Contrat de traitement des données de commande (ADV)

1. Objectif et champ d'application

(a) Objet de cet accord sur le traitement des données de commande (»ADV«) est-il nécessaire pour se conformer à la loi fédérale suisse sur la protection des données (»DSG«) et, le cas échéant, pour garantir des lois supplémentaires sur la protection des données (par exemple, le règlement général européen sur la protection des données) (»lois applicables en matière de protection des données«), au regard de chaque loi, uniquement si et dans la mesure applicable à l'activité de traitement respective.

(b) Pour cet accord, le client est la loi sur la protection des données Personne responsable ou responsable du traitement et Swissprime Technologies AG de Processeur de données ou sous-traitant.

(c) Le présent ADV s'applique au traitement des données personnelles tel que décrit dans l'appendice 1 et tous les termes définis dans l'annexe 1 sont des termes définis dans cet ADV.

‍

‍

2. Interprétation

(a) Lorsque des termes définis dans les lois applicables en matière de protection des données sont utilisés dans les présentes, ces termes ont la même signification que dans les présentes conditions.

(b) Le présent ADV doit être lu et interprété à la lumière des dispositions des lois applicables en matière de protection des données, en particulier du DSG, dans la mesure où elles sont applicables.

(c) Ces clauses ne doivent pas être interprétées d'une manière contraire aux droits et obligations prévus par les lois applicables en matière de protection des données ou portant atteinte aux droits ou libertés fondamentaux des personnes concernées.

‍

‍

3e hiérarchie

(a) En cas de conflit entre le présent ADV et les termes de tout autre accord entre les parties existant au moment de l'accord de cet ADV ou conclu par la suite, cet ADV prévaudra sauf accord contraire exprès par écrit.

‍

‍

4. Description du ou des traitements

(a) Les détails du traitement, en particulier les catégories de données personnelles et les finalités du traitement pour lesquelles les données personnelles sont traitées pour le compte du responsable, sont indiqués à l'annexe 1.

‍

‍

5. Obligations des parties contractantes

5.1 Généralités

(a) Le responsable du traitement des données ne traite les données personnelles que sur instructions écrites du responsable, sauf si celui-ci est légalement obligé de le faire en vertu de la loi à laquelle le responsable du traitement est soumis. Le responsable peut également émettre des instructions ultérieures pour toute la durée du traitement des données personnelles. Ces instructions doivent toujours être documentées.

(b) Le responsable du traitement informera immédiatement le responsable si, de l'avis du responsable du traitement, les instructions données par le responsable du traitement violent le DSG ou toute autre réglementation applicable.

‍

5.2 Attribution

(a) Le responsable du traitement des données ne peut traiter les données personnelles qu'aux fins de traitement spécifiées à l'annexe 1.

‍

5.3 Suppression ou renvoi des données

(a) Le traitement par le responsable du traitement des données ne peut avoir lieu que pendant la période spécifiée à l'annexe 1.

(b) En cas de cessation de la fourniture de services de traitement des données personnelles ou en cas de résiliation conformément à la section 8, le responsable du traitement renvoie toutes les données personnelles au responsable et supprime les copies existantes, à moins que les lois applicables en matière de protection des données ou d'autres réglementations n'exigent le stockage des données personnelles.

‍

5.4 Sécurité du traitement

(a) Le responsable du traitement des données prend des mesures techniques et organisationnelles (TOM) pour garantir la sécurité des données personnelles, y compris la protection contre la destruction accidentelle ou illégale, la perte, l'altération, le transfert ou l'accès non autorisés à ces données (violation de la protection des données personnelles). Lors de l'évaluation du niveau de sécurité approprié, il prend en compte en particulier les risques liés au traitement, le type de données personnelles ainsi que la nature, la portée, les circonstances et les finalités du traitement.

