ATD – SWISS21

Accord sur le traitement des données (ATD)

Accord sur le traitement des données (ATD) entre le propriétaire d’un compte AbaNinja («mandant») et Abacus Research AG, Abacus-Platz 1, CH-9300 Wittenbach («mandataire»). Ci-après dénommés, individuellement, une «partie» ou, conjointement, les «parties».

Préambule

  1. Le mandant confie au mandataire des tâches de traitement des données personnelles («données») au sens des dispositions légales relatives à la protection des données. Dans ce contexte, le mandataire peut être un sous-traitant ou un autre sous-traitant en termes de protection des données. Ces tâches sont accomplies dans le cadre de demandes de support, de demandes de maintenance ou d’autres tâches pour lesquelles le mandataire a l’accès (y compris l’«accès à distance») aux données, lesquelles sont mises à sa disposition par le mandant ou ses clients ou dont il peut prendre connaissance.
  2. Le présent accord est conclu afin de garantir le respect des exigences légales. Il s’applique à toutes les activités liées aux contrats conclus entre les parties, dans le cadre desquelles des collaborateurs du mandataire ou des personnes autorisées par le mandataire traitent des données du mandant (y compris aussi les données de ses clients). Le présent accord s’applique également à tous les contrats futurs, conclus entre les parties, qui prévoient un traitement des données de commande.

1. Objet de l’accord

  1. L’objet du présent accord, auquel il est fait référence ici, ainsi que sa nature et sa finalité découlent des contrats respectifs conclus entre les parties et pouvant inclure un traitement des données de commande.
  2. Le traitement des données est effectué par le mandataire en Suisse, dans un état membre de l’Union européenne/l’EEE ou d’autres états tiers. Le traitement dans un pays tiers est effectué avec le consentement du mandataire octroyé dans le présent accord. Si les données sont soumises au secret professionnel ou de fonction ou si d’autres obligations de secret ou dispositions contractuelles devaient exclure le traitement dans un pays tiers, le mandant devra en informer le mandataire avant traitement par celui-ci, afin que les parties puissent convenir de la procédure à suivre. Sans notification, le mandataire pourra supposer que le traitement peut se faire dans un pays tiers. Le mandant est seul responsable de l’existence des bases légales nécessaires pour un traitement licite des données en dehors de la Suisse.
  3. Tout autre transfert du traitement de données ou de parties de celui-ci vers d’autres pays tiers ne pourra avoir lieu que si les prescriptions spéciales du droit sur la protection des données sont respectées (p. ex. décision d’adéquation, clauses standards sur la protection des données, code de conduite approuvé ou autre garantie appropriée pour le transfert des données).
  4. Actuellement, pour les prestations relatives au traitement des données de commande, il est fait appel à d’autres sous-traitants en Suisse (p. ex. pour le support) et pour des parties de celui-ci (p. ex. communication dans le domaine du support), à d’autres sous-traitants dans les États membres de l’UE ou aux États-Unis. Une liste à jour des autres sous-traitants est disponible auprès du mandataire sur demande du mandant.

2. Durée de l’accord

  1. La durée du présent accord dépend de la durée des contrats de traitement des données de commande conclus entre les parties, pour autant que les dispositions du présent accord ne prévoient aucune obligation ou aucun droit de résiliation plus étendu.
  2. En cas d’infraction grave aux règles applicables en matière de protection des données ou aux dispositions du présent accord, les parties peuvent résilier le présent accord sur le traitement des données de commande en respectant un préavis de 4 semaines. En cas d’infraction simple – à savoir ni intentionnelle ni consécutive à une négligence grave – l’une des parties contractantes fixera à l’autre un délai convenable dans lequel cette dernière pourra remédier à l’infraction.

3. Nature et finalité du traitement, type de données et catégories de personnes concernées

  1. Les activités du mandataire comprennent les prestations relatives aux produits contractuels décrits dans les contrats conclus entre les parties et dans le cadre desquelles un trai-tement des données de commande par le mandataire est possible.

