Accord sur le traitement des données

Version 3.0, publiée le 01.07.2025

‍

‍

Accord sur le traitement des données

Le présent Accord sur le traitement des données est conclu entre DSwiss et le Client et entre en vigueur à la date d'entrée en vigueur de la Nouvelle commande de services commerciaux.

Ce document est fourni en plusieurs langues. En cas de divergences ou de contradictions, la version anglaise fait foi et est contractuelle.

‍

Préambule

A. Les parties ont conclu un accord concernant la prestation de services par DSwiss.

B. Dans le cadre de l'accord, le client fournit à DSwiss des données personnelles.

C. Afin d'assurer la conformité avec les lois applicables en matière de protection des données, y compris, mais sans s'y limiter, le Règlement général sur la protection des données (RGPD) et la Loi fédérale sur la protection des données dans le traitement des données personnelles par DSwiss, les Parties concluent le présent Accord sur le traitement des données.

D. Dans le cadre de cet accord de traitement des données, le client est le contrôleur et DSwiss est le processeur au sens des lois applicables sur la protection des données.

PAR CONSÉQUENT, en considération des engagements mutuels contenus ci-dessous, les parties conviennent de ce qui suit :

‍

1. Généralités

1.1 Objet : Dans le présent Accord sur le traitement des données, les Parties règlent uniquement les relations entre les Parties concernant les Lois applicables en matière de protection des données. Elles n'ont pas l'intention d'étendre ou de restreindre les services à fournir en vertu de l'Accord.

1.2 Ordre de préséance : En cas de conflit entre les parties contractuelles de l'Accord, l'ordre de préséance suivant s'applique : Le présent Accord sur le traitement des données prévaut sur ses annexes et les autres parties de l'Accord prévalent sur le présent Accord sur le traitement des données.

1.3 Définitions : Tous les termes en majuscules qui ne sont pas autrement définis dans le présent Accord sur le traitement des données ont le sens qui leur est donné dans l'Accord. Les termes juridiques tels que " Données personnelles " et " Traitement " ont la signification définie dans les Lois sur la protection des données applicables. Les définitions se trouvent à l'adresse https://www.dswiss.com/en/legal-definitions.

‍

2. Objet et durée du traitement

2.1. Objet du traitement : Dans le cadre des Services, DSwiss traite les Données Personnelles pour le compte du Client. L'objet du Traitement, sa nature et sa finalité sont définis dans l'Accord. Les catégories de personnes affectées par le Traitement et les catégories de Données Personnelles affectées sont décrites dans l'Annexe 1.

2.2. Autres services : Dans la mesure où DSwiss prend en charge d'autres services pour le Client dans le cadre de la collaboration, le présent Accord sur le traitement des données s'applique également à ces services.

2.3. Durée de l'accord : Le présent Accord sur le traitement des données commence à la date d'entrée en vigueur et se termine à la fin de l'Accord.

2.4. Responsabilité du client : Le Client est conscient que la responsabilité légale de l'admissibilité de la collecte et du traitement des données personnelles et du respect des droits des personnes concernées en relation avec les services fournis par DSwiss incombe au Client.

‍

3. Obligations de DSwiss

3.1. Respect des instructions :

a) DSwiss est tenue d'utiliser les données personnelles exclusivement pour les services à fournir en vertu de l'accord et de suivre les instructions du client (conformément à l'accord) lors du traitement, sous réserve d'obligations divergentes en vertu des lois applicables et des ordonnances contraignantes émises par les autorités compétentes, dont le client doit être informé dans la mesure permise.

b) Les instructions du client sont données sous forme de texte.

3.2. Registre des activités de traitement : DSwiss s'engage à tenir un registre des activités de traitement en relation avec les données personnelles conformément aux lois sur la protection des données applicables. DSwiss permettra au Client d'accéder à ce registre à tout moment sur demande.

