Foire aux questions des clients

Cadre contractuel général et modèle de données

développer_plus

1) Quels types de contrats Carrot conclut-elle avec les clients ?

Carrot conclut un accord-cadre de services avec ses clients. Celui-ci est parfois appelé un « Contrat-cadre de prestation de services (CCPS) ». Cet accord régit la relation entre Carrot (en tant que fournisseur) et l’employeur (en tant que client) en ce qui concerne la prestation des services.

Nous pouvons également, selon les pays concernés, conclure un Accord sur la traitement des données (ATD) qui régit le traitement des renseignements personnels par un sous-traitant de données (Carrot) pour le compte d’un responsable du traitement (le client) et aborde, selon les besoins, les exigences liées aux transferts internationaux de données.

Veuillez noter que la relation directe de Carrot avec les employés individuels est régie par un ensemble d’accords distinct (voir FAQ 5).

développer_plus

2) Quelles données Carrot recueille-t-elle auprès de ses clients ?

Les « Données clients » désigne les données que Carrot recueille auprès des clients sous la forme d’un « dossier d’admissibilité des employés (Dossier AE) ». Le dossier AE est limité aux éléments de données suivants :

Prénom, nom et adresse professionnelle des employés admissibles
Numéro d’identification unique des employés
Date de début de l’admissibilité
Date de naissance
Sexe
Code postal (membres américains seulement)

développer_plus

3) Comment Carrot utilise-t-elle les données qu'elle recueille auprès de ses clients?

Carrot utilise les données des clients pour fournir et améliorer les services. Cela peut impliquer, entre autres activités décrites dans le CCPS :

Confirmer que les employés individuels sont admissibles au service.
Exécution des obligations contractuelles (p. ex., envoi de courriels de lancement et de communication lorsque convenu).

développer_plus

4) Est-ce que Carrot partage des données avec ses clients ?

Oui, mais seulement dans une certaine mesure, comme prévu dans le CCPS.

Plus précisément, Carrot fournit :

Des « rapports de mesures » qui montrent comment les employés d’un client utilisent les avantages de Carrot Fertility (par exemple, les temps de réponse, les temps d’engagement, les commentaires des employés). Ces données sont agrégées et anonymisées.
Des « rapports d'utilisation » pour aider les clients à s'acquitter de certaines obligations (p. ex., en matière de taxes et de salaires). Par nécessité, cela inclut certains éléments de données identifiables.

développer_plus

5) Quelles conditions régissent la relation de Carrot avec les employés individuels?

Nous concluons un contrat séparé (par le biais de nos conditions de service et de notre avis de confidentialité) avec les employés d’un client qui s’abonnent à Carrot (c’est-à-dire les « membres »). Cela signifie que nous avons un ensemble distinct de responsabilités envers les membres (par exemple, en matière de propriété et d’utilisation des données) que nous ne pouvons pas outrepasser dans nos contrats avec les clients.

Principales considérations réglementaires

développer_plus

6) Est-ce que Carrot est considéré comme un « Prestataire de services » en vertu de la California Privacy Rights Act (CPRA)?

Oui, mais seulement si le client est considéré comme une « entreprise » au sens de la CPRA.

Le CCPS comprend un langage qui définit les obligations de Carrot en tant que Prestataire de services.

développer_plus

7) Comment l’article 702 de la FISA affecte-t-elle Carrot?

Les principales « cibles » de l’article 702 de la FISA sont des entreprises qui ont accès à des informations pouvant être utilisées dans le cadre d’une enquête de la FISA. Il est possible que Carrot relève du large champ d’application de l’article 702, mais même si c’est le cas, des entreprises comme Carrot ne constituent pas les « cibles traditionnelles » d’un mandat de la FISA et, selon notre page « Warrant Canary », nous n’en avons jamais reçu.

développer_plus

8) Carrot traite-t-il les informations de santé protégées (PHI)?

Seul un très petit sous-ensemble des données recueillies par Carrot constitue une IPH en vertu de la Loi sur la portabilité et la responsabilité de l'assurance maladie de 1996 (HIPAA). Dans sa formulation la plus simple, les IPH sont (1) des informations relatives à la santé d'une personne identifiée (c'est-à-dire « IIHI ») qui sont (2) détenues ou transmises par une entité couverte ou son associé commercial.

Bien que Carrot ne soit pas une entité couverte, elle met en place un HRA (régime de remboursement de frais de santé) par lequel les « soins contre l’infertilité » ou les « soins de fertilité liés à un besoin médical » peuvent être remboursés. Ce HRA pour l’infertilité, établi par Carrot, est une entité couverte, et Carrot agit en tant qu’Associé commercial. Pour sa part, le client agit en tant que Commanditaire du Régime, mais n’est pas une entité couverte.

Par conséquent, certaines informations relatives à l’administration et au traitement des réclamations relatives aux « soins d’infertilité » ou aux « soins de fertilité liées à un besoin médical » constituent le seul sous-ensemble de données que Carrot traite comme renseignements personnels de santé.

développer_plus

9) Que couvre l’Accord de partenariat commercial (APC)?

L’APC ne s’applique que dans le cadre d’un HRA pour l’infertilité. Bien que les autres informations que Carrot traite soient très sensibles, elles ne sont pas protégées par la loi HIPAA parce qu’elles n’ont pas été reçues d’une entité couverte. Par exemple, elles peuvent avoir été fournies directement par les membres eux-mêmes, ou concerner un parcours de fertilité ou de gestation pour autrui — domaines qui ne sont pas traités d’une manière pouvant être considérée comme relevant d’une entité couverte au sens de la HIPAA.).