de l’objet de l’avis.

2.1 Personnes-ressources en matière de sécurité.

2.1.1 Personne-ressource principale. À la demande de Bell, le Fournisseur doit désigner une (1) personne chargée d’agir comme personne-ressource principale en matière de sécurité pour Bell (la « Personne-ressource ») et fournir ses coordonnées. La Personne-ressource doit répondre aux demandes d’aide, d’information et d’enquête de Bell ainsi qu’à toutes ses autres demandes concernant les obligations du Fournisseur en matière de sécurité prévues dans la présente Annexe ou dans le Contrat.

2.1.2 Personne-ressource secondaire. À la demande de Bell, le Fournisseur doit désigner au moins une (1) personne-ressource secondaire chargée d’exécuter les obligations du Fournisseur prévues à la section 2.1 (Personnes-ressources en matière de sécurité) dans l’éventualité où la Personne-ressource n’est pas disponible et fournir ses coordonnées. Les Personnes-ressources secondaires doivent collectivement avoir des compétences et des qualités semblables à celles de la Personne-ressource.

2.2 Frais. Sauf indication contraire dans la présente Annexe, le Fournisseur doit assumer entièrement les frais qu’il engage pour respecter la présente Annexe, y compris pour toute mesure corrective, et Bell ne remboursera pas au Fournisseur les frais que celui-ci, les Membres du même groupe que lui ou leur Personnel respectif engagent pour se conformer aux demandes de Bell aux termes de la présente Annexe.

2.3 Formation en sécurité, protection des renseignements personnels et conscience des risques. Le Fournisseur doit s’assurer que son Personnel suit et termine avec succès au moins un programme de sensibilisation à la sécurité axé sur les menaces courantes et émergentes, notamment en matière de cybersécurité, de protection de la vie privée et d’utilisation responsable de l’IA, par an.

2.4 Adhésion à un organisme de l’industrie. Le Fournisseur doit s’abonner et conserver son adhésion au Canadian Cyber Threat Exchange (échange canadien de cybermenaces ou CCTX) (https://cctx.ca/about-cctx/) ou à un autre organisme équivalent d’échange sur les menaces de l’industrie.

2.5 Pistes de vérification. Le Fournisseur doit conserver des pistes de vérification suivant les meilleures pratiques de l’industrie pour toutes les fonctions, les tâches et les obligations liées à la sécurité prévues dans le Contrat (y compris dans la présente Annexe), notamment pour tout environnement, système d’information ou réseau utilisé en rapport avec le Contrat.

2.6 Contrôle de l’accès au réseau. À la demande de Bell, le Fournisseur doit fournir sans délai une liste complète des adresses URL du site : (i) nécessaires à la mise en œuvre ou à l’utilisation des Livrables et (ii) auxquelles une Société Bell pourrait autrement avoir besoin d’accéder en lien avec les Livrables.

3.1 Signalement. Le Fournisseur doit aviser Bell par écrit de tout problème ou incident de sécurité, y compris : (i) une violation réelle ou présumée de ses obligations aux termes de la présente Annexe; (ii) un problème de sécurité et des vulnérabilités connues sur le plan de la sécurité qui touchent ses environnements ou qui nuisent par ailleurs à la sécurité, à l’intégrité ou à la disponibilité des Données de Bell ou des Actifs sensibles et (iii) un incident ayant trait à l’environnement, à la continuité des activités ou à la santé et sécurité. L’expression « Actifs sensibles » désigne les systèmes d’information, les réseaux ou les locaux des Sociétés Bell ou de leurs clients ainsi que les systèmes d’information, les réseaux ou les locaux du Fournisseur dans lesquels des Données de Bell peuvent être stockées.

3.2 Résolution. Le Fournisseur doit examiner et résoudre tout problème ou incident de sécurité réel ou présumé qu’il déclare aux termes de la présente Annexe en conformité avec : (i) les instructions raisonnables de Bell et (ii) les exigences relatives à l’atténuation des risques et à la gestion des incidents énoncés dans la présente Annexe.