(b) En cas de violation de données personnelles concernant les données traitées par le responsable du traitement des données, le responsable du traitement en informe immédiatement le responsable, mais au plus tard dans les 48 heures suivant la prise de connaissance de la violation. Cet avis comprend les coordonnées d'un point de contact auprès duquel de plus amples informations sur la violation de données personnelles peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'ensembles de données), ses conséquences probables et les mesures prises ou à prendre pour atténuer ses effets négatifs potentiels. S'il n'est pas possible de fournir toutes les informations en même temps, la notification initiale inclura les informations disponibles à ce moment-là et des informations supplémentaires seront fournies sans retard injustifié dès qu'elles seront disponibles.

(c) Le responsable du traitement travaille de bonne foi avec le responsable du traitement et l'assiste de toutes les manières nécessaires afin que le responsable du traitement soit en mesure, le cas échéant, d'informer l'autorité compétente en matière de protection des données et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose le responsable du traitement.

(d) Le responsable du traitement des données n'autorise ses employés à accéder aux données que dans la mesure où cela est absolument nécessaire à l'exécution, à la gestion et au suivi du contrat. Le responsable du traitement des données s'assure que les personnes autorisées à traiter les données personnelles reçues se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité correspondante.

‍

5.5 Documentation et conformité réglementaire

(a) Les parties doivent être en mesure de démontrer leur conformité à cet ADV.

(b) Le responsable du traitement des données est tenu de répondre rapidement et correctement à toutes les demandes raisonnables du responsable du traitement relatives au traitement dans le cadre des lois applicables en matière de protection des données.

(c) Le responsable du traitement fournit au responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les lois applicables en matière de protection des données et découlant directement des lois applicables en matière de protection des données et, à la demande du responsable du traitement, permet la vérification des fichiers et des documents ou des audits des activités de traitement couvertes par ces clauses et y contribue, en particulier en cas de signes de non-conformité.

(d) Le responsable a le choix de réaliser lui-même l'audit, de faire appel à un auditeur indépendant à ses frais ou de s'appuyer sur un audit indépendant commandé par le responsable du traitement des données. Si le responsable du traitement des données commande un audit, il doit prendre en charge les frais de l'auditeur indépendant. Les droits d'audit, d'accès et d'inspection du responsable du traitement en vertu de cette clause sont limités exclusivement aux dossiers du responsable du traitement des données (y compris les enregistrements des activités de traitement) et ne s'appliquent pas aux locaux physiques du responsable du traitement des données. Tout examen et demande d'informations se limiteront aux informations nécessaires aux fins du présent ADV et tiendront dûment compte des obligations de confidentialité du responsable du traitement des données et de son intérêt légitime à protéger les secrets commerciaux.

(e) Le responsable du traitement des données et le responsable du traitement fournissent les informations visées dans cette clause, y compris les résultats de tout audit, à l'autorité de contrôle compétente sur demande, si et dans la mesure requise par les lois applicables en matière de protection des données.

(f) Le responsable doit rembourser au responsable du traitement des données les dépenses résultant des activités conformément aux points b à d ci-dessus, à moins que les services ne soient fondés sur des soupçons raisonnables de non-respect de la législation applicable en matière de protection des données ou ne nécessitent des efforts déraisonnables.

‍

5.6 Utilisation de sous-processeurs de données

(a) Le responsable du traitement des données a le consentement de la personne responsable de la nomination des sous-processeurs de données (sous-traitants). La liste des sous-traitants du processeur de données se trouve à l'annexe 1. Le responsable du traitement des données informe le responsable du traitement par écrit de toute modification envisagée de cette liste en ajoutant ou en remplaçant des sous-traitants, au moins 30 jours à l'avance, afin que le responsable du traitement ait la possibilité de s'opposer à ces modifications avant d'en informer le ou les sous-processeurs de données concernés. Une telle objection ne doit pas être injustifiée. Les parties tiennent la liste à jour.

