Référer un ami
Contact
Login
Essai gratuit

Data Processing Agreement – FR

Version: janvier 2025

Contrat de sous-traitance

Entre

l’ Utilisateur d’Atlanto (ci-après le « mandant »)

et

Atlanto SA (ci-après le « mandataire »)

Dufourstrasse 40

CH – 9001 Saint-Gall

concernant le traitement des ordres.

1.       Traitement des données

Dans le cadre de ses services d’exploitant de plate-forme, le mandataire est amené à traiter des données personnelles (données concernées) pour le compte du mandant dans le respect des lois sur la protection des données applicables (droit applicable à la protection des données) ainsi que de la politique en matière de protection des données et des conditions d’utilisation d’Atlanto. On entend par « traitement de données » toute opération relative à des données personnelles, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’archivage, l’effacement ou la destruction.

2.       Objet et durée

a) Objet, nature et finalité 

Les détails de la prestation du mandataire sont spécifiés dans le contrat conclu entre le mandataire et le mandant (ci-après le « contrat »), qui se compose des conditions d’utilisation et de la politique de protection des données du mandataire. Le contrat prévoit l’objet et la durée de la mission, ainsi que la nature et la finalité du traitement, sauf disposition contraire dans le présent contrat de sous-traitance.

b) Types de données personnelles

Voir la liste non exhaustive à l’annexe A.

 c) Catégories de personnes concernées 

Voir la liste non exhaustive à l’annexe A.

 d) Durée

La sous-traitance commence à la signature du présent accord et dépend de la durée du contrat, à moins que des obligations plus étendues ne ressortent des dispositions des présentes.

 e) Fin

Le mandant peut dénoncer la sous-traitance à tout moment et sans préavis en cas de violation grave des dispositions du présent accord par le mandataire, d’impossibilité ou de refus du mandataire d’exécuter une instruction du mandant conforme aux dispositions contractuelles ou de refus du mandataire d’accorder au mandant l’exercice de son droit de contrôle, contrevenant ainsi au contrat.

 f) Responsabilité 

Dans le cadre de la sous-traitance, le mandant est responsable du respect du droit applicable en matière de protection des données, en particulier de la légalité de la transmission de données au mandataire ainsi que de la légalité du traitement des données.

3.       Obligations du mandataire

a) Exécution des instructions


(i) Le mandataire est tenu d’utiliser les donnĂ©es de la commande exclusivement pour les prestations de service et de suivre, lors de leur traitement, les instructions du mandant, exclusivement donnĂ©es par Ă©crit et documentĂ©es, sous rĂ©serve d’obligations contraires prescrites par le droit applicable (p. ex. ordre exprès des autoritĂ©s compĂ©tentes), dont le mandant devra ĂŞtre prĂ©venu aussi rapidement que possible, Ă  condition que le droit l’autorise. Le mandant dĂ©signera par Ă©crit au mandataire au moins une personne habilitĂ©e Ă  donner des instructions et Ă  recevoir des informations. En cas de changement ou d’empĂŞchement de longue durĂ©e des personnes dĂ©signĂ©es, leur successeur ou reprĂ©sentant doit ĂŞtre immĂ©diatement dĂ©signĂ© par Ă©crit au mandataire. Jusqu’Ă  la rĂ©ception d’une telle communication par le mandant, les personnes dĂ©signĂ©es continuent d’ĂŞtre considĂ©rĂ©es comme Ă©tant habilitĂ©es Ă  recevoir des informations.
(ii)     Le présent accord matérialise le droit de donner des instructions dont dispose le mandant. Des instructions allant au-delà de ce cadre ne seront contraignantes pour le mandataire que si elles s’imposent pour le respect des exigences en matière de protection des données.
(iii)    Si le mandataire considère qu’une instruction constitue une violation des prescriptions en matière de protection des donnĂ©es, il doit en informer le mandant. Le mandataire est en droit de suspendre l’exĂ©cution des instructions en question jusqu’Ă  ce qu’elles soient confirmĂ©es ou modifiĂ©es par le mandant. 

b) Confidentialité

Le mandataire s’engage à traiter de manière confidentielle les données concernées et à n’en permettre l’accès qu’aux personnes qui en reçoivent l’instruction pour remplir leurs obligations. Le mandataire veille à ce que toutes les personnes ayant accès aux données concernées soient bien tenues à une obligation de confidentialité légale ou contractuelle.