3.3 Atténuation des risques. Le Fournisseur doit :

3.3.1 établir un plan de redressement officiel qui prévoit notamment l’analyse des causes fondamentales et l’élaboration et la mise en œuvre de mesures correctives pour tous les problèmes de sécurité et de conformité en matière de contrôle diligent dont le Fournisseur a connaissance;

3.3.2 fournir ce plan de redressement officiel, avant son adoption, à Bell afin que celle-ci l’approuve, agissant raisonnablement, étant entendu que Bell peut examiner ce plan, le mettre à l’essai et demander que des modalités et conditions supplémentaires en matière de sécurité et de contrôle diligent y soient ajoutées;

3.3.3 mettre en œuvre ce plan de redressement officiel une fois que celui-ci est approuvé;

3.3.4 remettre à Bell des rapports d’étape périodiques pendant les efforts de redressement et des explications détaillées sur les mesures correctives prises pour résoudre le problème ou l’incident à l’issue de ces efforts et

3.3.5 adopter et appliquer des politiques de gestion des incidents afin d’être en mesure : (i) de détecter, de maîtriser et de corriger les atteintes à la sécurité touchant les systèmes d’information et les réseaux du Fournisseur et les renseignements stockés dans ceux-ci; (ii) d’identifier les causes fondamentales; (iii) de mettre en œuvre des mesures correctives, d’en assurer le suivi et d’en faire rapport et (iv) de respecter ses obligations prévues dans la présente section 3 (Gestion des incidents).

3.4 Violation. Il est entendu que l’omission de résoudre un problème ou un incident de sécurité conformément à la section 3.2 (Résolution) de la présente Annexe sera considérée comme une violation importante du Contrat.

3.5 Enquêtes. À la demande écrite de Bell et relativement à tout incident de sécurité détecté conformément à la présente section 3 (Gestion des incidents) ou par suite d’un examen effectué ou d’un rapport remis conformément à la section 6 (Examen de la conformité), le Fournisseur doit mettre ses systèmes d’information et ses réseaux à la disposition de Bell afin que celle-ci mène une enquête sur l’incident de sécurité. En rapport avec de telles enquêtes, le Fournisseur doit faire ce qui suit :

3.5.1 Soutien et collaboration. Mettre à la disposition de Bell les services d’un tiers indépendant reconnu afin qu’il lui apporte le soutien et la collaboration que Bell juge raisonnablement nécessaires pendant l’enquête sur la situation, l’événement ou l’incident lié à la sécurité;

3.5.2 Entrevues. Permettre au Personnel de Bell d’assister et de participer à toute entrevue d’enquête que Bell juge raisonnablement nécessaire;

3.5.3 Examen de la sécurité. Fournir sur demande au Personnel de Bell un accès à chaque environnement du Fournisseur qui exécute des processus de Bell afin de lui permettre d’effectuer raisonnablement des examens de la sécurité et des droits d’accès, des évaluations de la vulnérabilité, des tests d’intrusion et des vérifications du matériel, des logiciels d’application, des systèmes d’information, des réseaux et des autres installations utilisées en rapport avec le Contrat et

3.5.4 Obligation de Bell. Si Bell exerce des droits prévus à la présente section, elle doit s’assurer que son Personnel respecte les procédures de sécurité internes raisonnables du Fournisseur et soit lié par des dispositions de confidentialité au moins aussi strictes que celles prévues dans le Contrat.

4.1 Vérifications des antécédents. Le Fournisseur doit retenir les services d’une entreprise spécialisée dans la vérification des antécédents pour qu’elle vérifie les antécédents criminels de chaque membre du Personnel du Fournisseur qui pourrait avoir accès : (i) aux Données de Bell ou (ii) aux Actifs sensibles. Ces vérifications des antécédents doivent être effectuées par : (a) les fournisseurs approuvés par Bell ou (b) sous réserve de l’approbation écrite préalable de Bell, un fournisseur reconnu de services de vérification des antécédents accrédité par la Professional Background Screening Association (association professionnelle de vérification des antécédents), ou un membre de celle-ci. Ces vérifications des antécédents doivent être effectuées dans les cent quatre-vingts (180) jours précédant l’exécution ou la fourniture des Livrables.

