Accord sur le traitement des données

Version 2.0, publiée le 01.08.2024

‍

Le présent contrat de traitement des données est conclu par et entre DSwiss et le client et prend effet à compter de la date d'entrée en vigueur du New Business Service Order.

Préambule

A. Les parties ont conclu un accord relatif à la fourniture de services par DSwiss.

B. Dans le cadre du Contrat, le Client fournit à DSwiss des données personnelles.

C. Afin d'assurer la conformité avec les lois applicables en matière de protection des données, y compris, mais sans s'y limiter, le Règlement général sur la protection des données (RGPD) et la Loi fédérale suisse sur la protection des données dans le traitement des données à caractère personnel par DSwiss, les Parties adhèrent au présent Accord sur le traitement des données.

D. Dans le cadre du présent accord de traitement des données, le client est le contrôleur et DSwiss est le processeur au sens des lois applicables en matière de protection des données.

Par conséquent, compte tenu des engagements mutuels énoncés ci-dessous, les parties conviennent de ce qui suit :

1er général

1.1 Objet : Dans le présent accord sur le traitement des données, les parties ne réglementent que les relations entre les parties concernant les lois applicables en matière de protection des données. Elles n'ont pas l'intention d'étendre ou de restreindre les services fournis dans le cadre de l'accord.

1.2 Prééminence : En cas de conflit entre les parties contractuelles de l'accord, l'ordre de préséance suivant s'applique : Le présent Accord sur le traitement des données prévaut sur ses Annexes et les autres parties de l'Accord prévalent sur le présent Accord sur le traitement des données.

1.3 Définitions : Tous les termes capitalisés qui ne sont pas autrement définis dans le présent accord sur le traitement des données auront les significations indiquées dans l'accord. Les termes juridiques, tels que "données personnelles" et "traitement", auront la signification définie dans les lois applicables en matière de protection des données. Les définitions peuvent être trouvées sur https://www.dswiss.com/en/legal-definitions. 

2) Sujet et durée du traitement

2.1 Objet du traitement : Dans le cadre des Services, DSwiss traite des données personnelles pour le compte du Client. L'objet du traitement, sa nature et sa finalité sont définis dans le Contrat. Les catégories de personnes concernées par le traitement et les catégories de données personnelles concernées sont décrites dans l'annexe 1.

2.2 Autres services : Dans la mesure où DSwiss prend en charge d'autres services pour le client dans le cadre de la collaboration, le présent contrat de traitement des données s'applique également à ces services.

2.3 Durée : Le présent accord sur le traitement des données prend effet à la date d'entrée en vigueur et prend fin à la date d'expiration de l'accord.

2.4 Responsabilité du client : Le client est conscient du fait que la responsabilité légale de la licéité de la collecte et des autres traitements des données personnelles et de l'exercice des droits des personnes concernées par les données en relation avec les services à fournir par DSwiss incombe au client.

3. obligations de DSwiss

3.1 Conformité aux instructions :

a) DSwiss est tenue d'utiliser les données personnelles exclusivement pour les services à fournir en vertu du contrat et de suivre les instructions du client (conformément au contrat) lors du traitement de celles-ci, sous réserve d'obligations divergentes découlant des lois applicables et des ordres contraignants émis par les autorités compétentes, dont le client doit être informé dans la mesure du possible.

b) Les instructions du client doivent être données sous forme de texte.

3.2 Registre des activités de traitement : DSwiss s'engage à tenir un registre des activités de traitement relatives aux données personnelles conformément aux lois applicables en matière de protection des données. DSwiss donnera au Client l'accès à ce registre à tout moment, sur demande.

3.3 Lieu de traitement : Le traitement et l'utilisation des données personnelles ont lieu exclusivement en Suisse et dans l'UE. Tout traitement de données personnelles en dehors de la Suisse ou de l'UE (y compris l'octroi de droits d'accès aux données personnelles) n'est autorisé qu'avec le consentement préalable du client et conformément aux dispositions légales et contractuelles applicables.

3.4 Obligation de retourner et de supprimer :

a) Après la résiliation du contrat, DSwiss doit supprimer les données personnelles. Les suppressions de données doivent être finales et la suppression doit être confirmée au client sur demande.

b) si DSwiss est légalement tenue de conserver des données personnelles en vertu de dispositions légales, elle doit en informer le client à un stade précoce, et les données personnelles concernées ne peuvent être conservées que sur les systèmes concernés aussi longtemps que nécessaire et de manière dûment sécurisée.

4. sécurité des données

4.1 Mesures de sécurité : DSwiss doit prendre des mesures appropriées, mais en tout état de cause, au moins les mesures techniques et organisationnelles décrites dans l'Annexe 2 pour protéger les Données à caractère personnel. Pendant la durée de l'accord, le Processeur sera autorisé à adapter les mesures de sécurité, à condition que le niveau de sécurité ne soit pas abaissé, et sera tenu d'adapter les mesures de sécurité dans la mesure où cela est nécessaire pour maintenir le niveau de protection conformément aux lois applicables en matière de protection des données.