Les activités du mandataire peuvent notamment comprendre ce qui suit:

    • installation et test des produits contractuels chez le mandant ou ses clients
    • améliorations des produits contractuels
    • maintenance, installation et test des hotfixes, des servicepacks et des nouvelles versions des produits contractuels mis à disposition
    • activités dans le cadre du support
    • accès et traitement des données chez le mandant ou directement chez ses clients
    • hébergement d’applications, de solutions logicielles et de données

Les types de traitement suivants sont possibles:

    • collecte, enregistrement, organisation ou structuration des données
    • conservation, adaptation ou modification des données
    • extraction, consultation, utilisation, divulgation des données par transmission
    • diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion des données
    • limitation, suppression ou destruction des données
    • Le type de données traitées et les catégories de personnes concernées découlent de l’objet du contrat respectif et des produits contractuels. Une liste à jour des produits contrac-tuels, accompagnée des données et des catégories de personnes concernées pouvant être traitées dans le cadre du traitement des données de commande, est disponible auprès du mandataire.

4. Droits, pouvoir d’instruction et obligations du mandant

  1. Le mandant ou ses clients sont seuls responsables au sens de la protection des données (ci-après «responsables du traitement») pour l’appréciation du caractère licite du traitement ainsi que pour la sauvegarde des intérêts des personnes concernées. Le mandataire fera suivre au mandant toutes les demandes adressées au mandant ou à un responsable du traitement pour autant qu’elles soient reconnaissables comme telles.
  2. Les changements de l’objet du traitement et les changements de procédure peuvent être convenus conjointement entre le mandant et le mandataire et fixés par écrit ou dans un format électronique documenté.
  3. Le mandant est habilité à donner des instructions au mandataire et les donne généralement par écrit ou dans un format électronique documenté. Les instructions orales doivent immédiatement être confirmées par le mandant, par écrit ou dans un format électronique documenté. Les instructions doivent être conservées pendant toute leur durée de validité et ensuite pour trois années civiles complètes. Les instructions qui ne sont pas prévues au contrat respectif seront traitées comme demande de modification de la prestation et devront être rémunérées en conséquence par le mandant.
  4. Les auxiliaires du mandant habilités à donner des instructions et ceux auxquels des instructions sont destinées, sont définis individuellement par les parties tout en déterminant les canaux de communication à utiliser.
  5. Le mandant informera immédiatement le mandataire si, lors de la vérification des résultats du mandat, il devait constater ou être informé de violations de la protection des données, d’erreurs ou d’irrégularités. Le mandataire prend les mesures utiles pour sauvegarder les données et atténuer les éventuelles conséquences préjudiciables pour les personnes concernées. Il pourra pour cela se concerter avec le mandant.