c) Lieu de traitement des données

Le mandataire pourra traiter et utiliser les donnĂ©es concernĂ©es dans l’EEE exclusivement. Le traitement des donnĂ©es concernĂ©es hors de ce territoire n’est autorisĂ© qu’avec l’accord exprès Ă©crit du mandant et dans le respect des dispositions lĂ©gales applicables. Le mandataire s’engage en particulier Ă  passer un contrat complĂ©mentaire avec le mandant en cas de diffusion autorisĂ©e des donnĂ©es dans un Etat ne disposant pas d’un niveau de protection des donnĂ©es appropriĂ©, en se fondant sur les clauses contractuelles types de l’UE en vigueur.

d) Registres de traitement

Le mandataire doit tenir un registre de traitement, qu’il devra présenter au mandant sur demande. Il doit en outre aider le mandat à constituer un registre des activités de traitement des données concernées.

e) Obligation de restitution et de suppression des données

(i) Après la fin du contrat principal ou Ă  la demande du mandant, le mandataire mettra Ă  la disposition du mandant tous les documents et donnĂ©es qui lui ont Ă©tĂ© confiĂ©s ou, Ă  la demande du mandant, les effacera complètement et irrĂ©vocablement, Ă  moins qu’un dĂ©lai de conservation lĂ©gal ne s’applique. Ceci s’applique Ă©galement aux copies des donnĂ©es du mandant chez le mandataire, par exemple les sauvegardes de donnĂ©es, mais pas aux documentations qui servent Ă  prouver le traitement conforme Ă  la commande des donnĂ©es du mandant. De telles documentations doivent ĂŞtre conservĂ©es par le mandataire conformĂ©ment aux dĂ©lais de conservation. La mise Ă  disposition des donnĂ©es dans un format lisible par machine dĂ©terminĂ© par le mandant est possible, le cas Ă©chĂ©ant, contre une rĂ©munĂ©ration supplĂ©mentaire, après un examen sĂ©parĂ© par le mandataire.
(ii) Même après la fin du contrat principal, le mandataire traitera de manière confidentielle les données dont il a eu connaissance dans le cadre du contrat principal.

f) Analyse d’impact relative à la protection des données 

Le mandataire doit aider le mandant à mener une analyse d’impact relative à la protection des données si la loi l’exige ou sur demande, dans la mesure nécessaire.

4.       Sécurité des données

a) Mesures de sécurité

Le mandataire doit mettre en œuvre les mesures techniques et organisationnelles énumérées à l’annexe B en vue de protéger les données concernées de toute perte, altération ou destruction involontaire ou illicite, ainsi que de toute divulgation ou tout accès non autorisés, et les maintenir dans la mesure où le droit applicable à la protection des données l’exige (mesures de sécurité). Parmi les mesures de sécurité figurent les mesures mises en œuvre pour crypter les données à caractère personnel, pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services du mandataire, pour permettre la restauration des données concernées dans des délais appropriés après un incident et pour contrôler régulièrement l’efficacité de ces mesures.

b) Personnel

Le mandataire doit prendre les mesures appropriées pour garantir que ses collaborateurs, mandataires et sous-traitants ultérieurs respectent bien les mesures de sécurité dans le périmètre applicable au cadre de leurs prestations, y compris en s’assurant que toutes les personnes habilitées à traiter les données concernées ont bien signé un accord de confidentialité ou sont tenues par la loi à une obligation de confidentialité équivalente.

c) Etat de la technique

Les mesures techniques et organisationnelles dépendent de l’état actuel du progrès technique et des perfectionnements ultérieurs. Le mandataire garantit le respect de l’état adéquat de la technique.

d) Obligations de notification

Le mandataire doit informer le mandant dans les meilleurs délais :

(i) s’il reçoit une demande de renseignements, une convocation ou une demande de consultation ou de contrôle de la part d’une autorité compétente pour le traitement des données, sauf si la loi interdit une telle communication de la part du mandataire ;

(ii) s’il envisage de transmettre des données concernées à une autorité compétente ; ou

(iii)  s’il constate ou suppose une violation des données concernées, c’est-à-dire une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel.

