Version: AOûT 2021
Contrat de sous-traitance
Entre
l’ Utilisateur d’Atlanto (ci-après le « mandant »)
et
Atlanto SA (ci-après le « mandataire »)
Dufourstrasse 40
CH – 9001 Saint-Gall
concernant le traitement des ordres.
1. Traitement des données
Dans le cadre de ses services d’exploitant de plate-forme, le mandataire est amené à traiter des données personnelles (données concernées) pour le compte du mandant dans le respect des lois sur la protection des données applicables (droit applicable à la protection des données) ainsi que de la politique en matière de protection des données et des conditions d’utilisation d’Atlanto. On entend par « traitement de données » toute opération relative à des données personnelles, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’archivage, l’effacement ou la destruction.
2. Objet et durée
a) Objet, nature et finalité
Les détails de la prestation du mandataire sont spécifiés dans le contrat conclu entre le mandataire et le mandant (ci-après le « contrat »), qui se compose des conditions d’utilisation et de la politique de protection des données du mandataire. Le contrat prévoit l’objet et la durée de la mission, ainsi que la nature et la finalité du traitement, sauf disposition contraire dans le présent contrat de sous-traitance.
b) Types de données personnelles
Voir la liste non exhaustive à l’annexe A.
c) Catégories de personnes concernées
Voir la liste non exhaustive à l’annexe A.
d) Durée
La sous-traitance commence à la signature du présent accord et dépend de la durée du contrat, à moins que des obligations plus étendues ne ressortent des dispositions des présentes.
e) Fin
Le mandant peut dénoncer la sous-traitance à tout moment et sans préavis en cas de violation grave des dispositions du présent accord par le mandataire, d’impossibilité ou de refus du mandataire d’exécuter une instruction du mandant conforme aux dispositions contractuelles ou de refus du mandataire d’accorder au mandant l’exercice de son droit de contrôle, contrevenant ainsi au contrat.
f) Responsabilité
Dans le cadre de la sous-traitance, le mandant est responsable du respect du droit applicable en matière de protection des données, en particulier de la légalité de la transmission de données au mandataire ainsi que de la légalité du traitement des données.
3. Obligations du mandataire
a) Exécution des instructions
(i) Le mandataire est tenu d’utiliser les données de la commande exclusivement pour les prestations de service et de suivre, lors de leur traitement, les instructions du mandant, exclusivement données par écrit et documentées, sous réserve d’obligations contraires prescrites par le droit applicable (p. ex. ordre exprès des autorités compétentes), dont le mandant devra être prévenu aussi rapidement que possible, à condition que le droit l’autorise. Le mandant désignera par écrit au mandataire au moins une personne habilitée à donner des instructions et à recevoir des informations. En cas de changement ou d’empêchement de longue durée des personnes désignées, leur successeur ou représentant doit être immédiatement désigné par écrit au mandataire. Jusqu’à la réception d’une telle communication par le mandant, les personnes désignées continuent d’être considérées comme étant habilitées à recevoir des informations.
(ii) Le présent accord matérialise le droit de donner des instructions dont dispose le mandant. Des instructions allant au-delà de ce cadre ne seront contraignantes pour le mandataire que si elles s’imposent pour le respect des exigences en matière de protection des données.
(iii) Si le mandataire considère qu’une instruction constitue une violation des prescriptions en matière de protection des données, il doit en informer le mandant. Le mandataire est en droit de suspendre l’exécution des instructions en question jusqu’à ce qu’elles soient confirmées ou modifiées par le mandant.
b) Confidentialité
Le mandataire s’engage à traiter de manière confidentielle les données concernées et à n’en permettre l’accès qu’aux personnes qui en reçoivent l’instruction pour remplir leurs obligations. Le mandataire veille à ce que toutes les personnes ayant accès aux données concernées soient bien tenues à une obligation de confidentialité légale ou contractuelle.
c) Lieu de traitement des données
Le mandataire pourra traiter et utiliser les données concernées dans l’EEE exclusivement. Le traitement des données concernées hors de ce territoire n’est autorisé qu’avec l’accord exprès écrit du mandant et dans le respect des dispositions légales applicables. Le mandataire s’engage en particulier à passer un contrat complémentaire avec le mandant en cas de diffusion autorisée des données dans un Etat ne disposant pas d’un niveau de protection des données approprié, en se fondant sur les clauses contractuelles types de l’UE en vigueur.
d) Registres de traitement
Le mandataire doit tenir un registre de traitement, qu’il devra présenter au mandant sur demande. Il doit en outre aider le mandat à constituer un registre des activités de traitement des données concernées.
e) Obligation de restitution et de suppression des données
(i) Après la fin du contrat principal ou à la demande du mandant, le mandataire mettra à la disposition du mandant tous les documents et données qui lui ont été confiés ou, à la demande du mandant, les effacera complètement et irrévocablement, à moins qu’un délai de conservation légal ne s’applique. Ceci s’applique également aux copies des données du mandant chez le mandataire, par exemple les sauvegardes de données, mais pas aux documentations qui servent à prouver le traitement conforme à la commande des données du mandant. De telles documentations doivent être conservées par le mandataire conformément aux délais de conservation. La mise à disposition des données dans un format lisible par machine déterminé par le mandant est possible, le cas échéant, contre une rémunération supplémentaire, après un examen séparé par le mandataire.