5. Obligations du mandant

  1. Le mandataire traite les données exclusivement dans le cadre des accords conclus et conformément aux instructions documentées du mandant, à moins qu’il ne soit tenu à d’autres traitements en vertu du droit applicable auquel le mandataire est soumis (p. ex enquêtes des autorités chargées des poursuites pénales ou de protection de l’État); dans un tel cas, le mandataire informera le mandant de cette obligation juridique avant le traitement, dans la mesure où le droit concerné n’interdit pas une telle notification pour des motifs d’intérêt public importants. Finalité, nature et étendue du traitement des données sont exclusivement régis par le présent accord et/ou les instructions du mandant.
  2. Le mandataire informera immédiatement le mandant si une instruction donnée par le mandant devait contrevenir manifestement aux dispositions légales. Le mandataire est autorisé à suspendre l’exécution de l’instruction concernée jusqu’à ce qu’elle soit confirmée ou modifiée par le responsable du traitement ou par le mandant après vérification. Si le mandataire est en mesure de démontrer qu’un traitement conforme aux instructions du mandant peut engager la responsabilité du mandataire, celui-ci est en droit de suspendre la suite du traitement jusqu’à clarification de la responsabilité de chaque partie.
  3. Le mandataire n’utilisera pas les données fournies pour le traitement à d’autres fins, notamment à ses propres fins. Des copies ou duplicatas des données ne seront pas effectués à l’insu du mandant. En sont exclues les copies de sauvegarde, dans la mesure où elles sont nécessaires pour garantir un traitement en bonne et due forme des données, ainsi que les données nécessaires pour le respect des obligations légales de conservation.
  4. Le mandataire n’est pas autorisé à rectifier ou supprimer des données traitées dans le cadre du mandat ou à en limiter le traitement de son propre chef, mais uniquement après avoir reçu des instructions documentées du mandant.
  5. Dans les domaines relevant de sa compétence, le mandataire concevra et contrôlera l’organisation interne de sorte qu’elle réponde aux exigences propres à la protection des données.
  6. Le mandataire tient un registre de toutes les catégories d’activités de traitement effectuées sur demande du mandant, comprenant toutes les informations utiles d’un registre des traitements.
  7. Les données traitées pour le mandant seront strictement séparées des autres données stockées. Une séparation physique n’est pas impérativement nécessaire.
  8. Les supports de données qui proviennent du mandant ou sont utilisés pour celui-ci seront identifiés de manière spécifique. Les entrées et sorties ainsi que l’utilisation en cours seront documentées.
  9. Le mandataire coopèrera au respect des droits des personnes concernées par le mandant, à la sécurité du traitement, à la notification des violations de la protection des données ainsi qu’aux analyses d’impact sur la protection des données du mandant, dans la mesure nécessaire, et soutiendra raisonnablement le mandant, dans la mesure du possible.
  10. Le traitement des données en dehors des locaux du mandataire, par exemple dans le bureau des collaborateurs à domicile, est autorisé par le mandant dans le présent accord. Si les données sont traitées dans une habitation privée, l’accès au domicile du collaborateur pour des activités de contrôle du mandant ainsi que pour d’autres mesures nécessaires doit être garanti par contrat.
  11. Le mandataire s’engage à respecter la confidentialité des données lors de leur traitement, conformément au mandat. Cette obligation restera applicable au-delà de la relation contractuelle. Le cas échéant, il observera également les règles de protection du secret pertinentes incombant au mandant.
  12. Le mandataire a informé avant le début de leur activité les collaborateurs chargés du traitement des données de commande ainsi que les autres personnes travaillant pour lui, des dispositions pertinentes de la protection des données qui leur sont applicables et les tient au secret de manière appropriée, pendant la durée de leur activité mais également après la fin de leur engagement. Il leur est interdit de traiter les données hors des directives du mandant, sauf s’ils y sont tenus par la loi.
  13. Un délégué à la protection des données a été désigné chez le mandataire. Les coordonnées actuelles sont publiées sur le site Internet du mandataire et sont facilement accessibles.

6. Obligation de notification du mandataire en cas de violation de données

  1. Si le mandataire devait avoir connaissance d’une violation de données ou de la sécurité des données, il la notifiera au mandant dans les meilleurs délais, oralement, par écrit ou sous forme de texte après en avoir eu connaissance.
  2. La communication au mandant devra, à tout le moins:
    1. décrire la nature de la violation de données y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées par la violation ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés.
    2. décrire les mesures que le mandataire a prises ou propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les potentiels effets préjudiciables.
  3. S’il devait exister un devoir d’information de tiers (tels que les personnes concernées) ou toute autre obligation légale de notification (par exemple à une autorité de contrôle) qui s’applique au mandant ou à un responsable du traitement, le mandant ou le responsable du traitement sera chargé de veiller à ce que ce devoir / cette obligation soit respecté(e).