5.  Traitement ultérieur

Si le mandataire fait appel Ă  des sous-traitants ultĂ©rieurs ou Ă  des collaborateurs indĂ©pendants de l’UE/EEE qui fournissent leurs services dans l’UE/EEE, cela nĂ©cessite l’information prĂ©alable du client par Ă©crit.

Le recours Ă  des sous-traitants ultĂ©rieurs ou Ă  des collaborateurs indĂ©pendants Ă©tablis en dehors de l’UE/EEE ou fournissant leurs services en dehors de l’UE/EEE requiert l’accord prĂ©alable du client sous forme de texte. Le client ne peut pas refuser arbitrairement son consentement. Le refus de consentement constitue un motif de rĂ©siliation extraordinaire.

En ce qui concerne les sous-traitants ultĂ©rieurs et leurs domaines d’activitĂ© mentionnĂ©s Ă  l’annexe C au moment de la conclusion du contrat, l’accord du mandant est, dans tous les cas, rĂ©putĂ© acquis Ă  la conclusion du contrat. Le mandataire s’assure que ces sous-traitants ultĂ©rieurs respectent les exigences techniques et organisationnelles visĂ©es au point 2 de l’annexe B au mĂŞme titre que le mandataire lui-mĂŞme.

6.       Pouvoir de contrôle du mandant

a) Pouvoir de contrĂ´le

Le mandant a le droit de contrĂ´ler le respect des obligations lĂ©gales et contractuelles en rapport avec le traitement des donnĂ©es de la commande par le mandataire. Le mandant n’effectuera des contrĂ´les que dans la mesure nĂ©cessaire et tiendra compte de manière appropriĂ©e des processus d’exploitation du mandataire. Il ne sera pas procĂ©dĂ© Ă  des contrĂ´les sur place si le respect des exigences lĂ©gales en matière de protection des donnĂ©es peut ĂŞtre prouvĂ© par Ă©crit par le mandataire, par exemple par des certificats ou des attestations.

b) Organe de contrĂ´le externe

Le mandant est en droit de faire réaliser les contrôles visés au chiffre 6.a par un organe externe, spécialisé et tenu au devoir de confidentialité. Le mandant supportera les frais facturés par l’organe de contrôle externe au sens du chiffre 6.a. Si le motif du contrôle réside dans un manquement du mandataire aux dispositions du présent accord, ou si le contrôle révèle l’existence d’un tel manquement, alors le mandataire devra en assumer l’intégralité des coûts.

7.       Assistance

a) Sécurité des données, violations de la protection des données et analyses d’impact relatives à la protection des données

Le mandataire doit apporter toute son aide au mandant concernant le respect des obligations légales de garantie d’une sécurité appropriée des données, de notification des violations de données et de réalisation d’analyses d’impact relatives à la protection des données. Le mandataire doit informer le mandant dans les meilleurs délais, en cas de violation de la protection des données concernées, dès qu’il en a connaissance ou qu’il en suppose l’existence (voir le chiffre 4 d) (iii)). En outre, le mandataire prendra dans les meilleurs délais toutes les mesures qui s’imposent pour atténuer les effets de cette violation de la protection des données. Le mandataire doit apporter toute son aide au mandant pour l’élaboration et l’exécution d’un plan de riposte mais aussi, selon les instructions de ce dernier, concernant l’information des personnes concernées et/ou des autorités compétentes.

b) Droits des personnes concernées

Si une personne concernée adresse au mandataire une requête relative à la protection des données (p. ex. une demande d’accès ou de suppression), ce dernier doit la faire suivre au mandant dans les meilleurs délais. Le mandataire doit assister le mandant dans le traitement de telles requêtes, notamment, en cas de besoin, en l’aidant à réunir les données et informations requises.

c) Devoir d’information

Le mandataire doit informer dans les meilleurs délais le mandant de toute procédure de contrôle et autres mesures prises par les autorités de protection des données, par les tribunaux et par d’autres administrations, si elles portent sur les données concernées ou les systèmes utilisés pour le traitement de ces dernières. Le mandataire informera dans les meilleurs délais l’ensemble des autorités et tribunaux du fait que le mandant est le responsable du traitement des données.