4.2 Droits de Bell. À la demande de Bell, le Fournisseur doit : (i) effectuer à nouveau des vérifications des antécédents conformément à la présente Annexe; (ii) fournir une preuve de la vérification des antécédents criminels; (iii) remplacer tout membre de son Personnel dont le rapport de vérification des antécédents criminels fait état d’une infraction réelle ou présumée, punissable sur acte d’accusation ou sur déclaration de culpabilité par procédure sommaire, qui n’a pas fait l’objet d’une absolution, d’une radiation ou d’un pardon, si cette infraction réelle ou présumée a un lien raisonnable avec la nature des Livrables exécutés ou fournis aux termes du Contrat.

4.3 Vérifications des antécédents invalides. Si le Fournisseur prend connaissance d’un changement dans le résultat la vérification des antécédents criminels d’un membre de son Personnel concerné aux termes de la présente Annexe, il doit : (i) aviser Bell sans délai de ce changement et (ii) fournir à Bell un plan de redressement ou désigner un autre membre de son Personnel pour assurer que les dispositions de la présente Annexe sont respectées.

4.4 Destitution de membres du Personnel. Si le Fournisseur apprend qu’un membre de son Personnel est accusé d’un crime ou a déjà été impliqué dans une activité criminelle réelle ou présumée, il doit : (i) aviser Bell immédiatement et (ii) veiller à ce que ce membre de son Personnel cesse immédiatement d’exécuter ou de fournir des Livrables pour les Sociétés Bell.

5.1 Restriction à l’accès. Le Fournisseur doit s’assurer que son Personnel ne tente pas d’accéder ou n’accorde pas d’accès à des Données de Bell : (i) dans un environnement pour lequel il ne dispose pas de droits d’accès ou (ii) à d’autres fins que celles d’exercer les droits ou d’exécuter les obligations du Fournisseur aux termes du Contrat. Le Fournisseur doit : (a) aviser Bell immédiatement en cas de violation de la disposition précédente; (b) décrire de façon détaillée toutes les Données consultées et la méthode d’accès utilisée et (c) fournir sur demande à Bell des exemplaires de toutes les Données consultées.

5.2 Mesures de sécurité. Le Fournisseur doit mettre en œuvre des mesures de sécurité reconnues par l’industrie pour se protéger contre : (i) la destruction, la détérioration, la perte et la communication ou la modification non autorisées de la propriété intellectuelle des Sociétés Bell ou de leurs clients et des actifs (corporels ou incorporels) que le Fournisseur a en sa possession ou qui sont sous sa direction ou son contrôle, ainsi que l’accès non autorisé à ce qui précède et (ii) la destruction ou la modification de tout élément des Actifs sensibles ou des environnements et des systèmes dans lesquels les Données de Bell sont stockées. Le Fournisseur doit prendre, à tout le moins, les mesures de sécurité suivantes et, sur demande, fournir à Bell tout document raisonnable à l’appui de la mise en œuvre de telles mesures :

5.2.1 Contrôles. Des contrôles d’accès logiques et physiques tels que des listes de contrôle d’accès, des coupe-feu et des mécanismes de détection et de prévention des intrusions;

5.2.2Accès logique. Un logiciel de gestion de l’accès des utilisateurs installé sur les systèmes d’information et les réseaux du Fournisseur qui : (i) autorise et authentifie les utilisateurs et leurs droits d’accès; et (ii) permet aux administrateurs de contrôler et de surveiller les ajouts, les modifications et les suppressions d’utilisateurs autorisés et de leurs droits d’accès;

5.2.3 Consignation et surveillance. Consigner tous les accès et toutes les modifications apportées aux systèmes ou aux logiciels et conserver toutes ces entrées dans un registre de vérification électronique centralisé et sécurisé pendant au moins quatre-vingt-dix (90) jours. Les registres de vérification électroniques doivent être surveillés et sauvegardés dans un endroit sécurisé;

5.2.4 Évaluation des risques et amélioration. Des mesures de protection à jour et adaptées aux risques, qui sont actualisées périodiquement, permettant de détecter, de prévenir et d’éliminer automatiquement toutes les menaces et les vulnérabilités touchant les renseignements, les systèmes d’information et les réseaux du Fournisseur;

