Data Processing Agreement (DPA)

Version du 1er septembre 2023

Accord sur le traitement des données (DPA) entre le client du logiciel Realforce (“client”) et Realforce Solutions SA (“contractant”), chacun étant désigné individuellement comme une “partie” ou conjointement comme les “parties”.

  1. Préambule

Le client confie au contractant des tâches de traitement de données à caractère personnel (“données”) au sens des dispositions relatives à la protection des données. Le contractant peut être un sous-traitant ou un sous-traitant ultérieur au sens de la loi sur la protection des données. Ces tâches peuvent être effectuées dans le cadre de l’exécution d’un contrat, de demandes d’assistance, de demandes de maintenance ou d’autres tâches dans lesquelles le contractant reçoit un accès (y compris par le biais d’un “accès à distance”) aux données ou est autrement fourni avec des données par le client ou ses clients, ou peut prendre connaissance de ces données.

Le présent accord est exécuté pour se conformer aux exigences légales. Il s’applique à toutes les activités liées aux contrats conclus entre les parties, dans le cadre desquelles des employés du contractant ou des agents mandatés par le contractant traitent les données du client (y compris les données des clients du client). En outre, le présent accord s’applique à tous les autres contrats prévoyant le traitement de données que les parties pourraient conclure entre elles à l’avenir.

  1. Objet de l’accord

L’objet du présent accord, ainsi que sa nature et son but, sont définis par les contrats individuels conclus entre les parties qui comprennent des activités de traitement des données, et auxquels il est fait référence ici.

Le traitement des données est effectué par le contractant en Suisse et dans les États membres de l’UE/EEE et dans d’autres pays tiers. Le traitement dans un pays tiers a lieu conformément au consentement du client accordé dans le présent document. Si les données sont soumises à un secret professionnel ou officiel, ou à d’autres obligations contractuelles de confidentialité ou à des accords contractuels qui excluent le traitement dans un pays tiers, le client doit en informer le contractant avant le traitement par le contractant afin que des mesures correspondantes puissent être prises entre les parties. En l’absence de notification, il est présumé qu’aucune autorisation préalable n’est requise. Le client est entièrement responsable de l’existence de la base juridique nécessaire au traitement licite des données en dehors de la Suisse.

Toute délocalisation ultérieure du traitement des données ou de ses sous-opérations dans d’autres pays tiers n’aura lieu que lorsque les conditions particulières prévues par la législation sur la protection des données auront été remplies (par exemple, décision d’adéquation, clauses types de protection des données, adhésion à des codes de conduite approuvés ou à d’autres mesures de protection appropriées pour la transmission des données).

Des sous-traitants sont actuellement utilisés pour assurer le traitement des données en Suisse (par exemple le support) et pour des sous-opérations de traitement des données (par exemple, les communications liées au support) dans les États membres de l’UE et aux États-Unis. La liste actuelle des sous-traitants de données est applicable et le client peut l’obtenir sur demande auprès du contractant.

  1. Durée de l’accord

La durée du présent accord est régi par la durée des contrats ayant pour objet le traitement de données entre les parties, dans la mesure où les dispositions du présent accord n’entraînent pas d’obligations ou de droits de résiliation supplémentaires.

Les parties peuvent résilier le présent accord de traitement des données en respectant un délai de préavis de 4 semaines en cas de violation grave des règles de protection des données ou des dispositions du présent accord. En cas de violation mineure – c’est-à-dire une violation qui n’est ni intentionnelle ni due à une négligence grave – la partie lésée fixe un délai raisonnable dans lequel la partie en infraction peut remédier à la violation.

  1. Nature et finalité du traitement, nature des données et catégories de personnes concernées

Les activités du contractant comprennent des services liés aux produits contractuels décrits dans les contrats individuels conclus entre les parties et pour lesquels le traitement des données par le contractant peut être nécessaire.