d) Délégué à la protection des données

Le mandataire confirme qu’il a dĂ©signĂ© un dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, dans la mesure oĂą il y a une obligation lĂ©gale de le faire. Les coordonnĂ©es du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es sont les suivantes :

Oliver Baumann, [email protected]

8.       Dispositions finales

a) For et droit applicable

Sous réserve de dispositions contraires dans l’ensemble contractuel correspondant, le présent accord est régi exclusivement par le droit suisse, à l’exclusion des règles de conflit de loi et des conventions internationales. Sous réserve de dispositions contraires dans l’ensemble contractuel correspondant, le for exclusif pour tous litiges est Saint-Gall.

b) Divisibilité

Au reste, les dispositions du contrat s’appliquent. En cas de contradiction entre les dispositions des présentes et celles du contrat, ce sont les présentes qui prévalent. Le fait que certaines parties des présentes puissent se révéler inopérantes ne remet nullement en cause la validité du reste du contrat et des présentes.

c) Autres dispositions

Les annexes A, B et C font partie intégrante du contrat de sous-traitance.

 

Annexe A au contrat de sous-traitance

 

Objet de la mission :Traitement de données à caractère personnel du mandant, dans le cadre de son recours aux services du fournisseur sous forme de logiciel à la demande (SaaS, « Software as a Service »).

Nature et finalité

du traitement

des données

prévu :

Les données à caractère personnel traitées par le mandant seront transférées au mandataire dans le cadre d’une prestation de logiciel à la demande. Le mandataire assurera le traitement de ces données exclusivement dans le cadre des dispositions convenues (c’est-à-dire, entre autres, la gestion des commandes, la gestion des contacts (CRM), la comptabilité, la banque en ligne, la gestion de la paie, la gestion de stocks et la gestion de projets).

Types de données

à caractère personnel :

Le type de données dépendra des données transmises par le mandant. Il s’agira en particulier (en fonction de la mission) :

·        Données de gestion des commandes

·        Données de gestion des contacts

·        Données comptables

·        Données e-banking

·        Données de comptabilité salariale

·        Données de gestion des stocks

·        Données de gestion de projet

Catégories de

personnes concernées :

Les catégories de personnes concernées dépendent des services reçus et des données transmises par le client. Il s’agira en particulier (en fonction de la mission) :

·      de collaborateurs du mandant (y compris les candidats à l’embauche et les anciens collaborateurs) ;

·      de clients du mandant ;

·      de prospects du mandant ;

·      de prestataires de services du mandant ;

·      des coordonnées d’interlocuteurs.

Suppression, blocage et

rectification

de données :

Les demandes de suppression, de blocage et de rectification de données doivent être adressées au mandant. Pour le reste, les dispositions du contrat s’appliquent.

 

 

 

Annexe B : Mesures techniques et organisationnelles (MTO)

1 Généralités

Les mesures techniques et organisationnelles (ci-après les « MTO ») appropriées en fonction de la classification des informations d’Atlanto doivent être mises en œuvre.

  1. Les MTO décrites dans le présent document valent exclusivement pour les informations classées « public » ou « interne » d’Atlanto.
  2. Si le partenaire externe est amené à traiter en outre des informations d’Atlanto classées « confidentiel » ou « secret », il doit alors s’appuyer sur les MTO d’Atlanto applicables à ces catégories d’informations.
2 Mesures techniques et organisationnelles

Le partenaire externe doit veiller à la mise en place des MTO ci-après :