(ii) Même après la fin du contrat principal, le mandataire traitera de manière confidentielle les données dont il a eu connaissance dans le cadre du contrat principal.
f) Analyse d’impact relative à la protection des données
Le mandataire doit aider le mandant à mener une analyse d’impact relative à la protection des données si la loi l’exige ou sur demande, dans la mesure nécessaire.
4. Sécurité des données
a) Mesures de sécurité
Le mandataire doit mettre en œuvre les mesures techniques et organisationnelles énumérées à l’annexe B en vue de protéger les données concernées de toute perte, altération ou destruction involontaire ou illicite, ainsi que de toute divulgation ou tout accès non autorisés, et les maintenir dans la mesure où le droit applicable à la protection des données l’exige (mesures de sécurité). Parmi les mesures de sécurité figurent les mesures mises en œuvre pour crypter les données à caractère personnel, pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services du mandataire, pour permettre la restauration des données concernées dans des délais appropriés après un incident et pour contrôler régulièrement l’efficacité de ces mesures.
b) Personnel
Le mandataire doit prendre les mesures appropriées pour garantir que ses collaborateurs, mandataires et sous-traitants ultérieurs respectent bien les mesures de sécurité dans le périmètre applicable au cadre de leurs prestations, y compris en s’assurant que toutes les personnes habilitées à traiter les données concernées ont bien signé un accord de confidentialité ou sont tenues par la loi à une obligation de confidentialité équivalente.
c) Etat de la technique
Les mesures techniques et organisationnelles dépendent de l’état actuel du progrès technique et des perfectionnements ultérieurs. Le mandataire garantit le respect de l’état adéquat de la technique.
d) Obligations de notification
Le mandataire doit informer le mandant dans les meilleurs délais :
(i) s’il reçoit une demande de renseignements, une convocation ou une demande de consultation ou de contrôle de la part d’une autorité compétente pour le traitement des données, sauf si la loi interdit une telle communication de la part du mandataire ;
(ii) s’il envisage de transmettre des données concernées à une autorité compétente ; ou
(iii) s’il constate ou suppose une violation des données concernées, c’est-à-dire une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel.
5. Traitement ultérieur
Si le mandataire fait appel à des sous-traitants ultérieurs ou à des collaborateurs indépendants de l’UE/EEE qui fournissent leurs services dans l’UE/EEE, cela nécessite l’information préalable du client par écrit.
Le recours à des sous-traitants ultérieurs ou à des collaborateurs indépendants établis en dehors de l’UE/EEE ou fournissant leurs services en dehors de l’UE/EEE requiert l’accord préalable du client sous forme de texte. Le client ne peut pas refuser arbitrairement son consentement. Le refus de consentement constitue un motif de résiliation extraordinaire.
En ce qui concerne les sous-traitants ultérieurs et leurs domaines d’activité mentionnés à l’annexe C au moment de la conclusion du contrat, l’accord du mandant est, dans tous les cas, réputé acquis à la conclusion du contrat. Le mandataire s’assure que ces sous-traitants ultérieurs respectent les exigences techniques et organisationnelles visées au point 2 de l’annexe B au même titre que le mandataire lui-même.
6. Pouvoir de contrôle du mandant
a) Pouvoir de contrôle
Le mandant a le droit de contrôler le respect des obligations légales et contractuelles en rapport avec le traitement des données de la commande par le mandataire. Le mandant n’effectuera des contrôles que dans la mesure nécessaire et tiendra compte de manière appropriée des processus d’exploitation du mandataire. Il ne sera pas procédé à des contrôles sur place si le respect des exigences légales en matière de protection des données peut être prouvé par écrit par le mandataire, par exemple par des certificats ou des attestations.
b) Organe de contrôle externe
Le mandant est en droit de faire réaliser les contrôles visés au chiffre 6.a par un organe externe, spécialisé et tenu au devoir de confidentialité. Le mandant supportera les frais facturés par l’organe de contrôle externe au sens du chiffre 6.a. Si le motif du contrôle réside dans un manquement du mandataire aux dispositions du présent accord, ou si le contrôle révèle l’existence d’un tel manquement, alors le mandataire devra en assumer l’intégralité des coûts.