5.2.5 Certification SCP. Des normes et des exigences de certification de sécurité pour toutes les applications de traitement des paiements et l’infrastructure réseau de soutien, telles qu’elles sont énoncées dans la plus récente version du document Norme de sécurité des données du secteur des cartes de paiements, qui peut être modifié ou remplacé à l’occasion par le Conseil des normes de sécurité du SCP;

5.2.6 Certified Telecom Industry Alliance (CTIA). Obtenir et maintenir au moins une certification CTIA de niveau 2 pour tout Appareil IdO. « Appareil IdO » désigne un produit qui : (i) contient une couche d’applications qui fournit une fonctionnalité d’identité et d’authentification, ainsi qu’au moins un module de communication qui prend en charge la connectivité filaire 5G, 4G LTE ou Wi-Fi et (ii) se connecte à au moins un réseau pour échanger des données avec d’autres applications et appareils, y compris des véhicules, des appareils à domicile, des appareils mobiles personnels et des éléments d’infrastructure;

5.2.7 Mesures de continuité des activités. La mise en œuvre de plans de continuité des activités et de reprise après sinistre afin d’assurer que : (i) toutes les données soient sauvegardées dans un site de stockage externe à une distance convenable du site de stockage principal; (ii) les systèmes d’information et les applications puissent être récupérés grâce aux copies de sauvegarde et (iii) les copies de sauvegarde soient protégées contre l’accès, la modification ou l’utilisation non autorisés;

5.2.8 Logiciel de tiers. Tenir et, à la demande de Bell, fournir à Bell une liste de tous les codes de tiers, y compris les codes sources ouverts et les codes accessibles sur le marché, ainsi que de tous les outils logiciels de tiers utilisés pour préserver la sécurité des environnements, des systèmes d’information ou des réseaux du Fournisseur qui servent au traitement de Données de Bell;

5.2.9 Programme(s) d’essais d’intrusion et de gestion des vulnérabilités. Programmes de gestion des vulnérabilités et d’essais d’intrusion conformes aux normes de l’industrie pour les Livrables interconnectés aux systèmes d’information ou au réseau d’une Société Bell (ou de ses clients) qui, au minimum : (i) s’appliquent à l’ensemble des actifs associés aux Livrables; (ii) indiquent le niveau des tests de sécurité effectués pour tous les actifs (y compris, à titre d’exemple uniquement, le balayage du réseau, les tests de sécurité d’applications dynamiques et statiques ou les essais d’intrusion); (iii) indiquent la fréquence des tests pour tous les actifs et (iv) déterminent le calendrier des mesures correctives pour tous les degrés d’importance des vulnérabilités et

5.2.10 Exigences de Bell. Toute autre mesure de sécurité raisonnable exigée par Bell à l’occasion.

5.3 Preuve et confirmation. À la demande de Bell, le Fournisseur doit remettre à Bell : (i) des documents décrivant toutes ses pratiques en matière de tests de vérification des codes et de tests de vulnérabilité; (ii) des documents décrivant ses pratiques en matière d’atténuation des vulnérabilités pour tous les aspects touchant les Sociétés Bell; (iii) des documents confirmant une protection contre les attaques provenant du Web, y compris l’exploitation de la couche de protocole de niveau 7, comme les pare-feu d’applications Web et l’auto-protection des applications d’exécution et (iv) une confirmation écrite qu’il respecte les pratiques dont il est question aux dispositions (i), (ii) et (iii) ci-dessus.

5.4 Séparation des réseaux. Si le Fournisseur fournit des Services hébergés en tant que Livrable, il doit : (i) s’assurer que son ou ses réseaux internes sont séparés des réseaux connectés à Internet à l’aide de technologies de coupe-feu et de réseau local virtuel; (ii) effectuer périodiquement des tests de vulnérabilité et d’intrusion avant de fournir des Livrables à Bell et (iii) séparer physiquement et logiquement les Données de Bell des données de ses autres clients.

