Contrat sur le traitement des données

Accord sur la protection des données (appelé aussi « Contrat » par la suite) par rapport au traitement des données à caractère personnel en sous-traitance (sous-traitance conformément à l’article 28 du RGPD)

Cette traduction française de l’original rédigé en langue allemande vous est fournie à titre d’information. En cas de conflit ou de divergence entre l’original allemand et cette traduction (p.ex. à cause d’un délai de mise à jour de la traduction), c’est la version originale qui prévaut.

• Annexe 1 - Relations de sous-traitance
• Annexe 2 – Mesures de sécurité techniques et organisationnelles / Concept de protection des données
• Annexe 3 - Description de la transmission et du traitement

0. Champ d’application

Le présent accord sur la protection des données (appelé aussi « Contrat » par la suite) par rapport au traitement des données à caractère personnel en sous-traitance (sous-traitance conformément à l’article 28 du RGPD) s’applique à l’utilisation des infrastructures informatiques pour collecte de dons en ligne et hors ligne disponibles à l’achat sur www.raisenow.com et pour tous les sites, services numériques, extensions pour navigateur ou applications connexes, ainsi que pour les logiciels sous-jacents (dans l’ensemble les « Services ») opérés par RaiseNow AG, une société de droit Suisse (ci-après « RaiseNow »).

En signant le contrat individuel, le/la client/e accepte explicitement le présent contrat.

Sans acceptation de ce contrat, le/la client/e ne pourra pas accéder aux Services. RaiseNow se réserve le droit d’apporter à tout moment des modifications au présent contrat tout en notifiant les modifications au/à la client/e sur son adresse électronique enregistrée.

Définitions‌

Sauf définition contraire, tous les termes employés dans le présent document auront la même signification telle qu’elle est définie par la loi fédérale suisse du 19 juin 1992 sur la protection des données (LPD). Toute référence faite à la LPD comprend aussi à chaque fois un renvoi vers l’ordonnance relative à la LPD (OLPD) et toute autre disposition du droit matériel suisse sur la protection des données. On part du principe que la plupart des termes utilisés dans la LPD coïncident avec ceux utilisés dans le RGPD. Dans le cas d’une divergence essentielle entre la définition d’un terme dans la LPD et celle dans le RGPD, les définitions dans le RGPD prévalent à l’exception de la définition des données à caractère personnel.

1. Objet et durée du contrat

Le mandat comprend ce qui suit :
le traitement opérationnel de données à caractère personnel dans le cadre de l’exécution de la prestation

Le sous-traitant effectue alors dans le cadre du présent contrat le traitement des données à caractère personnel au sens de l’article 4, n° 2 et article 28 du RGPD pour le donneur d’ordre.

Les prestations de service convenues contractuellement seront fournies exclusivement dans un État-membre de l’Union Européenne ou dans un État partie de la convention sur l’espace économique européen. Tout transfert de la prestation ou des parties de celle-ci dans un pays tiers nécessite l’accord préalable du donneur d’ordre et ne peut être effectué que si les conditions particulières des articles 44 et suivants du RGPD sont remplies (p.ex. décision d’adéquation rendue par la Commission, clauses type de protection des données, codes de conduite approuvés).

La durée du contrat présent est liée à celle du contrat principal.

2. Finalité, portée et nature du traitement, type des données à caractère personnel ainsi que catégories de personnes concernées

Le traitement de données à caractère personnel sous-traité se fait exclusivement à des finalités déterminées.

La finalité, la portée et la nature sont (selon la définition de l’article 4, n° 2 du RGPD) :

les finalités poursuivies par la transmission des données à caractère personnel vers RaiseNow et leur traitement par RaiseNow sont décrites dans l’annexe 3 du présent contrat.

L’annexe 3 fait partie intégrante du présent contrat et pourra être modifié par RaiseNow de temps en temps.

3. Droits et obligations ainsi que droits de direction du donneur d’ordre

Le donneur d’ordre lui seul a la responsabilité pour l’évaluation de la licéité du traitement conformément à l’article 6, al. 1 du RGPD ainsi que du respect des droits des personnes concernées conformément aux articles 12 à 22 du RGPD. Toute demande étant clairement et exclusivement adressée au donneur d’ordre doit lui être transmis immédiatement par le sous-traitant.  

Les changements de l’objet du traitement et des procédures doivent être définis par écrit ou dans format électronique courant et fiable.

Par règle générale, le donneur d’ordre transmettra toutes ses commandes, commandes partielles et instructions par écrit ou dans format électronique courant et fiable. Les instructions verbales sont à confirmer immédiatement par écrit ou dans format électronique courant et fiable.

Comme il a été défini sous clause n° 5, le donneur d’ordre a le droit de s’assurer, avant tout traitement et de manière régulière et appropriée, de l’observation des mesures de sécurité techniques et organisationnelles mises en place chez le sous-traitant ainsi que de l’observation des obligations déterminées dans le présent contrat.

Au cas où le donneur d’ordre détecterait des défaillances ou des irrégularités lors de la vérification des résultats des prestations, il en informera immédiatement le sous-traitant.

Le donneur d’ordre a l’obligation de traiter tout secret d’affaires du sous-traitant et toute information sur ses mesures de protection des données obtenus dans le cadre des relations contractuelles avec la plus grande confidentialité. Cette obligation reste également intacte au terme du présent contrat.