7. Rapports de sous-traitance avec d’autres sous-traitants

  1. Ces rapports de mandat incluent les services qui sont directement liés à la fourniture de la prestation principale ou de parties de celle-ci aux termes du présent accord. N’en font pas partie les prestations purement accessoires, telles que les services de télécommunications, postaux ou de transport, les prestations de nettoyage ou de surveillance sans référence spécifique aux services que le mandataire fournit au mandant. Les prestations de maintenance, d’entretien et de contrôle ainsi que l’élimination des supports de données représentent – dans la mesure où l’accès aux données du mandant ou leur connaissance est possible – de tels rapports de mandat dans la mesure où elles sont fournies pour des systèmes IT également utilisés dans le cadre de la fourniture de prestation pour le mandant.
  2. Par le présent accord, le mandataire est généralement autorisé à donner mandat à d’autres sous-traitants (p. ex. participation ou remplacement) pour le traitement des données du mandant. Une liste à jour des autres sous-traitants mandatés est disponible auprès du mandataire sur demande du mandant. Par le présent accord, le mandant déclare accepter l’attribution des mandats susmentionnés.
  3. Le mandataire informe le mandant dans un délai de 30 jours de tout changement prévu concernant la participation de nouveaux sous-traitants ou le remplacement de ceux existants, en donnant au mandant la possibilité d’émettre des objections à l’encontre de ces changements.
  4. Sans objection du mandant dans les 7 jours, celui-ci accepte le changement; en cas d’objection dans ce délai, l’attribution des mandats à d’autres sous-traitants n’est pas permise. Dans un tel cas, les parties trouveront une solution à l’amiable quant aux autres sous-traitants. En cas d’urgence, le mandant réagira dans un délai de 1 jour et, le cas échéant, émettra son objection.
  5. Le mandataire veille à sélectionner avec soin les autres sous-traitants.
  6. Une attribution des mandats à d’autres sous-traitants dans des pays tiers ne pourra avoir lieu que si les prescriptions spéciales du droit sur la protection des données sont respectées (p. ex. décision d’adéquation, clauses standards sur la protection des données, code de conduite approuvé ou autre garantie appropriée pour le transfert des données). Le mandataire le garantira en adoptant des mesures appropriées. À cet effet, le mandat confère au mandataire l’autorisation nécessaire pour adopter les mesures appropriées (y compris par procuration), telles que l’adoption de clauses contractuelles de protection de données types (aussi au nom et pour le compte du mandant), si un niveau de protection des données adéquat n’aura pas été constaté.
  7. Le mandataire s’assure contractuellement que les clauses convenues entre le mandant et le mandataire s’appliquent également aux autres sous-traitants. Le contrat avec les autres sous-traitants est rédigé par écrit ou au format électronique.

8. Mesures techniques et organisationnelles

  1. Pour chaque traitement de commande, un niveau de protection adapté au risque sur les droits et libertés des personnes physiques concernées par le traitement est garanti. Pour ce faire, les objectifs de protection tels que la confidentialité, l’intégrité et la disponibilité des systèmes et des services ainsi que leur résilience par rapport à la nature, à la portée, aux circonstances et à la finalité du traitement, sont pris en compte de sorte à constamment réduire les risques au moyen des mesures correctrices techniques et organisationnelles appropriées.
  2. Une liste des mesures techniques et organisationnelles prises par le mandataire est disponible auprès de celui-ci sur demande du mandant. Les mesures qui y sont prévues représentent les mesures mises en œuvre chez le mandataire, conformément au risque identifié, compte tenu des objectifs de protection selon l’état des connaissances technologiques.
  3. Le mandataire procédera, le cas échéant ainsi qu’à intervalles réguliers, a une vérification, une analyse et une évaluation de l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Sur demande, le mandant pourra être informé des résultats, rapport de contrôle compris. Au cours des rapports de mandat, les mesures prises chez le mandataire pourront être adaptées aux évolutions techniques et organisationnelles.
  4. Si les mesures prises chez le mandataire ne satisfont pas aux exigences du mandant, ce dernier en informera immédiatement le mandataire.

9. Droits et prétentions des personnes concernées

  1. Le mandataire aide le mandant à s’acquitter de ses obligations relatives aux demandes et prétentions des personnes concernées, dans la mesure du possible et au moyen des mesures techniques et organisationnelles appropriées.
  2. Si une personne concernée devait adresser au mandataire des requêtes de rectification, de blocage (limitation), de suppression ou d’accès aux données, le mandataire la renverra immédiatement au mandant, à condition qu’une attribution évidente au mandant soit possible selon les informations de la personne concernée, et attendra les instructions du mandant.
  3. Le mandataire ne pourra divulguer à des tiers des informations relatives au rapport de mandat qu’après instruction préalable ou avec le consentement du mandant.
  4. Le mandataire n’est pas responsable si la demande de la personne concernée ne reçoit pas de réponse de la part du mandant ou de ses clients, responsables du traitement, ou si la réponse est inexacte ou transmise hors délai.