5.5 Emplacement des Données de Bell et accès à celles-ci. En ce qui concerne les Données de Bell auxquelles le Fournisseur a accès, le Fournisseur, les Membres du même groupe et leur Personnel respectif doivent s’abstenir de faire ce qui suit, à moins d’avoir obtenu au préalable le consentement écrit de Bell :

5.5.1 Emplacement. Stocker ou transférer des Données de Bell à l’extérieur du Canada, que ce soit physiquement ou par voie électronique;

5.5.2 Accès. Accéder aux Données de Bell à partir de l’extérieur du Canada ou

5.5.3 Changements. Changer l’emplacement où les Données de Bell sont stockées ou l’emplacement à partir duquel elles sont accessibles à distance.

5.6 Accès aux données de Bell et emplacements de stockage. À moins d’avoir obtenu l’approbation écrite de Bell, laquelle peut être refusée à l’entière discrétion de Bell, le Fournisseur déclare et garantit que toutes les Données de Bell auxquelles le Fournisseur a accès seront stockées et consultées uniquement aux Emplacements approuvés. « Emplacements approuvés » désigne les emplacements indiqués à Bell au cours du processus d’évaluation de sécurité mené en ce qui concerne le Contrat et les Livrables applicables. Le Fournisseur doit envoyer les demandes d’approbation pour les modifications des Emplacements approuvés à l’adresse de courriel indiquée dans le Contrat.

5.7 Restriction à l’accès. Si Bell juge raisonnablement, à son entière discrétion, qu’un accès aux Données de Bell présente un risque de sécurité inacceptable pour Bell, Bell peut révoquer tout privilège d’accès accordé à un membre du Personnel qui a accès aux Données de Bell ou aux Actifs sensibles.

5.8 Élimination sécuritaire, conservation et restitution des renseignements. Lorsque le Fournisseur a accès aux Données de Bell :

5.8.1 Exigences d’élimination des Données. Sous réserve de toute obligation expresse visant la conservation des Données de Bell en vertu du Contrat, y compris en lien avec les exigences de conservation des documents généraux et des documents liés à des litiges, à la demande de Bell et à la date d’expiration ou de résiliation du Contrat, le Fournisseur doit : (i) supprimer toutes les Données de Bell et faire en sorte qu’elles ne puissent être recouvrées; (ii) détruire les médias de stockage qui contiennent des Données de Bell de façon sécuritaire et dans un endroit sécurisé, si ces médias de stockage ne peuvent être utilisés de nouveau ou à de nouvelles fins; (iii) maintenir une chaîne de traçabilité vérifiable des médias de stockage détruits (le cas échéant) qui permet de vérifier la méthode d’élimination et le moment où celle-ci a été effectuée et (iv) fournir une preuve d’élimination à Bell lorsque : (a) les médias de stockage contenant des Données de Bell sont retournés au Fournisseur aux fins de maintenance; (b) les Données de Bell sont extraites des sites ou des réseaux des Sociétés Bell aux fins de dépannage et ne sont plus requises et (c) le Contrat expire ou est par ailleurs résilié.

5.8.2Avis de conservation en cas de litige. Si Bell demande par écrit au Fournisseur de conserver des renseignements (notamment des Données de Bell ou des Renseignements confidentiels du Fournisseur) qu’il a en sa possession et précise la méthode qui doit être utilisée pour transmettre ces renseignements à Bell, notamment les exigences techniques et relatives aux délais, aux fins d’enquête ou de conservation en vue d’une poursuite ou pour des raisons juridiques (dans chaque cas, un « Avis de conservation »), le Fournisseur doit se conformer à cette demande de Bell, et il est entendu que Bell peut modifier cette demande à l’occasion en remettant un avis écrit au Fournisseur. Si le Fournisseur ne se conforme pas à un Avis de conservation, il devra assurer la défense de Bell, l’indemniser entièrement et la dégager de toute responsabilité à l’égard de toutes les réclamations, demandes, causes d’action et responsabilités, réelles et alléguées, de quelque nature que ce soit, visant des dommages, des pertes et des frais, y compris des honoraires et débours juridiques, qui découlent de l’incapacité du Fournisseur de respecter l’Avis de conservation ou qui s’y rapportent.

