This document is available in English. Click here to view the English version.
Pour exécuter l’Abonnement, PARANOIHACK (ci-après désignée « le Sous-Traitant ») traitera des données à caractère personnel en fonction des finalités et des moyens déterminés par le Client (ci-après désigné « le Responsable de Traitement ») et intervient donc comme sous-traitant de données personnelles.
La présente Annexe a pour objet de définir les conditions dans lesquelles le Sous-Traitant effectuera les opérations de Traitement de Données Personnelles pour le compte du Responsable de Traitement dans le cadre de la fourniture de la Solution.
A des fins d’interprétation de la présente Annexe, il est précisé que l’ensemble des termes utilisés avec une majuscule ont le sens qui leur est donné au sein de la présente Annexe, ou à défaut, en application des définitions contenues au sein des CGA auquel elle est attachée.
Données Personnelles : désigne toute information concernant une personne identifiée ou identifiable et traitée par le Sous-Traitant pour le compte du Responsable du Traitement dans le cadre des obligations qui lui incombent au titre de l’Abonnement.
Traitement : désigne toute opération ou tout ensemble d'opérations défini comme un traitement selon la Réglementation applicable, réalisée par le Sous-Traitant sur les Données Personnelles.
Règlementation : désigne la règlementation relative à la protection des données personnelles applicable à la Partie concernée. Il est précisé que le Sous-Traitant est une entité de droit suisse, soumise à la Règlementation Suisse comprenant notamment la Loi fédérale sur la protection des données (nLPD) du 25 septembre 2020, et son Ordonnance d’exécution (OLPD/DPO), à l’exclusion de tout autre régime juridique, sauf disposition impérative contraire.
Dans le cadre de l’Abonnement, le Sous-Traitant doit traiter pour le compte du Responsable de Traitement les Données Personnelles nécessaires à l’exécution de l’Abonnement et donc pour la fourniture des Prestations.
Les modalités de Traitement sont définies comme suit :
| Nature des Traitements réalisés sur les Données Personnelles | Consultation, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, utilisation, mise à disposition, transformation, enrichissement, analyse, importation, transfert, affichage, interconnexion, effacement |
| Finalité des Traitements | La fourniture des Prestations liés à la mise à disposition de la Solution |
| Type de Données Personnelles traitées | Tout type de Données Personnelles nécessaires à la mise à disposition de la Solution et la fourniture des Services Associés dont notamment les données d’identification des utilisateurs et les données de journalisation |
| Catégorie de personnes concernées | Les utilisateurs de la Solution |
| Durée du Traitement | Durée de l’Abonnement |
3.1 Le Sous-Traitant s'engage à :
Traiter les Données Personnelles uniquement sur instructions documentées du Responsable de Traitement, à moins qu'il ne soit tenu d'y procéder en vertu de la Règlementation qui lui est applicable ;
Exécuter les instructions du Responsable de Traitement sous réserve que celles-ci ne dépassent pas l’objet de l’Abonnement, ne créent pas de nouvelles obligations que celles émanant de l’Abonnement et soient licites.
Si le Sous-Traitant considère qu’une instruction du Responsable de Traitement constitue une violation de la Règlementation qui lui est applicable ou de toute autre disposition relative à la protection des Données Personnelles, (i) il en informera immédiatement le Responsable de Traitement et (ii) pourra refuser de les suivre, sans que sa responsabilité ne puisse être engagée à ce titre. Il en est de même lorsque les instructions du Responsable de Traitement dépassent l’objet de l’Abonnement et reviendraient à étendre les obligations du Sous-Traitant au titre de l’Abonnement.
Dans l’hypothèse où le Sous-Traitant serait tenu de procéder à un Traitement de Données Personnelles en vertu d’une disposition impérative de la Règlementation auquel il est soumis, le Sous-Traitant informera le Responsable de Traitement de cette obligation juridique avant le Traitement des Données Personnelles, sauf si le droit concerné interdit une telle information. Le Responsable de Traitement ne pourra s’opposer audit traitement de Données Personnelles.