10. Contrôles et vérifications

  1. Le mandataire vérifie à intervalles réguliers les processus internes et déclare accepter que le mandant soit autorisé à vérifier régulièrement le respect des règles en matière de protection et de sécurité des données ainsi que le respect des accords contractuels, avant le début du traitement et pendant la durée du contrat, de manière raisonnable et suffisante.
  2. Si nécessaire, le mandataire collaborera à ces vérifications. Le résultat devra être documenté.
  3. Si des vérifications devaient s’avérer nécessaires dans des cas particuliers, elles seront effectuées sur rendez-vous et en prévoyant un délai approprié, pendant les heures de bureau habituelles et sans perturber le déroulement des processus opérationnels. Le mandataire pourra subordonner ces vérifications à la signature d’une déclaration de confidentialité portant sur les données des autres clients et les mesures techniques et organisationnelles mises en place. Le mandant accepte la désignation d’un auditeur externe indépendant par le mandataire, à condition que ce dernier fournisse une copie du rapport de vérification sur demande du mandant.
  4. Si une autorité de contrôle de la protection des données ou une autre autorité de contrôle étatique devait procéder à une vérification, la signature d’un accord de confidentialité ne sera pas nécessaire si cette autorité de contrôle est soumise au secret professionnel ou aux règles de confidentialité prévues par la loi, dont la violation est passible de sanction en vertu du Code pénal.
  5. Sur demande, le mandant et le mandataire coopéreront avec l’autorité de contrôle de la protection des données dans l’exécution de leurs tâches.
  6. Pour l’assistance dans l’exécution d’un contrôle, le mandataire pourra exiger une rémunération appropriée basée sur les dépenses effectives encourues. Les tarifs horaires courants du mandataire s’appliqueront alors.
  7. En principe, le mandant rémunèrera les prestations d’assistance fournies par le mandataire qui ne sont pas dues à un comportement erroné du mandataire de manière appropriée en fonction des dépenses effectives encourues. Les tarifs horaires courants du mandataire s’appliqueront alors.

11. Obligation du mandataire après la fin du mandat

  1. Dès la fin des travaux contractuels ou à tout moment sur demande du mandant, le mandataire remettra au mandant toutes les données et tous les stocks de données du mandant en sa possession et en relation avec le rapport de mandat, voire les supprimera ou les fera détruire dans le respect des dispositions en matière de protection des données (dans la mesure où cela n’est pas contraire à une obligation légale de conservation). Il en va de même pour les sauvegardes de données, le matériel de test et les restes de matériel à éliminer.
  2. À la demande du mandant, le mandataire pourra fournir la preuve de la suppression correcte des données encore existantes. Les documents à éliminer doivent être détruits à l’aide d’une déchiqueteuse. Les supports de données à éliminer doivent être détruits conformément à leur classification de sécurité. Sur demande, la suppression ou la destruction peut être confirmé(e) au mandant par écrit ou dans un format électronique documenté, avec indication de la date.
  3. Le mandant est en droit de contrôler la restitution complète / la suppression complète conforme au contrat des données chez le mandataire.
  4. Le mandataire est en droit de réclamer une rémunération raisonnable pour la remise, la suppression ou la destruction susmentionnée. Les tarifs horaires courants du mandataire s’appliqueront alors.