(b) Si le responsable du traitement charge un sous-traitant des données d'effectuer certaines activités de traitement (pour le compte du responsable du traitement), cela se fait dans le cadre d'un contrat qui impose au sous-traitant les mêmes obligations que le sous-traitant conformément aux lois applicables en matière de protection des données. Le responsable du traitement des données veille à ce que le sous-traitant respecte les obligations auxquelles le responsable du traitement des données est soumis en vertu du présent ADV et des lois applicables en matière de protection des données.

(c) Le responsable du traitement des données reste entièrement responsable envers la personne chargée de remplir les obligations du sous-traitant en vertu de son contrat avec le sous-traitant. Le responsable du traitement des données informera le responsable du traitement si le sous-traitant ne respecte pas ses obligations en vertu du présent contrat.

‍

5.7 Transferts internationaux

(a) Tout transfert de données vers un »pays tiers« (tout pays en dehors de la Suisse) ou une organisation internationale par le responsable du traitement des données ne peut avoir lieu que s'il est approuvé conformément à l'Annexe 1, et doit être fait conformément aux lois applicables en matière de protection des données, dans la mesure applicable. Il peut être nécessaire d'ajouter des clauses contractuelles types et de réaliser une analyse d'impact sur la protection des données, ce qui entraîne des exigences supplémentaires qui doivent être ajustées.

(b) Le responsable du traitement accepte que, dans les cas où le sous-traitant engage un sous-traitant conformément à la clause 5.6 pour effectuer certaines activités de traitement (pour le compte du responsable du traitement) dans un pays tiers et que ces activités de traitement incluent le transfert de données personnelles, utilise une clause standard de protection des données approuvée pour répondre aux exigences des lois applicables en matière de protection des données, à condition que les conditions d'utilisation de ces clauses soient remplies.

‍

‍

6. Droits de la personne concernée

(a) Le responsable du traitement des données informera immédiatement le responsable de toutes les demandes faites directement par la personne concernée. Il ne répond pas lui-même à cette demande, à moins d'y avoir été autorisé par le responsable.

(b) Le responsable du traitement aide le responsable du traitement à remplir ses obligations de répondre aux demandes des personnes concernées visant à exercer leurs droits, dans la mesure applicable :

1. le droit d'être informé lorsque des données personnelles sont collectées auprès de la personne concernée,
2. le droit d'être informé lorsque des données personnelles n'ont pas été reçues de la personne concernée,
3. le droit à l'information de la personne concernée,
4. le droit de rectification,
5. le droit de suppression (« le droit à l'oubli »),
6. le droit de restreindre le traitement,
7. l'obligation de signaler la correction ou la suppression des données personnelles ou la limitation du traitement,
8. le droit à la portabilité des données,
9. le droit de déposer une opposition
10. le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

(c) Outre l'obligation du sous-traitant d'assister le responsable du traitement conformément à l'article 6, point b), le sous-traitant aide le responsable du traitement à se conformer aux obligations suivantes, en tenant compte de la nature du traitement et des informations dont il dispose :

1. L'obligation de signaler une violation de données personnelles à l'autorité de contrôle compétente immédiatement après en avoir pris connaissance (sauf s'il est peu probable que la violation de données personnelles entraîne un risque pour les droits et libertés des personnes physiques) ;
2. l'obligation d'informer immédiatement la personne concernée d'une violation de données personnelles si celle-ci est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ;
3. l'obligation de réaliser une évaluation de l'impact du traitement prévu sur la protection des données personnelles (une « analyse d'impact sur la protection des données ») lorsqu'un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
4. l'obligation de consulter l'autorité de contrôle compétente avant le traitement si une analyse d'impact relative à la protection des données montre que le traitement comporterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour réduire ce risque.

(d) Le responsable doit rembourser au responsable du traitement des données les dépenses liées à tout service sur la base des droits mentionnés ci-dessus, à moins que les services ne soient fondés sur un soupçon raisonnable de non-respect de la législation applicable en matière de protection des données ou que les efforts ne soient déraisonnables.