5.8.3 Anonymisation et Dépersonnalisation des Données personnelles. Dans la mesure où cela est expressément requis en vertu du Contrat ou demandé par écrit par Bell, l’anonymisation et la dépersonnalisation doivent être effectuées conformément aux Lois applicables et aux pratiques exemplaires et aux normes de l’industrie. Sans limiter la portée de ce qui précède, le Fournisseur : (i) fournira à Bell une analyse des risques de nouvelle identification et une description des techniques et des processus utilisés pour réaliser l’anonymisation ou la dépersonnalisation; et (ii) tiendra à jour un registre de ce qui précède à des fins d’audit.

5.9 Perte ou endommagement. Si des Données de Bell fournies au Fournisseur sont perdues ou endommagées (en totalité ou en partie) :

5.9.1 Aide raisonnable. Le Fournisseur doit, sans coût additionnel, déployer tous les efforts raisonnables sur le plan commercial pour aider Bell à réparer, à recouvrer ou à remplacer ces Données de Bell perdues ou endommagées et

5.9.2 Perte ou endommagement en raison d’une violation. Sans que soit limité le caractère général de ce qui précède, si ces Données de Bell sont perdues ou endommagées en raison du non-respect du Contrat (y compris de la présente Annexe) par le Fournisseur, les Membres du même groupe que lui ou leur Personnel respectif, le Fournisseur doit aider Bell à recouvrer ces Données de Bell perdues ou endommagées en fournissant toutes les ressources supplémentaires raisonnablement exigées par Bell, sans frais supplémentaires pour Bell.

5.10 Développement et déploiement de logiciels. Si le Fournisseur fournit des Services comportant le développement ou le déploiement de Logiciels, il doit adopter les pratiques suivantes :

5.10.1 Environnement de version sécurisée. S’assurer que les environnements de version, l’environnement de chaque développeur et l’environnement de production, y compris les référentiels de codes sources, sont dotés d’une sécurité renforcée avec consignation de tous les accès au pipeline de version, et doivent être développés et maintenus conformément aux normes de sécurité applicables énoncées dans la présente Annexe;

5.10.2 Codes sources sécuritaires. S’assurer que les codes sources de ces Logiciels, y compris les codes de tiers, les codes sources ouverts et les bibliothèques de codes sources, soient exempts de vulnérabilités connues en matière de sécurité;

5.10.3 Composants logiciels sécurisés. S’assurer, avant d’intégrer des composants de tiers dans tout Logiciel, que le Fournisseur est autorisé à les utiliser, qu’ils ne contiennent aucune faille ni vulnérabilité connue en matière de sécurité et que la Nomenclature du logiciel applicable reflète la présence et les interdépendances de ces composants;

5.10.4 Pratiques et procédures de développement sécuritaires. S’assurer que les Logiciels sont développés d’une manière qui respecte les pratiques exemplaires et normes de l’industrie (y compris ISO/IEC 5055:21) en matière de développement sécuritaire, notamment les techniques et méthodes de cycle de développement de logiciels sécuritaires, y compris le balayage du code, les tests de vérification des codes et les essais d’intrusion, afin de cibler, d’atténuer et de corriger de manière proactive les vulnérabilités en matière de sécurité;

5.10.5 Examen des normes. Fournir des renseignements détaillés et des documents justificatifs concernant les normes et les méthodes de développement de Logiciels qu’il suit, y compris les tests de code, l’analyse des vulnérabilités et les essais d’intrusion, afin que Bell les examine avant que le code source de tout Logiciel, y compris toute modification qui y est apportée par la suite, soit remis à Bell (p. ex. l’Open Web Application Security Project [OWASP]). Si Bell n’est pas raisonnablement satisfaite des normes et des méthodologies mises en œuvre par le Fournisseur, celui-ci doit coopérer avec un tiers désigné par Bell pour passer en revue et tester tout code source de Logiciel, y compris toute modification subséquente, selon les directives de Bell, pour déterminer si le Fournisseur respecte les modalités des sections 5.10.2 (Code source sécuritaire) et 5.10.4 (Pratiques et procédures de développement sécuritaires);

5.10.6 Assurer la sécurité de la chaîne d’approvisionnement. Tenir à jour et, à la demande de Bell, fournir à Bell la Nomenclature du logiciel et tous les outils utilisés pendant le cycle de développement ou inclus dans le logiciel et

5.10.7 Confirmation. À la demande de Bell, confirmer par écrit que les modalités de la section 5.10 (Développement et déploiement de logiciels) sont respectées.