3.3. Lieu de traitement : Le traitement et l'utilisation des données personnelles auront lieu exclusivement en Suisse et dans l'UE. Tout traitement de données personnelles en dehors de la Suisse ou de l'UE (y compris l'octroi de droits d'accès aux données personnelles) n'est autorisé qu'avec l'accord préalable du client et conformément aux dispositions légales et contractuelles applicables.

3.4. Obligation de restitution et de suppression :

a) Après la résiliation de l'accord, DSwiss doit supprimer les données personnelles. Les suppressions de données doivent être définitives et la suppression doit être confirmée au client sur demande.

b) Si DSwiss est légalement obligé de stocker des données personnelles en raison de dispositions légales, il doit en informer le client à un stade précoce, et les données personnelles concernées ne peuvent être stockées sur les systèmes pertinents que pendant la durée nécessaire et de manière appropriée.

‍

4. Sécurité des données

4.1. Mesures de sécurité : DSwiss prendra les mesures techniques et organisationnelles appropriées, mais en tout état de cause au moins celles décrites dans l'annexe 2, pour protéger les données personnelles. Pendant la durée de l'Accord, le Processeur est autorisé à adapter les mesures de sécurité , à condition que le niveau de sécurité ne soit pas abaissé, et est tenu d'adapter les mesures de sécurité dans la mesure où cela est nécessaire pour maintenir le niveau de protection conformément aux lois applicables en matière de protection des données.

4.2. Signalement des violations :

a) En cas de violation spécifique de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation de données personnelles, DSwiss informera le client immédiatement, mais au plus tard dans les délais prévus par les lois sur la protection des données applicables.

b) DSwiss est tenu de fournir au client, sur demande, d'autres informations pertinentes sur la violation de la sécurité, dans la mesure où cela est possible sans violer les obligations de confidentialité contractuelles ou légales de DSwiss.

‍

5. Sous-traitants

5.1. Permissibilité :

a) Pour la prestation des Services, DSwiss sera autorisé à mettre les Données Personnelles à la disposition des Sous-Traitants à sa propre discrétion, à condition que DSwiss se conforme à la présente Section 5 et ait conclu des accords avec les Sous-Traitants concernés qui contiennent des dispositions au moins aussi strictes que le présent Accord sur le Traitement des Données.

b) Un Sous-traitant au sens du présent Accord sur le traitement des données est tout prestataire de services dont les services sont directement liés au Traitement des données personnelles. Dans le cas de services auxiliaires externalisés, DSwiss est également tenu de conclure des accords contractuels appropriés et conformes à la loi pour assurer la protection et la sécurité des données pour le client, de prendre des mesures de contrôle et de documenter ces mesures au client sur demande.

5.2. Approbation des Sous-traitants :

a) Une liste des Sous-traitants ayant accès aux Données personnelles existant à la Date d'entrée en vigueur et autorisés par le Client figure à l'Annexe 3. Le client doit être informé de tout changement de sous-traitant. Si le client ne déclare pas par écrit dans les 20 jours calendaires suivant la réception de la notification correspondante qu'il n'est pas d'accord avec le changement, le sous-traitant secondaire en question est réputé avoir été approuvé par le client.

b) En cas de rejet du sous-traitant par le client dans les délais impartis, conformément au paragraphe précédent, les parties tenteront de convenir d'une autre solution commercialement raisonnable. Le refus du client doit être basé sur des raisons substantielles dues à la diminution potentielle de la confidentialité des données, qui doivent être notifiées à DSwiss au moment du refus. Si les parties ne parviennent pas à un accord dans les 30 jours suivant le refus du client, l'une ou l'autre des parties a le droit de résilier l'accord avec effet immédiat.

5.3. Sous-traitants en dehors de la Suisse et de l'UE : Si, dans le cadre de l'implication autorisée d'un Sous-Traitant, des Données Personnelles sont transférées vers ou reçues d'un pays ne disposant pas d'un niveau adéquat de protection des données, DSwiss est tenu d'obtenir des garanties appropriées conformément à la Loi sur la protection des données applicable (par exemple, les clauses contractuelles types de l'UE applicables) avant la première divulgation de Données Personnelles au Sous-Traitant concerné.