Les activités du contractant peuvent comprendre les éléments suivants :

  • Utilisation des produits fournis par le contractant
  • Maintenance, test des correctifs et des nouvelles versions des produits
  • Activités dans le cadre de l’assistance et du support
  • Accès aux données des clients pour les migrations de données
  • Réception et traitement des sauvegardes de données
  • Obtention et préparation des données dans le cadre d’un abonnement
  • Hébergement d’applications, de solutions logicielles et de données

Les types de traitement suivants sont possibles :

  • collecte, enregistrement, organisation ou structuration des données
  • la conservation, l’adaptation ou la modification des données
  • extraction, consultation, utilisation et divulgation des données par transmission
  • diffusion ou toute autre forme de mise à disposition
  • la restriction, l’effacement ou la destruction des données

Les types de données suivants peuvent être concernés :

  • Données personnelles de base telles que le nom et le prénom, la date de naissance, l’âge, le sexe ou la nationalité
  • Les données de communication comme par exemple, le numéro de téléphone, l’adresse postale, l’adresse électronique
  • Informations relatives à la vie professionnelle telles que les titres de poste, les fonctions, etc.
  • Informations relatives à la vie privée, telles que l’état civil, les loisirs, etc.
  • Informations sur les utilisateurs telles que les données de connexion, le numéro de client, le comportement de l’utilisateur, le comportement du consommateur
  • L’historique du client
  • Données relatives à la facturation ou au paiement du contrat
  • Données de planification et de contrôle
  • Données relatives au projet
  • Informations de référence provenant de tiers, par exemple références en matière de crédit hypothécaire, de données provenant d’annuaires ou de sources publiques
  • Informations techniques telles que l’adresse IP, les informations relatives à l’appareil, etc.

En outre, des catégories particulières de données à caractère personnel/de données à caractère personnel sensibles peuvent être concernées ; dans chaque cas, les données sont classées conformément à la législation applicable en matière de protection des données.

Les catégories de personnes concernées peuvent être :

  • Les personnes physiques telles que les employés du Client, les candidats, les freelances, les employés des clients (potentiels), les clients finaux du Client et les clients commerciaux, les abonnés aux produits ou services du Client, les clients potentiels (prospects), les partenaires commerciaux, les fournisseurs, les agents commerciaux, les vendeurs et les concessionnaires, ainsi que leurs employés respectifs en tant que personnes de contact.
  • dans le cas des personnes morales, leurs personnes physiques telles que leurs employés, les employés de leurs partenaires commerciaux, partenaires contractuels, bénéficiaires de services, prestataires de services ou autres agents d’exécution de clients (potentiels), fournisseurs, vendeurs, concessionnaires
  • dans le cas d’autres entités, leurs personnes physiques, telles que les employés des entités du secteur public, sous la forme de partenaires commerciaux, de partenaires contractuels, de bénéficiaires de services, de prestataires de services ou d’autres agents d’exécution de clients (potentiels), de fournisseurs.
  1. Obligations du contractant

Le contractant traite les données exclusivement dans le cadre des accords conclus et conformément aux instructions documentées du client, à moins que le contractant ne soit obligé de procéder à un traitement différent en vertu des lois et règlements applicables individuellement (par exemple, enquêtes des autorités de poursuite pénale ou des autorités de sécurité nationale) ; dans ce cas, avant le traitement, le contractant informera le client de ces exigences légales, à moins que les dispositions légales en question n’interdisent une telle divulgation afin de protéger un intérêt public important. L’objet, la nature et l’étendue du traitement des données sont régis exclusivement par le présent contrat et/ou les instructions du client.

Le contractant informera sans délai le client si une instruction donnée par ce dernier viole manifestement des dispositions légales. Le contractant est autorisé à suspendre la mise en œuvre de l’instruction correspondante jusqu’à ce qu’elle soit confirmée ou modifiée par le responsable du traitement des données ou par le client après examen. Si le contractant peut démontrer que l’exécution d’un traitement conformément aux instructions du client engagerait sa responsabilité, il a le droit de s’abstenir de tout traitement ultérieur jusqu’à ce que la responsabilité des parties soit clarifiée.

  1. Obligations de notification du contractant en cas de violation de données

Lorsque le contractant a connaissance d’une violation de données ou d’une violation de la sécurité des données, il en informe le client oralement, par écrit ou sous forme textuelle, sans délai rapide après en avoir pris connaissance.

La notification au client doit décrire la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel.

Lorsqu’il existe une obligation d’information à l’égard de tiers (tels que les personnes concernées) ou une autre obligation légale de déclaration applicable au client ou à un responsable du traitement (par exemple, à une autorité de contrôle), il incombe au client ou au responsable du traitement de s’acquitter de cette obligation.

  1. Droits et prétentions des personnes concernées

Le contractant soutient le client, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, dans l’exécution des obligations du client en ce qui concerne les demandes et les réclamations des personnes concernées.

Si une personne concernée s’adresse au mandataire avec des demandes de correction, de blocage, de suppression ou d’accès, le mandataire renvoie immédiatement la personne concernée au mandant, dans la mesure où une attribution évidente au mandant est possible selon les informations fournies par la personne concernée, et attend les instructions du mandant.

