Termes d'utilisation
Addendum de sécurité BrainBox AI
Dernière révision le 9 mars 2026
Le présent addendum de sécurité (l'" Addendum de sécurité ") fait partie intégrante du Contrat d'abonnement aux services (le " Contrat ") et vient compléter la Section 25 (Sécurité de l'information) du Contrat et s'applique à tous les Services fournis en vertu du Contrat. En cas de conflit entre le présent Addendum de sécurité et la Section 25 (Sécurité de l'information), le présent Addendum de sécurité prévaudra en ce qui concerne les questions de sécurité et de protection des données. BrainBox AI mettra en œuvre et maintiendra un programme de sécurité de l'information approprié pour les services d'optimisation des bâtiments infonuagique et les services activés par l’intelligence artificielle. Le présent Addendum de sécurité décrit les principales mesures de sécurité applicables aux Services.
1. Définitions. Les termes commençant par une majuscule qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans le Contrat et dans toute condition applicable.
2. Programme de sécurité de l'information. BrainBox AI maintiendra un programme de sécurité de l'information comprenant : (a) des mesures de protection administratives, techniques et physiques; (b) des mesures conçues pour protéger la confidentialité, l'intégrité et la disponibilité des Données du client; et (c) des contrôles appropriés pour les systèmes commerciaux infonuagiques et les intégrations de technologies de bâtiment. Le programme de BrainBox AI est aligné sur les normes de l'industrie généralement acceptées (par exemple, les principes de sécurité SOC 2).
3. Accès aux Systèmes du bâtiment du client / Intégrations
.Si le Client accorde à BrainBox AI l'accès à toute interface, système de gestion du bâtiment (BMS), système de gestion de l’énergie (EMS), segment de réseau, portail, API ou autre système aux fins de la prestation des Services :
3.1 Contrôles d'authentification. Le personnel de BrainBox AI n'accédera à ces systèmes que par l'intermédiaire de comptes attribués individuellement et maintiendra la confidentialité des justificatifs d'authentification.
3.2 Systèmes sécurisés. L'accès ne se fera que par l'intermédiaire de systèmes maintenus par BrainBox AI qui comprennent : (a) des pare-feu; (b) des antivirus / antimaliciel; (c) des correctifs de sécurité à jour; et (d) le chiffrement du disque sur les appareils portables.
3.3 Restrictions sur le stockage local. Sauf accord contraire par écrit, BrainBox AI ne téléchargera ni ne stockera les Données du client en dehors de l'environnement infonuagique sécurisé utilisé pour fournir les Services, à l'exception du stockage transitoire nécessaire pour fournir un soutien technique ou des diagnostics.
3.4 Désactivation de compte. BrainBox AI désactivera l'accès du personnel qui n'a plus besoin d'accès pour la prestation des Services.
4. Confidentialité des Données du client. BrainBox AI : (a) maintiendra la confidentialité des Données du client tel que requis en vertu du Contrat; (b) limitera l'accès aux employés ou sous-traitants ayant un besoin légitime de connaître; et (c) utilisera les Données du client uniquement pour remplir les obligations en vertu du Contrat.
5. Conformité aux lois. BrainBox AI se conformera à toutes les lois applicables à son rôle dans le traitement des Données du client en lien avec les Services. Pour plus de clarté, étant donné que les Services ne nécessitent pas de données personnelles, les lois régissant le traitement des renseignements personnels ne s'appliquent généralement pas.
6. Contrôles de sécurité. BrainBox AI maintiendra les contrôles suivants dans le cadre de son programme de sécurité :
6.1 Mesures de protection techniques. BrainBox AI mettra en œuvre des mesures de protection techniques appropriées à la nature des Services, qui comprennent : (a) la surveillance de la sécurité du réseau et du périmètre; (b) des contrôles d'accès basés sur le principe du moindre privilège; (c) l'authentification multifactorielle pour l'accès administratif; et (d) le chiffrement des Données du client en transit et au repos, le cas échéant.
6.2 Gestion des vulnérabilités et des correctifs. BrainBox AI maintiendra un processus de gestion des vulnérabilités et des correctifs qui comprennent : (a) l'analyse régulière des vulnérabilités des systèmes pertinents; (b) l'application en temps opportun de correctifs de sécurité critiques en fonction du risque et de la gravité; et (c) l'utilisation de tests d’intrusion périodiques par des tiers ou d'évaluations de sécurité indépendantes.
6.3 Journalisation et surveillance. BrainBox AI maintiendra des capacités de journalisation et de surveillance qui comprennent : (a) l'enregistrement de l'activité du système et d'autres événements pertinents pour la sécurité; et (b) l'utilisation d'outils de surveillance pour détecter les tentatives d'accès non autorisées et les activités anormales.
6.4 Continuité des activités et reprise après sinistre. BrainBox AI maintiendra des procédures de continuité des activités et de reprise après sinistre appropriées aux Services, qui comprennent : (a) des sauvegardes régulières pour les systèmes critiques soutenant les Services; (b) un plan de reprise après sinistre documenté; et (c) des tests annuels de ses capacités de reprise après sinistre.
7. Notification d'incident de sécurité. Si BrainBox AI confirme un incident de sécurité impliquant les Données du client, BrainBox AI : (a) avisera le Client dans les meilleurs délais; (b) fournira les informations raisonnablement nécessaires pour décrire la nature et la portée de l'incident; et (c) prendra des mesures commercialement raisonnables pour contenir, atténuer et remédier à l'incident. Le présent Addendum de sécurité n'exige pas la notification des tentatives infructueuses (par exemple, tentatives de connexion échouées, pings, balayages de ports).
8. Audit et assurance. BrainBox AI maintient un rapport SOC 2 Type II couvrant les contrôles pertinents aux Services. Sur demande écrite du Client et sous réserve d'un accord de non-divulgation, BrainBox AI mettra son rapport SOC 2 actuel à la disposition du Client pour examen. Le rapport SOC 2 satisfait à tout droit d'audit ou d'inspection relatif à la sécurité ou à la protection des données. Aucun audit supplémentaire des installations, systèmes ou processus de BrainBox AI ou de ses sociétés affiliées n'est autorisé.
9. Vérification et formation du personnel. BrainBox AI : (a) effectuera des vérifications des antécédents conformément à ses politiques internes pour le personnel ayant accès aux Données du client ou aux environnements de Systèmes du bâtiment; et (b) fournira une formation continue sur la sécurité et la confidentialité aux employés.
10. Élimination sécurisée. À la résiliation ou à l'expiration du Contrat, BrainBox AI supprimera les Données du client de ses systèmes conformément à son calendrier standard de conservation des données, sous réserve de toute obligation subsistante en vertu du Contrat. Toute copie d'archives ou de sauvegarde conservée demeurera assujettie aux obligations de confidentialité.
11. Lieux d'hébergement. Les Données du client peuvent être traitées ou stockées : (a) au Canada; (b) aux États-Unis; et/ou dans d'autres juridictions où BrainBox AI ou ses fournisseurs infonuagiques opèrent. Tout traitement demeure assujetti au présent Addendum de sécurité et à la Section 25 du Contrat.