4.2 Rapports sur les infractions :

a) En cas de violation spécifique de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation de données personnelles, DSwiss doit en informer le client immédiatement, mais au plus tard dans les délais fixés par les lois applicables en matière de protection des données.

b) DSwiss est tenue de fournir au client, sur demande, d'autres informations pertinentes sur la violation de la sécurité, dans la mesure où cela est possible sans enfreindre les obligations de confidentialité contractuelles ou légales de DSwiss.

5. sous-processeurs

5.1. la permissivité :

a) pour la fourniture des Services, DSwiss sera autorisée à mettre les Données à caractère personnel à la disposition des Sous-processeurs à sa propre discrétion, à condition que DSwiss respecte la présente Section 5 et ait conclu avec les Sous-processeurs concernés des accords contenant des dispositions au moins aussi strictes que le présent Accord sur le traitement des données.

b) Un sous-traitant au sens du présent accord sur le traitement des données est tout prestataire de services dont les services sont directement liés au traitement des données personnelles. Dans le cas de services annexes externalisés, DSwiss est également tenue d'entrer dans des accords contractuels appropriés et légalement conformes pour assurer la protection et la sécurité des données pour le client, de prendre des mesures de contrôle et de documenter ces mesures au client sur demande.

5.2 Approbation des sous-processeurs :

a) Une liste des sous-traitants ayant accès aux données personnelles existant à la date d'effet et autorisés par le client figure à l'annexe 3. Le client doit être informé avant qu'un sous-traitant ne soit modifié. Si le Client ne déclare pas par écrit dans un délai de 20 jours calendaires à compter de la réception de la notification qu'il n'est pas d'accord avec le changement, le Sous-processeur en question sera réputé avoir été approuvé par le Client.

b) En cas de refus en temps utile du Sous-processeur par le Client conformément au paragraphe précédent, les Parties s'efforceront de trouver une solution alternative commercialement raisonnable. Le refus du Client doit être fondé sur des raisons substantielles dues à la diminution potentielle de la protection des données, qui doivent être notifiées à DSwiss au moment du refus. Si les parties ne parviennent pas à un accord dans un délai de 30 jours à compter du refus du Client, l'une ou l'autre partie est en droit de résilier le contrat avec effet immédiat.

5.3 Sous-processeurs en dehors de la Suisse et de l'UE : Si, dans le cadre de l'implication autorisée d'un sous-processeur, des données personnelles sont transférées vers ou reçues d'un pays ne disposant pas d'un niveau de protection des données adéquat, DSwiss est tenue d'obtenir des garanties appropriées conformément à la législation applicable en matière de protection des données (par ex. les clauses contractuelles standard de l'UE applicables) avant la première divulgation de données personnelles au sous-processeur concerné.

5.4 Responsabilité : DSwiss est responsable envers le Client du respect des obligations des Sous-processeurs conformément aux dispositions du Contrat. ‍

6) Droits d'inspection

6.1 Droits d'inspection : Le Client a le droit d'inspecter le respect par DSwiss et/ou ses sous-traitants des obligations légales et contractuelles en rapport avec le présent Contrat de traitement des données à tout moment, mais pas plus d'une fois par an, à condition que ces inspections aient été notifiées à DSwiss dans un délai de 21 jours. La procédure de l'inspection est convenue au préalable avec DSwiss. DSwiss est tenue de coopérer de manière appropriée à chaque inspection. Toutes les inspections doivent être convenues à l'avance avec DSwiss. Lors de la planification et de la réalisation de l'inspection, le client doit tenir compte des besoins et des exigences de DSwiss en matière de sécurité et doit respecter les obligations de DSwiss en matière de confidentialité.

6.2 Inspection par des partenaires externes : Le client a le droit de faire effectuer l'inspection visée à la section 6.1 ci-dessus par un partenaire externe compétent qui est tenu à la confidentialité. Les frais du partenaire externe conformément à la présente section 6.2 sont à la charge du Client.‍

7. obligations de soutien

7.1 Sécurité des données : DSwiss assistera le client de manière raisonnable dans le respect de ses obligations légales en matière de sécurité des données et de notification des violations de données, ainsi que dans la réalisation d'évaluations d'impact sur la protection des données.

7.2 Droits des sujets de données : Si un sujet de données contacte DSwiss dans le cadre de revendications en vertu des Applicable Data Protection Laws (par ex. avec une demande d'information ou de suppression) et que ces revendications sont en rapport avec les Services, DSwiss transmettra la demande au Client sans délai. DSwiss fournira au Client une assistance appropriée dans le traitement de telles demandes.

7.3 Obligation d'informer : Les inspections et autres mesures prises par les autorités de surveillance de la protection des données doivent être communiquées au Client en temps utile, dans la mesure où cela est autorisé, si elles affectent les données personnelles ou les systèmes utilisés pour le traitement des données personnelles.

7.4 Informations de contact : Pour les questions de protection des données, la personne suivante doit être contactée en premier lieu :

Client : Le client indiquera par écrit qui DSwiss contactera en premier lieu. Si le client n'indique personne, le Service Order Signee est supposé être le premier contact.