Le mandataire n’est autorisé à fournir à des tiers des informations sur les données issues de la relation de traitement des données que sur instruction préalable ou avec l’accord du client.

Le contractant n’est pas responsable si le client ou ses clients agissant en tant que responsables du traitement des données ne répondent pas à la demande de la personne concernée, n’y répondent pas correctement ou n’y répondent pas en temps voulu.

  1. Contrôle et révision

Le contractant coopérera à ces contrôles et apportera son soutien dans la mesure nécessaire. Le résultat est documenté.

Si des contrôles s’avèrent nécessaires dans des cas particuliers, ils sont effectués pendant les heures normales de travail, moyennant un préavis raisonnable et sans perturber les activités de l’entreprise. Le contractant est autorisé à faire dépendre cela de la signature d’un accord de confidentialité concernant les données d’autres clients et des mesures techniques et organisationnelles établies. Le client accepte que le contractant désigne un auditeur externe indépendant dans la mesure où le contractant fournit une copie du rapport d’audit à la demande du client.

Le client et le contractant coopèrent sur demande avec l’autorité de contrôle de la protection des données dans l’accomplissement de ses tâches.

Le contractant est autorisé à exiger une compensation raisonnable pour l’aide apportée dans le cadre de l’exécution d’un examen, qui sera basée sur le temps et les dépenses effectivement encourus. Les taux horaires habituels du contractant s’appliquent.

En principe, le client paiera une compensation raisonnable basée sur le temps et les dépenses réellement encourus pour les services d’assistance du contractant qui n’ont pas été causés par une faute du contractant. Les taux horaires habituels du contractant s’appliquent.

  1. Obligations du contractant après la résiliation du contrat

Après l’achèvement du travail contractuel ou à tout moment à la demande du client, le contractant doit remettre au client toutes les données et tous les inventaires de données en sa possession qui sont liés à la relation contractuelle, ou les supprimer ou les détruire conformément aux principes de la protection des données, ou les faire détruire (à moins qu’une obligation de conservation des données ne l’interdise). Il en va de même pour les sauvegardes de données, les tests et le matériel mis au rebut.

Le mandataire a un droit raisonnable à une rémunération vis-à-vis du client pour le transfert, l’effacement ou la destruction susmentionnés. Les tarifs horaires habituels du mandataire sont d’application.

  1. Responsabilité en cas de violation du présent accord

Le client et le contractant sont tenus de réparer les dommages subis par une personne concernée en raison d’un traitement ou d’une utilisation des données dans le cadre du présent accord qui n’est pas autorisé ou incorrect au regard des lois sur la protection des données, et ce en tant que débiteurs solidaires de cette personne concernée, dans la mesure où les lois et réglementations applicables en matière de protection des données le prévoient.

Toute limitation de responsabilité entre le client et ses clients en tant que responsables du traitement des données s’applique également au bénéfice du contractant, de sorte que le contractant n’est pas tenu d’indemniser le client pour les montants que le client n’est pas tenu de payer en raison de ces limitations de responsabilité.

Toute autre responsabilité est exclue à tous autres égards, dans la mesure où la loi le permet. Les règles de responsabilité convenues dans les contrats individuels conclus entre les parties s’appliquent aux autres dommages qui ne sont pas causés par une violation des obligations de protection des données en vertu du présent accord.

  1. Dispositions finales

Le contractant se réserve le droit de modifier le présent accord. Les modifications sont communiquées au client au moins 30 jours à l’avance par écrit ou d’une autre manière. Si le client n’exerce pas son droit de résiliation extraordinaire dans un délai d’un mois à compter de la date de notification, les modifications sont réputées acceptées. Le client ne peut faire valoir aucun droit à l’égard du contractant en cas de modification.

La défense d’un droit de rétention est exclue en ce qui concerne les données traitées pour le compte du client et les supports de données correspondants.

Si certaines dispositions du présent accord s’avèrent invalides ou nulles, les autres dispositions n’en seront pas pour autant invalides ou nulles. Elles seront remplacées par des clauses qui se rapprochent le plus possible de l’objectif économique de l’accord. Il en va de même en cas de lacune ou d’omission.

Tous les litiges découlant du présent accord ou en rapport avec celui-ci sont exclusivement soumis aux tribunaux du siège social du contractant. Toutefois, le contractant est autorisé à porter également un litige devant le tribunal compétent pour le siège du client.

Le présent contrat est régi par le droit suisse, à l’exclusion des règles de conflit de lois.