12. Responsabilité en cas de violation du présent accord

  1. Pour la réparation des dommages subis par une personne suite à un traitement ou une utilisation des données illicite ou incorrect(e) au sens des lois sur la protection des données, dans le cadre du présent accord, le mandant et le mandataire sont solidairement responsables vis-à-vis de la personne concernée dans la mesure où les lois et prescriptions applicables en matière de protection des données le prévoient.
  2. Sous réserve d’un régime de responsabilité convenu séparément dans les contrats respectifs conclus entre les parties et pouvant inclure le traitement de données de commande, le mandataire répond vis-à-vis du mandant des dommages directs résultant de la violation de ses obligations en matière de protection des données dans le cadre du présent accord, jusqu’à un maximum du 10% de la rémunération effectivement versée pour la prestation à l’origine du dommage au cours des 12 derniers mois, sans toutefois dépasser un total de CHF 50’000.–, sauf si le mandataire n’est pas ou pas entièrement responsable de l’événement à l’origine du dommage.
  3. Les éventuelles limitations de responsabilité existantes entre le mandant et ses clients, en leur qualité de responsables du traitement, s’appliquent également en faveur du mandataire, de sorte que ce dernier n’est pas dans l’obligation d’indemniser le mandant pour les montants qu’il n’est pas tenu de payer en raison de ces limitations de responsabilité.
  4. Toute autre responsabilité est exclue dans la limite autorisée par la loi. Les règles de responsabilité convenues dans les contrats respectifs conclus entre les parties s’appliquent pour les autres dommages qui ne résultent pas d’une violation des obligations en matière de protection des données découlant du présent accord.

13. Autres

  1. Les accords portant sur les mesures techniques et organisationnelles ainsi que les documents de contrôle et de vérification doivent être conservés par les deux partenaires contractuels pendant leur durée de validité et ensuite pour trois années civiles complètes.
  2. Le mandataire se réserve le droit de modifier à tout moment le présent accord. Toute modification sera annoncée au mandataire au moins un mois à l’avance par écrit ou par tout autre moyen approprié. Les modifications seront considérées comme acceptées sans résiliation par le mandataire pour le prochain terme possible, dans un délai de un mois après notification. Le mandataire ne peut faire valoir aucun droit à l’encontre du mandant en cas de modification.
  3. Les modifications, les avenants au présent accord ainsi que les conventions accessoires requièrent généralement la forme écrite ou un format électronique documenté. Le terme modification, avenant ou convention accessoire aux présentes conditions devra expressément être mentionné. Cette réserve s’applique également à la renonciation de l’exigence de la forme écrite. Cette exigence de forme ne s’applique pas aux modifications et avenants unilatéraux au présent accord par le mandataire.
  4. Si la propriété ou les données du mandant à traiter devaient être menacées chez le mandataire par des mesures de tiers (p. ex. par saisie ou confiscation), par une procédure d’insolvabilité ou de concordat ou par d’autres événements, le mandataire devra en informer immédiatement le mandant, à moins que cela ne lui soit interdit par décision judiciaire ou administrative. Le mandataire informera immédiatement tous les services compétents que la souveraineté et la propriété des données appartiennent exclusivement au mandant ou à ses clients en leur qualité de responsables du traitement.
  5. L’exception du droit de rétention est exclue en ce qui concerne les données traitées pour le mandant et les supports de données correspondants.
  6. Si certaines dispositions du présent accord s’avéraient nulles ou sans effet, le reste des dispositions ne s’en trouvera pas affecté. Les dispositions caduques seront d’emblée remplacées par des dispositions se rapprochant le plus du but économique de l’accord. Il en va de même en cas de lacune du contrat.
  7. En cas d’éventuelles contradictions concernant le traitement des données de commande, les clauses du présent accord relatives à la protection des données prévaudront sur les contrats respectifs conclus entre les parties.
  8. Le présent accord a été rédigé en différentes langues. En cas de divergences ou de contradictions entre ces différentes versions, la version allemande fera foi.
  9. Tout différend relatif au présent accord ou en relation avec ce dernier est soumis à la compétence exclusive des tribunaux du siège du mandataire. En cas de litige, le mandataire est toutefois autorisé à aussi saisir les tribunaux du siège du mandant.
  10. Le présent accord est régi par la législation suisse, à l’exclusion des règles du droit international privé.

Annexes disponibles sur demande du mandant:

  • Liste Autres sous-traitants d’Abacus Research AG pour «AbaNinja»

  • Liste Produits contractuels, ainsi que l’indication des données et des catégories de personnes concernées

  • Liste Mesures techniques et organisationnelles d’Abacus Research AG

V 1.0 | 21.09.2020