7. Assistance
a) Sécurité des données, violations de la protection des données et analyses d’impact relatives à la protection des données
Le mandataire doit apporter toute son aide au mandant concernant le respect des obligations légales de garantie d’une sécurité appropriée des données, de notification des violations de données et de réalisation d’analyses d’impact relatives à la protection des données. Le mandataire doit informer le mandant dans les meilleurs délais, en cas de violation de la protection des données concernées, dès qu’il en a connaissance ou qu’il en suppose l’existence (voir le chiffre 4 d) (iii)). En outre, le mandataire prendra dans les meilleurs délais toutes les mesures qui s’imposent pour atténuer les effets de cette violation de la protection des données. Le mandataire doit apporter toute son aide au mandant pour l’élaboration et l’exécution d’un plan de riposte mais aussi, selon les instructions de ce dernier, concernant l’information des personnes concernées et/ou des autorités compétentes.
b) Droits des personnes concernées
Si une personne concernée adresse au mandataire une requête relative à la protection des données (p. ex. une demande d’accès ou de suppression), ce dernier doit la faire suivre au mandant dans les meilleurs délais. Le mandataire doit assister le mandant dans le traitement de telles requêtes, notamment, en cas de besoin, en l’aidant à réunir les données et informations requises.
c) Devoir d’information
Le mandataire doit informer dans les meilleurs délais le mandant de toute procédure de contrôle et autres mesures prises par les autorités de protection des données, par les tribunaux et par d’autres administrations, si elles portent sur les données concernées ou les systèmes utilisés pour le traitement de ces dernières. Le mandataire informera dans les meilleurs délais l’ensemble des autorités et tribunaux du fait que le mandant est le responsable du traitement des données.
d) Délégué à la protection des données
Le mandataire confirme qu’il a désigné un délégué à la protection des données, dans la mesure où il y a une obligation légale de le faire. Les coordonnées du délégué à la protection des données sont les suivantes :
Helvetia Versicherungen, Fachstelle Datenschutz
Steinengraben 41, 4052 Basel, Schweiz
datenschutz@helvetia.ch
8. Dispositions finales
a) For et droit applicable
Sous réserve de dispositions contraires dans l’ensemble contractuel correspondant, le présent accord est régi exclusivement par le droit suisse, à l’exclusion des règles de conflit de loi et des conventions internationales. Sous réserve de dispositions contraires dans l’ensemble contractuel correspondant, le for exclusif pour tous litiges est Saint-Gall.
b) Divisibilité
Au reste, les dispositions du contrat s’appliquent. En cas de contradiction entre les dispositions des présentes et celles du contrat, ce sont les présentes qui prévalent. Le fait que certaines parties des présentes puissent se révéler inopérantes ne remet nullement en cause la validité du reste du contrat et des présentes.
c) Autres dispositions
Les annexes A, B et C font partie intégrante du contrat de sous-traitance.
Annexe A au contrat de sous-traitance
Objet de la mission : | Traitement de données à caractère personnel du mandant, dans le cadre de son recours aux services du fournisseur sous forme de logiciel à la demande (SaaS, « Software as a Service »). |
Nature et finalité du traitement des données prévu : | Les données à caractère personnel traitées par le mandant seront transférées au mandataire dans le cadre d’une prestation de logiciel à la demande. Le mandataire assurera le traitement de ces données exclusivement dans le cadre des dispositions convenues (c’est-à-dire, entre autres, la gestion des commandes, la gestion des contacts (CRM), la comptabilité, la banque en ligne, la gestion de la paie, la gestion de stocks et la gestion de projets). |
Types de données à caractère personnel : | Le type de données dépendra des données transmises par le mandant. Il s’agira en particulier (en fonction de la mission) : · Données de gestion des commandes · Données de gestion des contacts · Données comptables · Données e-banking · Données de comptabilité salariale · Données de gestion des stocks · Données de gestion de projet |
Catégories de personnes concernées : | Les catégories de personnes concernées dépendent des services reçus et des données transmises par le client. Il s’agira en particulier (en fonction de la mission) : · de collaborateurs du mandant (y compris les candidats à l’embauche et les anciens collaborateurs) ; · de clients du mandant ; · de prospects du mandant ; · de prestataires de services du mandant ; · des coordonnées d’interlocuteurs. |
Suppression, blocage et rectification de données : | Les demandes de suppression, de blocage et de rectification de données doivent être adressées au mandant. Pour le reste, les dispositions du contrat s’appliquent. |
Annexe B : Mesures techniques et organisationnelles (MTO)
1 Généralités
Les mesures techniques et organisationnelles (ci-après les « MTO ») appropriées en fonction de la classification des informations d’Atlanto doivent être mises en œuvre.
- Les MTO décrites dans le présent document valent exclusivement pour les informations classées « public » ou « interne » d’Atlanto.