3.2 Le Sous-Traitant s’engage également à veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu de l’Abonnement et de la présente Annexe s’engagent à respecter la confidentialité des Données Personnelles, ou soient soumises à une obligation légale ou contractuelle de confidentialité.
3.3 Le Sous-Traitant aidera, le cas échéant, le Responsable de Traitement pour la réalisation d’analyses d’impact relatives à la protection des Données Personnelles que le Responsable de Traitement déciderait d’effectuer, ainsi que dans le cadre de la consultation préalable de l’autorité de contrôle, à la suite de la réalisation d’une analyse d’impact. L’assistance du Sous-Traitant devra être sollicitée par le Responsable de Traitement suffisamment à l’avance et donnera lieu à facturation complémentaire.
3.4 Sous-traitance ultérieure
Le Responsable de Traitement donne une autorisation générale au Sous-Traitant d’avoir recours à des sous-traitants ultérieurs. La liste des sous-traitants ultérieurs au jour de la souscription à l’Abonnement est accessible au lien suivant: https://cxtunemaster.com/subprocessors.html
Le Sous-Traitant s’engage à tenir cette liste à jour de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants ultérieurs, permettant ainsi au Responsable de Traitement d’être informé de ces changements et de s’y opposer, le cas échéant.
Le Responsable de Traitement s’engage à consulter ladite liste de façon régulière.
Le Responsable de Traitement dispose d’un délai d’1 mois à compter de la date de mise à jour pour présenter ses objections écrites au Sous-Traitant.
Le Responsable de Traitement reconnaît et accepte que l’absence d’objection dans ce délai équivaut à une acceptation du sous-traitant ultérieur. En cas d’objection, le Sous-Traitant pourra apporter toute réponse nécessaire au Responsable de Traitement. Si le Responsable de Traitement maintient ses objections et que celles-ci sont raisonnables et justifiées, les Parties s’engagent à se rencontrer et à échanger de bonne foi afin de déterminer des modalités de poursuite de leur relation.
Lorsque le Sous-Traitant a recours à un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du Responsable de Traitement), il le fait au moyen d’un contrat ou d’un autre acte juridique qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au Sous-Traitant en vertu de la présente Annexe.
Le Sous-Traitant demeure pleinement responsable, à l’égard du Responsable de Traitement, de l’exécution des obligations du sous-traitant ultérieur en matière de protection des données à caractère personnel, conformément au contrat ou à l’autre acte juridique auquel le sous-traitant ultérieur est soumis.
3.5 Transfert de Données Personnelles
Le Sous-Traitant est situé sur le territoire Suisse. Il est précisé que la Suisse est reconnue par la Commission européenne comme un pays assurant un niveau de protection adéquat au sens de l’article 45 du Règlement (UE) 2016/679 (RGPD).
Le Sous-Traitant s’engage à ce que, pendant toute la durée de l’Abonnement, les Données Personnelles soient hébergées et traitées, de préférence, sur le territoire Suisse, de l'Union Européenne, dans l’Espace Economique Européen (ci-après « EEE ») ou dans tout pays garantissant un niveau de protection adéquat des droits et libertés des personnes concernées en rapport avec le Traitement des Données Personnelles, tel que déterminé par le PFPDT.
Le Responsable de Traitement autorise le Sous-Traitant à transférer les Données Personnelles en dehors de l'Union Européenne dans un pays ne présentant un niveau de protection adéquat au sens du RGPD ou de la nLPD dans la mesure où le Sous-Traitant applique les garanties appropriées prévues par la nLPD, telles que les clauses contractuelles types de l’UE 2021 adaptées au droit suisse ou tout autre instrument approuvé par le PFPDT.
3.6 Droit d’information des personnes concernées
Le Responsable de Traitement se chargera de fournir les informations exigées par la Règlementation aux personnes concernées par les opérations de Traitement.