5.4. Responsabilité : DSwiss est responsable envers le Client du respect des obligations des Sous-Traitants conformément aux dispositions de l'Accord.

‍

6. Droits d'inspection

6.1. Droits d'inspection : Le client a le droit de contrôler à tout moment, mais pas plus d'une fois par année civile, le respect des obligations légales et contractuelles liées à cet accord de traitement des données par DSwiss et/ou ses sous-traitants, à condition que ces contrôles aient été notifiés à DSwiss dans un délai de 21 jours. La procédure d'inspection est convenue au préalable avec DSwiss. DSwiss est tenue de coopérer de manière appropriée à chaque inspection. Toutes les inspections doivent être convenues à l'avance avec DSwiss. Lors de la planification et de la réalisation de l'inspection, le client doit tenir compte des besoins et des exigences de sécurité de DSwiss et respecter les obligations de confidentialité de DSwiss.

6.2. Inspection par des partenaires externes : Le client a le droit de faire effectuer le contrôle visé au point 6.1 par un partenaire externe compétent et tenu à la confidentialité. Les frais du partenaire externe conformément au présent paragraphe 6.2 sont à la charge du client.

‍

7. Obligations de soutien

7.1. Sécurité des données : DSwiss soutiendra le client d'une manière raisonnable dans le respect des obligations légales du client d'assurer une sécurité adéquate des données et de signaler les violations de données, ainsi que dans la réalisation d'évaluations de l'impact de la protection des données.

7.2. Droits des personnes concernées : Si une personne concernée contacte DSwiss dans le cadre de réclamations en vertu des lois applicables sur la protection des données (par exemple avec une demande d'information ou de suppression) et que ces réclamations sont liées aux services, DSwiss transmettra la demande correspondante au client sans délai. DSwiss fournira au client un soutien approprié dans le traitement de ces demandes.

7.3. Obligation d'information : Les inspections et autres mesures prises par les autorités de surveillance de la protection des données doivent être signalées au client en temps opportun dans la mesure où elles sont autorisées si elles affectent les données personnelles ou les systèmes utilisés pour le traitement des données personnelles.

Informations de contact : Pour les questions relatives à la protection des données, la personne suivante doit être contactée en premier lieu :
Le client : Le client indiquera par écrit qui DSwiss contactera en premier lieu. Si le client n'indique personne, le signataire de l'ordre de service est supposé être le premier contact.
DSwiss : CISO, security@dswiss.com

‍

8. Confidentialité

8.1. Données personnelles : DSwiss s'engage à traiter les données personnelles de manière strictement confidentielle et à ne les rendre accessibles, à l'intérieur et à l'extérieur de son organisation, qu'aux personnes qui ont besoin d'y accéder pour remplir leurs fonctions. La section 5 ci-dessus est réservée. DSwiss s'assurera que toutes les personnes ayant accès aux données personnelles sont soumises à une obligation légale ou contractuelle de confidentialité à l'égard des données personnelles.

8.2. Autres informations : Les deux Parties sont également soumises aux obligations légales de confidentialité qui leur sont applicables et à toute obligation de confidentialité convenue entre elles dans l'Accord en ce qui concerne les Données Personnelles perçues dans le cadre de cet Accord sur le Traitement des Données.

‍

9. Divers

9.1. Responsabilité : Les dispositions pertinentes de l'Accord s'appliquent à la responsabilité découlant des violations du présent Accord sur le traitement des données.

9.2. Notifications : Les notifications prévues dans le présent Accord sur le traitement des données doivent être faites expressément et sous forme de texte (par exemple, par courrier électronique ou postal), sauf accord écrit contraire.

9.3. Annexes : Les annexes au présent Accord sur le traitement des données en font partie intégrante.

9.4. Amendements : Les amendements et autres changements apportés au présent Accord sur le traitement des données requièrent la signature des deux Parties pour être valables.