- Si le partenaire externe est amené à traiter en outre des informations d’Atlanto classées « confidentiel » ou « secret », il doit alors s’appuyer sur les MTO d’Atlanto applicables à ces catégories d’informations.
2 Mesures techniques et organisationnelles
Le partenaire externe doit veiller à la mise en place des MTO ci-après :
- Stockage des données d’Atlanto sur des systèmes sûrs
- Respect des meilleures pratiques industrielles concernant la configuration des systèmes
- Mise en œuvre de contrôles de détection, de prévention et de restauration contre les logiciels malveillants
- Sécurité du réseau assurée par la limitation et le contrôle des ports, des protocoles et des services
- Prévention de tout accès non autorisé aux systèmes de traitement des données sur lesquels des données d’Atlanto sont traitées
- Protection de l’accès à l’information au moyen de mesures de contrôle d’accès physiques et logiques
- Identification et authentification des utilisateurs avant tout accès aux données d’Atlanto
- Mise en place de procédures de gestion active du cycle de vie des comptes utilisateurs, systèmes et applicatifs (création, utilisation, inactivité, suppression)
- Garantie que les personnes autorisées à utiliser les procédures de traitement des données peuvent uniquement accéder aux données d’Atlanto correspondant à leur autorisation d’accès
- Autorisation des utilisateurs par un contrôle d’accès basé sur les rôles suivant les principes du droit d’accès minimal et du besoin de savoir
- Réduction au minimum des privilèges d’administrateur et utilisation des comptes d’administration uniquement si nécessaire
- Impossibilité, pour toute personne non autorisée, de lire, copier, modifier ou supprimer les données d’Atlanto pendant leur transmission électronique ou pendant leur transport ou leur stockage sur un support de données
- Cryptage des informations pendant leur transmission
- Garantie d’identification et de contrôle des points auxquels les données d’Atlanto sont transmises au moyen de dispositifs de transmission de données
- Garantie de la possibilité de vérifier et de déterminer dans quelle mesure et par qui des données d’Atlanto ont été saisies, modifiées ou supprimées dans des systèmes de traitement de données
- Enregistrement des informations de connexion conformément aux obligations légales
- Protection des données d’Atlanto contre toute perte ou destruction accidentelle
- Mise en place d’un plan de sauvegarde des informations
- Mise en place d’un plan de restauration, qui sera régulièrement testé
- Garantie que les données recueillies à des fins différentes pourront être traitées séparément
- Suppression sécurisée conforme aux procédures officielles des données d’Atlanto devenues inutiles
3 Mesures organisationnelles
Le partenaire externe doit veiller à respecter les exigences ci-après :
- Définition des responsabilités et des procédures au niveau de la direction
- pour évaluer les menaces existantes, leurs répercussions sur l’activité et les mesures à prendre pour s’en préserver
- pour assurer une réaction rapide, efficace et rationnelle aux incidents de sécurité informatiques
- Sélection, formation et surveillance rigoureuses et appropriées des salariés et de toutes les autres personnes intervenant dans le traitement des données d’Atlanto
- Mise en œuvre, contrôle et exécution des obligations appropriées de protection des données et de respect de la confidentialité, conformément aux instructions
- Formation régulière des salariés et des autres personnes participant au traitement des données d’Atlanto en matière de protection des données
4 Efficacité des mesures techniques et organisationnelles
- Le partenaire externe doit veiller à contrôler et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles
- Mise en place de procédures de vérification de l’efficacité de la gestion des failles et des correctifs
- Définition des responsabilités des dirigeants et des procédures visant à réexaminer régulièrement les mesures de sécurité informatique mises en œuvre aux fins d’amélioration
- Le partenaire externe doit veiller à consigner par écrit le résultat de ces audits et à corriger immédiatement et de manière appropriée les déficiences identifiées
Annexe C : Sous-traitants ultérieurs
Entreprise, adresse | Description des prestations |
Institut für Jungunternehmen AG Schützengasse 10 9000 Saint-Gall | Production de contenus pour le site Internet et la plate-forme, octroi de licences pour l’outil Business Plan Tool, prestation de conseils comprise |
Comitas SA Wiesenstrasse 5 8952 Schlieren | Prestation de services informatiques, entre autres développement de logiciels et de plate-forme, exploitation de logiciels (maintenance et perfectionnement de la plate-forme compris), responsabilité de l’intégration technique, assistance des clients finaux concernant la plate-forme |
Helvetia Schweizerische Versicherungsgesellschaft AG Dufourstrasse 40 9001 Saint-Gall | Prestation de services d’assistance aux clients dans le domaine des infrastructures et des services |
Amazon Web Services EMEA SARL
| Fourniture de services informatiques |
Swisscom AG Alten Tiefenaustrasse 6 3050 Bern | Fourniture de services de sauvegarde |