DSwiss : CISO, security@dswiss.com

8) Confidentialité

8.1 Données personnelles : DSwiss s'engage à traiter les données personnelles de manière strictement confidentielle et à ne les rendre accessibles, à l'intérieur et à l'extérieur de son organisation, qu'aux personnes qui ont besoin d'accéder aux données personnelles pour pouvoir exercer leurs fonctions. La section 5 ci-dessus est réservée. DSwiss doit s'assurer que toutes les personnes ayant accès aux Données Personnelles sont soumises à une obligation légale ou contractuelle de confidentialité en ce qui concerne les Données Personnelles.

8.2 Autres informations : Les deux parties sont également soumises aux obligations légales de confidentialité qui leur sont applicables et à toute obligation de confidentialité convenue entre elles dans l'accord en ce qui concerne les données personnelles perçues dans le cadre du présent accord de traitement des données.

9. divers

9.1 Responsabilité : Les dispositions pertinentes de l'accord s'appliquent à la responsabilité résultant de violations du présent accord sur le traitement des données.

9.2 Notifications : Les notifications prévues dans le présent accord sur le traitement des données doivent être faites expressément et sous forme de texte (par ex. par e-mail ou courrier électronique), sauf accord contraire par écrit.

9.3 Annexes : Les annexes au présent accord sur le traitement des données font partie intégrante de celui-ci.

9.4 Amendements : Pour être valables, les amendements et autres modifications apportés au présent accord sur le traitement des données doivent être signés par les deux parties.

9.5 Résolution des litiges : Le droit applicable et le lieu de juridiction en cas de litige sont déterminés par l'accord.

‍

‍Annexe1 : Spécification de l'accord de traitement des données

1. catégories de données

les données qui permettent directement ou indirectement d'identifier des personnes physiques, telles que

- Données de contact (par ex. nom, adresse, adresse e-mail, numéros de téléphone, noms d'utilisateur, etc.)

- Identifiants en ligne (par ex. adresses IP, données de cookies, quantité de données transférées, navigateurs, systèmes d'exploitation, informations relatives à la visite du site web, etc.)

2) Catégories de personnes concernées

Données du client, des utilisateurs finaux ou du client et des partenaires du client.

- Employés

- Personnel

- Utilisateurs finaux du client

- Partenaires du client

- Visiteurs/Utilisateurs du site

- Demandeurs d'emploi

‍

Annexe 2 : Mesures de sécurité‍

1) Confidentialité (article 32, paragraphe 1, point b), du GDPR)

- Contrôle d'accès physique
Pas d'accès non autorisé aux systèmes de traitement des données, par exemple : cartes magnétiques ou à puce, clés, ouvre-portes électriques, sécurité des usines ou portiers, systèmes d'alarme, systèmes vidéo ;

- Electronic access control
No unauthorized system use, e.g. (strong) passwords, automatic locking mechanisms, two-factor authentication, encryption of data carriers ;

- Internal access control
No unauthorized reading, copying, modification or removal within the system, e.g. : authorization concepts and needs-based access rights, logging of accesses ;

- Contrôle de la séparation
Traitement séparé des données collectées à des fins différentes, p. ex. capacité multi-clients, sandboxing ;

- Pseudonymisation (Art. 32 para. 1 lit. a GDPR ; Art. 25 (1) GDPR)
Le traitement de données personnelles de telle manière que les données ne puissent plus être attribuées à un sujet de données spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et qu'elles soient soumises à des mesures techniques et organisationnelles appropriées.

‍

2. intégrité (article 32, paragraphe 1, point b), du GDPR)

- Transfer control
No unauthorized reading, copying, modification or removal during electronic transmission or transport, e.g. : encryption, Virtual Private Networks (VPN),electronic signature ;

- Input control
Déterminer si et par qui des données à caractère personnel ont été introduites, modifiées ou supprimées dans les systèmes de traitement des données, par exemple l'enregistrement, la gestion des documents.

3) Disponibilité et résilience (article 32, paragraphe 1, point b), du GDPR)

- Contrôle de disponibilité
Protection contre la destruction ou la perte accidentelle ou volontaire, par exemple : stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors site), alimentation électrique ininterrompue (UPS), protection contre les virus, pare-feu, canaux de signalement et plans d'urgence ;

- Rapid recoverability (article 32, paragraphe 1, point c), du GDPR).

4) Procédures de contrôle, d'évaluation et d'appréciation périodiques (article 32, paragraphe 1, point d), du GDPR ; article 25 (1) du GDPR)

- Gestion de la protection des données ;

- Gestion des réponses aux incidents ;

- Paramètres par défaut respectueux de la vie privée (art. 25 para. 2 GDPR) ;

- Order control
No commissioned data processing within the meaning of Art. 28 GDPR without corresponding instructions from the client, e.g. : unambiguous contract design, formalized order management, strict selection of the service provider, obligation to convince in advance, follow-up checks.

Annexe 3 : Sous-processeurs approuvés

Les personnes suivantes sont réputées être des sous-traitants approuvés au sens du présent accord sur le traitement des données à la date d'entrée en vigueur :

‍