‍

‍

7. Signalement des violations de la protection des données personnelles

(a) En cas de violation de données personnelles, le responsable du traitement travaillera de bonne foi avec le responsable du traitement et l'aidera de manière raisonnable à se conformer à ses obligations en matière d'analyse d'impact sur la protection des données, en tenant compte du type de traitement et des informations dont dispose le responsable du traitement des données. Les dépenses excessives doivent être payées au responsable du traitement des données.

(b) Le responsable du traitement des données aide le responsable à signaler la violation de données personnelles à l'autorité de surveillance compétente, le cas échéant. En particulier, le responsable du traitement des données est tenu d'aider à obtenir les informations suivantes, qui, conformément aux lois applicables en matière de protection des données, telles que l'article 22, paragraphe 2, DSG, doivent être fournies dans le rapport du responsable du traitement :

1. Le type de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
2. les conséquences probables d'une violation de la protection des données personnelles ;
3. les mesures que le responsable du traitement a prises ou a l'intention de prendre pour remédier à la violation de la protection des données personnelles, y compris, le cas échéant, des mesures visant à atténuer les effets négatifs potentiels.

‍

‍

8. Résiliation

(a) Nonobstant les dispositions des lois applicables en matière de protection des données, le responsable du traitement peut demander au sous-traitant de cesser temporairement de traiter les données personnelles jusqu'à ce qu'il se conforme aux lois applicables en matière de protection des données ou que le contrat soit résilié si le sous-traitant ne respecte pas ses obligations en vertu du présent ADV ou de la base légale correspondante. Le responsable du traitement des données informera immédiatement le responsable si, pour une raison quelconque, il n'est pas en mesure de respecter les lois applicables en matière de protection des données.

(b) Le responsable a le droit d'annuler cet ADV et le contrat de base si :

1. le traitement des données personnelles par le sous-traitant a été temporairement suspendu par le responsable du traitement conformément au point a, la violation commise par le responsable du traitement est significative et le respect de la protection des données n'est pas rétabli dans un délai raisonnable, mais en tout état de cause dans un délai d'un mois ;
2. Le responsable du traitement des données enfreint de manière significative ou permanente la législation applicable en matière de protection des données (en particulier le DSG) ou ses obligations en vertu des lois applicables en matière de protection des données, et cette violation ne devrait pas être corrigée ;
3. le responsable du traitement des données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de surveillance compétente concernant ses obligations en vertu des lois applicables en matière de protection des données.

(c) Cet ADV restera pleinement en vigueur tant que l'accord conclu entre les parties restera en vigueur. Toutes les dispositions du présent ADV qui entrent en vigueur ou sont destinées à rester en vigueur, expresses ou implicites, à la date ou après la résiliation de l'accord de protection des données personnelles resteront pleinement en vigueur.

‍

‍

9. Responsabilité et indemnisation

(a) Nonobstant toute disposition contraire du présent ADV ou de tout autre accord entre les parties, le responsable du traitement doit, sur demande, indemniser immédiatement le responsable du traitement de tous les coûts, réclamations, demandes, dépenses (y compris les frais juridiques raisonnables), pertes, poursuites, procédures et responsabilités de toute nature émanant du responsable du traitement ou de ses filiales en relation avec le non-respect par le responsable du traitement des dispositions du présent accord et/ou de la loi applicable en matière de protection des données ou de tiers mandatés par lui survenir lors du traitement de données personnelles pour la personne responsable.

En outre, les dispositions du présent ADV et du Code suisse des obligations s'appliquent.

‍

‍

10. Juridiction et droit applicable

Le lieu de juridiction est le siège social de la personne responsable. Le droit matériel suisse est applicable.

‍

‍

11. Divers

Dans la mesure où rien n'est convenu dans les présentes, tout contrat-cadre conclu s'applique.

‍

* Les catégories de données personnelles et les personnes concernées sont définies par le responsable et sans l'intervention du responsable du traitement des données. La liste est donnée à titre d'exemple.

‍

Sous-processeur de données