5.11 Ententes gouvernementales. Si le Fournisseur fournit des Livrables à une Autorité gouvernementale ou a besoin d’accéder à distance ou physiquement à des renseignements, à des systèmes d’information, à des réseaux ou à des locaux d’une Autorité gouvernementale, pour chaque membre du Personnel du Fournisseur qui fournit ces Livrables ou qui a besoin de cet accès, le Fournisseur doit obtenir : (i) toutes les habilitations de sécurité exigées par l’Autorité gouvernementale en question, notamment, s’il y a lieu, une attestation de vérification d’organisation désignée du Conseil du Trésor du Canada et (ii) toute autre habilitation ou autorisation exigée par une Autorité gouvernementale ou par Bell.

6.1 Vérification des contrôles externes. Le Fournisseur doit : (i) au moins une fois par période de douze (12) mois, se soumettre à une vérification des contrôles externes reconnus par l’industrie, comme les normes SOC 1/SOC 2, SSAE 18, ISAE 3402 et CSAE 3416 (ou les normes qui les remplacent respectivement), mené par un vérificateur tiers indépendant reconnu, couvrant l’étendue des obligations du Fournisseur aux termes du Contrat (y compris la présente Annexe) et (ii) à la demande de Bell, transmettre à Bell des copies de tous les rapports produits concernant ces vérifications des contrôles externes ainsi que des plans de mesures correctives adoptés à l’égard des problèmes relevés dans ces rapports (et des rapports d’étape relatifs à ces plans).

6.2 Examen et vérification de la conformité. À la demande de Bell, le Fournisseur doit participer au processus d’examen de la conformité continue de Bell, y compris à l’une ou à plusieurs des mesures suivantes :

6.2.1 Évaluation. Participer à la réalisation des évaluations de sécurité en cours de Bell;

6.2.2 Soutien et collaboration. Apporter son soutien et sa collaboration à Bell concernant la réalisation d’évaluations sur place des installations, des activités et du Personnel qui exécute les obligations prévues par le Contrat, à l’exclusion des enquêtes sur les incidents;

6.2.3 Emplacement des données. Fournir une liste complète des adresses où les Données de Bell sont (ou seront) stockées, consultées ou mises à la disposition du Fournisseur, des Membres du même groupe que lui ou de leur Personnel respectif;;

6.2.4 Examen des politiques du Fournisseur. Donner accès aux politiques internes applicables du Fournisseur, y compris :

6.2.4.1 sa politique de sécurité et ses documents de gouvernance concernant les tests, les analyses, la gestion des vulnérabilités, la gestion des incidents, les contrôles d’accès et la politique de protection de la vie privée, y compris ses processus de détection et de résolution des atteintes à la protection des Données personnelles et

6.2.4.2 le code de conduite ou les documents semblables, notamment les normes d’intégrité et d’éthique commerciales, ainsi que le processus d’enquête et de résolution en cas de non-respect de ceux-ci par le Personnel du Fournisseur.

6.2.5 Examen de certification. Donner accès aux certifications aux normes de l’industrie et aux rapports produits pendant les processus de certification respectifs, y compris pour les normes de l’industrie suivantes (ou les normes qui les remplacent respectivement) :

6.2.5.1 ISO 27001 — Technologies de l’information — Techniques de sécurité — Systèmes de gestion de la sécurité de l’information — Exigences;

6.2.5.2 ISO 5055 Technologies de l’information — Mesure logicielle — Mesure de la qualité logicielle — Mesures automatisées de la qualité des codes sources;