9.5. Règlement des litiges : Le droit applicable et le lieu de juridiction en cas de litige sont déterminés par l'accord.

‍

Annexe 1 : Spécifications de l'accord sur le traitement des données

1. Catégories de données

Les données qui permettent directement ou indirectement d'identifier des personnes physiques, telles que :

• Données de contact (par exemple, nom, adresse, adresse électronique, numéros de téléphone, noms d'utilisateur, etc.)
• Identifiants en ligne (par exemple, adresses IP, données des cookies, quantité de données transférées, navigateurs, systèmes d'exploitation, informations relatives à la visite du site web, etc.)

‍

2. Catégories de personnes concernées

Données du client, des utilisateurs finaux du client et des partenaires du client.

• Employés
• Clients
• Utilisateurs finaux du client
• Partenaires du client
• Visiteurs/utilisateurs du site web
• Candidats à un emploi

‍

Annexe 2 : Mesures de sécurité

1. Confidentialité (Art. 32 para. 1 lit. b GDPR)

• • Contrôle d'accès physique
  Pas d'accès non autorisé aux systèmes de traitement des données, par exemple : cartes magnétiques ou à puce, clés, dispositifs d'ouverture de portes électriques, dispositifs de sécurité ou de gardiennage des installations, systèmes d'alarme, systèmes vidéo ;
• Contrôle d'accès électronique
  Pas d'utilisation non autorisée du système, par exemple : mots de passe (forts), mécanismes de verrouillage automatique, authentification à deux facteurs, cryptage des supports de données ;
• Contrôle d'accès interne
  Pas de lecture, de copie, de modification ou de suppression non autorisées à l'intérieur du système, par exemple : concepts d'autorisation et droits d'accès basés sur les besoins, enregistrement des accès ;
• Contrôle de la séparation
  Traitement séparé des données collectées à des fins différentes, par exemple capacité multi-clients, sandboxing ;
• Pseudonymisation (art. 32 para. 1 lit. a GDPR ; Art. 25 (1) GDPR)
  Le traitement de données personnelles de telle sorte que les données ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l'objet de mesures techniques et organisationnelles appropriées.

‍

2. Intégrité (article 32, paragraphe 1, point b), du RGPD)

• Contrôle des transferts
  Pas de lecture, de copie, de modification ou de suppression non autorisée pendant la transmission ou le transport électronique, par exemple : cryptage, réseaux privés virtuels (VPN), signature électronique ;
• Contrôle des entrées
  Déterminer si et par qui des données personnelles ont été introduites, modifiées ou supprimées dans les systèmes de traitement des données, par exemple : journalisation, gestion des documents.  

‍

3. Disponibilité et résilience (article 32, paragraphe 1, point b), du RGPD)

• Vérification de la disponibilité
  Protection contre la destruction ou la perte accidentelle ou volontaire, par exemple : stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors site), alimentation électrique sans interruption (ASI), protection contre les virus, pare-feu, canaux de signalement et plans d'urgence ;
• • Récupérabilité rapide (article 32, paragraphe 1, point c), du RGPD).

‍

4. Procédures d'examen, d'appréciation et d'évaluation périodiques (art. 32, para. 1 lit. d GDPR ; Art. 25 (1) GDPR)

• Gestion de la protection des données ;
• Gestion des incidents et des réponses ;
• Paramètres par défaut respectueux de la vie privée (article 25, paragraphe 2, du RGPD) ;
• Contrôle des commandes
  Pas de traitement de données commandé au sens de l'art. 28 GDPR sans instructions correspondantes de la part du client, par exemple : conception de contrats sans ambiguïté, gestion formalisée des commandes, sélection stricte du prestataire de services, obligation de convaincre à l'avance, contrôles de suivi.

‍

Annexe 3 : Sous-traitants agréés

Les personnes suivantes sont réputées être des sous-traitants secondaires agréés au sens du présent accord sur le traitement des données à la date d'entrée en vigueur :