3.7 Exercice des droits des personnes
En sa qualité de responsable du traitement, le Client reste responsable de la réponse à apporter aux personnes physiques concernées, en cas de demandes d’exercice de droits, et le Sous-Traitant s’engage à ne pas répondre à de telles demandes.
Si les personnes concernées exerçaient auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant devra, après en avoir pris connaissance, transférer ces demandes au Responsable de Traitement.
Sauf demande expresse contraire du Responsable de Traitement moyennant facturation complémentaire, le Sous-Traitant ne répondra/donnera pas suite directement aux demandes des personnes concernées.
3.8 Notification des violations de Données Personnelles
Une violation de Données Personnelles s’entend de toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données Personnelles.
Le Sous-Traitant notifiera au Responsable de Traitement toute violation de Données Personnelles dans les meilleurs délais, après en avoir pris connaissance.
Le Responsable de Traitement pourra demander au Sous-Traitant d’accompagner sa notification de toute documentation utile en sa possession, afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente tel qu’il en est tenu en vertu de la Règlementation. Le Responsable de Traitement sera le plus précis possible dans la formulation de ses demandes. Cette communication pourra intervenir de manière échelonnée.
Seul le Responsable de Traitement peut notifier la violation des Données Personnelles à l’autorité de contrôle compétente et communiquer des informations sur cette violation aux personnes concernées.
Toute assistance du Sous-Traitant sollicitée par le Responsable de Traitement dans ce cadre sera soumise à facturation complémentaire.
3.9 Mesures de sécurité
Le Sous-Traitant met en œuvre les mesures techniques et organisationnelles requises en vertu de l’article 8 nLPD et décrites au sein de l’Abonnement, étant précisé que ces mesures peuvent être mises à jour au cours de l'exécution de l’Abonnement.
En cas de changement des moyens visant à assurer la sécurité du Traitement des Données Personnelles, le Sous-Traitant fera ses meilleurs efforts, pour les remplacer par des moyens d’une performance au moins conforme aux recommandations du Conseil Fédéral.
Il est rappelé au Responsable de Traitement qu’il n’appartient pas au Sous-Traitant de prendre toutes les précautions nécessaires de sauvegarde contre les risques de perte de toutes les Données Personnelles transmises et traitées par le Responsable de Traitement. C’est au Responsable de Traitement d’effectuer à ce titre une copie avant toute transmission ou traitement par le Sous-Traitant. Le Sous-Traitant n’accorde aucune garantie s’agissant de la conservation des Données Personnelles.
En tout état de cause, les obligations incombant au Sous-Traitant en application de la présente clause sont des obligations de moyens.
3.10 Sort des Données Personnelles
Au terme de l’Abonnement, le Sous-Traitant s’engage au choix du Responsable de Traitement à supprimer toutes les Données Personnelles ou à les renvoyer au Responsable de Traitement au terme de la prestation de services relatifs au Traitement.
En tout état de cause, le Sous-Traitant détruit les copies existantes relatives aux Données Personnelles, à moins que la Règlementation qui lui est applicable n'exige la conservation des Données Personnelles.
Sur demande du Responsable de Traitement, le Sous-Traitant adressera par courriel tout document strictement nécessaire afin de démontrer le respect de ses obligations en qualité de sous-traitant au titre de l’Abonnement. Tout autre mode de transmission de ces documents s’effectuera aux frais du Responsable de Traitement. Le Responsable de Traitement pourra réclamer auprès du Sous-Traitant des explications complémentaires si les documents fournis ne suffisent pas à vérifier le respect des obligations du Sous-Traitant. Le Sous-Traitant s’engage à apporter une réponse au Responsable de Traitement dans les meilleurs délais.
Sauf si l’audit est requis par l'autorité de contrôle, aucun audit sur site ne pourra avoir lieu.
Le Responsable de Traitement devra préalablement communiquer son plan d’audit au Sous-Traitant, qui le validera, tout en respectant le préavis stipulé ci-après.