6.2.5.3 ISO 22301 — Systèmes de gestion de la continuité d’activité;

6.2.5.4 CSA STAR Certification — Sécurité infonuagique (Cloud Security);

6.2.5.5 SCP — Normes de sécurité des données du secteur des cartes de paiements; et

6.2.5.6 Information Security Forum — Norme relative aux bonnes pratiques (Standard of Good Practice).

6.2.6 Résumé des problèmes de sécurité. Préparer un résumé de tous les problèmes de sécurité antérieurs et des mesures d’enquête et de redressement prises au cours des douze (12) derniers mois;

6.2.7 Droits d’accès du Personnel. Fournir : (i) des listes à jour de tous les membres du Personnel du Fournisseur qui ont besoin d’accéder aux Données de Bell ou aux Actifs sensibles et (ii) les permissions en matière de sécurité et d’accès accordées à ces membres du Personnel du Fournisseur.

7.1 Applicabilité. Le présent article 7 (Mesures liées à l’intelligence artificielle) ne s’applique que dans la mesure où l’Intelligence artificielle est utilisée ou fournie en association avec les Livrables.

7.2 Mesures de sécurité et de gestion des risques en matière d’IA. Le Fournisseur développera et mettra à disposition l’IA de manière sécurisée et dans le respect des Lois applicables. Sans limiter la généralité de ce qui précède, le Fournisseur doit :

7.2.1 Détermination des risques. Évaluer, cerner et documenter régulièrement les risques et, à la demande de Bell, fournir un résumé détaillé des risques potentiels, des limites et des mesures d’atténuation associés à chaque système d’IA utilisé ou fourni en association avec les Livrables. Le Fournisseur informera immédiatement Bell s’il a connaissance d’un problème susceptible de mettre en danger la vie humaine, la santé physique et mentale, les biens ou l’environnement ou d’entraîner une perte pour Bell ou de l’exposer à un niveau de risque plus élevé.

7.2.2 Supervision et surveillance par des êtres humains. Permettre aux utilisateurs d’un système d’IA de mieux comprendre la chaîne d’inférences (explicabilité) et la manière dont le système d’IA génère les données de sortie (interprétabilité). À la demande de Bell, le Fournisseur doit tenir et fournir un registre des données de sortie et des processus d’inférence disponibles en plus de ce qui est prévu à l’article 5.2.3.

7.2.3 Interdiction de stocker des Données de Bell. S’assurer que les Données de Bell traitées par un système d’IA ne sont pas stockées, sauf avec le consentement écrit de Bell. Dans la mesure où Bell donne une telle approbation écrite, le Fournisseur veillera à ce que les Données de Bell soient stockées conformément aux exigences de Bell en matière de conservation des données communiquées au Fournisseur.

7.2.4 Entraînement interdit avec les Données de Bell. S’abstenir d’utiliser les Données de Bell (y compris, pour plus de certitude, les Données dérivées) à des fins d’entraînement de modèles d’IA. Il est entendu que cette restriction ne s’applique pas aux Données d’utilisation.

7.2.5 IA d’un tiers. Le Fournisseur doit obtenir l’accord écrit préalable de Bell : (i) pour utiliser ou fournir l’IA d’un tiers en association avec les Livrables; et (ii) pour rendre les Données de Bell accessibles à l’IA d’un tiers à des fins d’entraînement, d’amélioration du système, de recherche, de stockage ou de traitement de quelque nature que ce soit.

7.3 Mesures relatives à une IA digne de confiance et responsable. Le Fournisseur s’engage à fournir à Bell des services d’IA dignes de confiance et responsables. Sans limiter la généralité de ce qui précède, le Fournisseur doit veiller à ce que :

7.3.1 Justice et équité. L’utilisation de données pour prendre des décisions ou des mesures contraires à l’éthique et fondées sur des préjugés tels que la race, la religion, l’appartenance ethnique, le sexe ou l’âge soit évitée puisqu’elle est interdite. Des mesures appropriées doivent être prises pour atténuer les conséquences discriminatoires pour les individus et les groupes.

7.3.2 Validité et fiabilité. Les systèmes d’IA soient souvent évalués au moyen de mises à l’épreuve ou de contrôles continus qui confirment que le système fonctionne comme prévu.