  1. Stockage des données d’Atlanto sur des systèmes sûrs
    1. Respect des meilleures pratiques industrielles concernant la configuration des systèmes
    2. Mise en œuvre de contrôles de détection, de prévention et de restauration contre les logiciels malveillants
    3. Sécurité du réseau assurée par la limitation et le contrôle des ports, des protocoles et des services
  2. Prévention de tout accès non autorisé aux systèmes de traitement des données sur lesquels des données d’Atlanto sont traitées
    1. Protection de l’accès à l’information au moyen de mesures de contrôle d’accès physiques et logiques
    2. Identification et authentification des utilisateurs avant tout accès aux données d’Atlanto
    3. Mise en place de procédures de gestion active du cycle de vie des comptes utilisateurs, systèmes et applicatifs (création, utilisation, inactivité, suppression)
  3. Garantie que les personnes autorisées à utiliser les procédures de traitement des données peuvent uniquement accéder aux données d’Atlanto correspondant à leur autorisation d’accès
    1. Autorisation des utilisateurs par un contrôle d’accès basé sur les rôles suivant les principes du droit d’accès minimal et du besoin de savoir
    2. Réduction au minimum des privilèges d’administrateur et utilisation des comptes d’administration uniquement si nécessaire
  4. Impossibilité, pour toute personne non autorisée, de lire, copier, modifier ou supprimer les données d’Atlanto pendant leur transmission électronique ou pendant leur transport ou leur stockage sur un support de données
    1. Cryptage des informations pendant leur transmission
  5. Garantie d’identification et de contrôle des points auxquels les données d’Atlanto sont transmises au moyen de dispositifs de transmission de données
  6. Garantie de la possibilité de vérifier et de déterminer dans quelle mesure et par qui des données d’Atlanto ont été saisies, modifiées ou supprimées dans des systèmes de traitement de données
    1. Enregistrement des informations de connexion conformément aux obligations légales
  7. Protection des données d’Atlanto contre toute perte ou destruction accidentelle
    1. Mise en place d’un plan de sauvegarde des informations
    2. Mise en place d’un plan de restauration, qui sera régulièrement testé
  8. Garantie que les données recueillies à des fins différentes pourront être traitées séparément
  9. Suppression sécurisée conforme aux procédures officielles des données d’Atlanto devenues inutiles
3 Mesures organisationnelles

Le partenaire externe doit veiller à respecter les exigences ci-après :

  1. Définition des responsabilités et des procédures au niveau de la direction
    1. pour évaluer les menaces existantes, leurs répercussions sur l’activité et les mesures à prendre pour s’en préserver
    2. pour assurer une réaction rapide, efficace et rationnelle aux incidents de sécurité informatiques
  2. Sélection, formation et surveillance rigoureuses et appropriées des salariés et de toutes les autres personnes intervenant dans le traitement des données d’Atlanto
  3. Mise en œuvre, contrôle et exécution des obligations appropriées de protection des données et de respect de la confidentialité, conformément aux instructions
  4. Formation régulière des salariés et des autres personnes participant au traitement des données d’Atlanto en matière de protection des données
4 Efficacité des mesures techniques et organisationnelles
  1. Le partenaire externe doit veiller à contrôler et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles
    1. Mise en place de procédures de vérification de l’efficacité de la gestion des failles et des correctifs
    2. Définition des responsabilités des dirigeants et des procédures visant à réexaminer régulièrement les mesures de sécurité informatique mises en œuvre aux fins d’amélioration
  2. Le partenaire externe doit veiller à consigner par écrit le résultat de ces audits et à corriger immédiatement et de manière appropriée les déficiences identifiées

Annexe C : Sous-traitants ultérieurs

 

Entreprise, adresse

Description des prestations

Institut fĂĽr Jungunternehmen AG

SchĂĽtzengasse 10

9000 Saint-Gall

Production de contenus pour le site Internet et la plate-forme, octroi de licences pour l’outil Business Plan Tool, prestation de conseils comprise

Comitas SA

Wiesenstrasse 5

8952 Schlieren

Prestation de services informatiques, entre autres développement de logiciels et de plate-forme, exploitation de logiciels (maintenance et perfectionnement de la plate-forme compris), responsabilité de l’intégration technique, assistance des clients finaux concernant la plate-forme

Amazon Web Services EMEA SARL

Avenue John F. Kennedy 38

Luxembourg

Fourniture de services informatiques

Swisscom AG

Alten Tiefenaustrasse 6

3050 Bern

Fourniture de services de sauvegarde

  

 

 

 

Que propose Atlanto?

Prix

Ă€ propos de nous

Vente et comptabilité

Gestion du temps

Gestionnaire de contacts

Plan d’affaires

Place de marché

App Atlanto

Pour les fiduciaires

Blog

Check-lists

Contact et assistance

Cours et webinaires

Trouver une fiduciaire

PRODUIT

SOLUTIONS

RESSOURCES

© 2025 Atlanto
Mentions légales
Informations juridiques
Protection des données
Conditions d’utilisation
Liste des destinataires et des États