Un préavis d'au moins quarante-cinq (45) jours doit être respecté avant tout audit sur demande de pièce comme sur site, et tous les coûts de l’audit seront supportés par le Responsable de Traitement. L’audit ne devra pas perturber ni l’activité du Sous-Traitant, ni celle de ses sous-traitants ultérieurs. Le Responsable de Traitement devra mandater un auditeur indépendant qui devra conduire l'audit sur site dans le respect d'un engagement de confidentialité qui sera négocié à compter du déclenchement du délai de préavis précité et qui couvrira toutes informations recueillies au cours de l’audit quel qu’en soit le mode d’acquisition. L’auditeur externe devra être préalablement approuvé par le Sous-Traitant et ne devra en aucun cas être directement ou indirectement concurrent du Sous-Traitant.
Le périmètre de l’audit sera convenu au préalable entre les Parties. Par ailleurs, la sécurité du système d’information du Sous-Traitant reposant sur leur accès restreint, le périmètre de l'audit doit strictement se limiter au périmètre des éléments permettant de vérifier la conformité de la Solution et des Services associés à la Règlementation. Le Sous-Traitant se réserve le droit de ne pas donner accès au Responsable de Traitement à toute donnée qu’elle considérerait comme confidentielle.
Le rapport d’audit sera communiqué au Sous-Traitant avant finalisation et le Sous-Traitant pourra formuler toutes ses observations, qui devront être prises en compte au sein du rapport final.
Le Responsable de Traitement s’engage à :
Documenter par écrit toute instruction concernant le Traitement des Données Personnelles par le Sous-Traitant ;
Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par la Règlementation à sa charge, en sa qualité de responsable de traitement ;
Ne pas donner d’instruction dépassant l’objet de l’Abonnement ;
Superviser le(s) Traitement(s).
Le Responsable du Traitement garantit au Sous-Traitant utiliser la Solution ou commander des Prestations uniquement dans la limite des Traitements qu’il est en droit d’effectuer lui-même et qu’aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.
En cas de contrôle d’une autorité compétente chez le Responsable de Traitement ou le Sous-Traitant portant sur les Traitements mis en œuvre dans le cadre de l’Abonnement, ces dernières s’engagent de façon réciproque à coopérer entre elles et à se fournir toute information utile ou qui s’avèrerait nécessaire pour répondre aux demandes de l’autorité de contrôle.
Tout accompagnement ou assistance ou action de coopération du Sous-Traitant visant à répondre à des exigences de la Règlementation (ex : analyses d'impact) devront être sollicités par écrit par le Responsable de Traitement et donneront lieu à facturation complémentaire.
Le Sous-Traitant s’engage à respecter la nLPD.
En cas d’évolution ultérieure de la Règlementation, des autres dispositions législatives ou règlementaires applicables, de la jurisprudence ou de la position des autorités de contrôle, le Sous-Traitant pourra modifier l’Annexe moyennant simple notification du Client avant l’entrée en vigueur de ces modifications. Toute autre modification de l’Annexe pendant la durée de l’Abonnement fera l’objet d’une notification écrite du Client (y compris par email). Le cas échéant, sans observation de la part du Client dans un délai de 30 jours, les modifications proposées entrent en application à expiration de ce délai.
Il est expressément convenu que le Sous-Traitant n’est pas tenu d’appliquer d’autres réglementations étrangères en matière de protection des données, y compris le Règlement (UE) 2016/679 (RGPD), sauf disposition impérative contraire ou instruction expresse et écrite du Responsable de Traitement acceptée par le Sous-Traitant.
Le Responsable de Traitement demeure seul responsable de sa conformité à la réglementation qui lui est applicable, notamment au RGPD, le cas échéant.
En cas de conflit entre les exigences du RGPD et celles de la nLPD, les obligations du Sous-Traitant seront interprétées et exécutées exclusivement au regard du droit suisse, sans préjudice des engagements contractuels convenus entre les Parties dans la présente Annexe.