4. Personnes du donneur d’ordre ayant le droit de direction, personnes du sous-traitant ayant le droit de recevoir des directions

Les fonctions de droit de direction du donneur d’ordre sont déterminées dans le contrat principal.

Voie de communication pour les directions / instructions :
courrier électronique adressé à datenschutz@raisenow.com

En cas de changement ou d’absence prolongée d’un des interlocuteurs, les parties devront notifier à l’autre partie, immédiatement et par principe sous forme écrite ou par voie électronique, le nom du successeur ou du remplaçant. L’historique des instructions est à conserver pendant toute leur durée de validité et à la fin de celle-ci encore pendant trois années civiles entières.

5. Obligations du sous-traitant

Le sous-traitant ne traite les données à caractère personnel que dans le cadre des accords convenus et sur instruction du donneur d’ordre, à moins qu'il ne soit tenu d'y procéder en vertu du droit de la Suisse, de l'Union Européenne ou du droit de l'État membre auquel le sous-traitant est soumis (p.ex. enquêtes des autorités de poursuite pénale ou de protection de l’Etat) ; dans ce cas, le sous-traitant informera le responsable du traitement / le donneur d’ordre de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public (article 28, al. 3, phrase 2, lettre a du RGPD)

Le sous-traitant n’utilisera les données à caractère personnel confiées que pour les finalités déterminées. Il ne les utilisera notamment pas pour des finalités propres. Aucune copie (ou duplicata) des données à caractère personnel ne sera créée à l’insu du donneur d’ordre.

En ce qui concerne le traitement des données à caractère personnel conformément à la mission qui lui a été confiée, le sous-traitant assure le déroulement de toutes les mesures convenues conforme au contrat.

Le sous-traitant doit participer et apporter - dans la mesure du possible et où nécessaire - son soutien au donneur d’ordre pour que ce dernier puisse garantir le respect des droits des personnes concernées en conformité avec les articles 12 à 22 du RGPD et pour qu’il puisse créer les registres des activités de traitement et effectuer les éventuelles analyses d'impact relatives à la protection des données (Art. 28, al. 3, phrase 2, lettre e et f du RGPD). Il devra transférer immédiatement les informations nécessaires à la personne ayant le droit de direction nommé dans la clause n° 4.

Si une instruction donnée par le donneur d’ordre constitue selon le sous-traitant une violation contre les dispositions légales (Art. 28, al. 3, phrase 3, du RGPD), ce dernier en informera immédiatement le donneur d’ordre. Le sous-traitant a le droit de suspendre l’exécution d’une telle instruction jusqu’à ce que la personne responsable auprès du donneur d’ordre l’ait vérifiée et approuvée ou jusqu’à ce qu’elle ait été modifiée.

Le sous-traitant devra rectifier, effacer ou limiter le traitement des données à caractère personnel faisant objet du contrat, si le donneur d’ordre donne une instruction correspondante et que celle-ci ne porte pas préjudice aux intérêts légitimes du sous-traitant.  Si le sous-traitant reçoit l’ordre d’effacer, il est libre de décider si une anonymisation est à faire ou non. Pour faire une demande d’anonymisation automatique, veuillez contacter datenschutz@raisenow.com.

Le sous-traitant ne donnera des renseignements concernant les données à caractère personnel faisant objet du contrat à des tiers ou aux personnes concernées que sur ordre ou après consentement préalable du donneur d’ordre.

Le sous-traitant donne son consentement pour que le donneur d’ordre ait (par règle générale sur rendez-vous) le droit de contrôler de manière appropriée et où nécessaire, soit par lui-même soit par des tiers mandatés, l’observation des règlementations concernant la protection et la sécurité des données ainsi que l’observation des accords contractuels, moyennant la demande de renseignements et la consultation des données enregistrées et des logiciels de traitement de données ainsi que par des contrôles et inspections sur site (Art. 28, al. 3, phrase 2, lettre h du RGPD). Les frais associés sont à la charge du donneur d’ordre.

Le sous-traitant assure qu’il apportera, en cas de besoin, son soutien lors desdits contrôles.

Le sous-traitant s’engage à garantir la confidentialité des données à caractère personnel du donneur d’ordre lors du traitement selon la mission qui lui a été confiée. Cet engagement reste également intact au terme du présent contrat. 
Le sous-traitant assure qu’il familiarisera avant toute opération les employés chargés de l’exécution de la mission avec les dispositions pertinentes pour la protection des données et qu’il les engagera de manière appropriée à respecter la confidentialité pour la durée de leur activité et après la résiliation de la relation de travail (art. 28 al. 3, phrase 2 lettre b et art. 29 du RGPD). Le sous-traitant veillera au respect des dispositions légales concernant la protection des données au sein de son établissement.

Le/la délégué/e à la protection des données désigné par le sous-traitant est : 
Kraska Sebastian
+49 89 189 1736-0
email@iitr.de

Le donneur d’ordre sera notifié immédiatement en cas de changement du délégué à la protection des données.

6. Obligations légales de notification du sous-traitant en cas de perturbation du traitement et en cas de violation des données à caractère personnel

Le sous-traitant informera immédiatement le donneur d’ordre en cas de dysfonctionnements ou d’infractions commises par le sous-traitant ou par les personnes qu’il emploie ainsi que des éventuelles infractions aux dispositions légales concernant la protection des données ou aux dispositions convenues dans le cadre du contrat. Il l’informera également immédiatement en cas de soupçon de violation de la protection des données ou en cas d'irrégularités lors du traitement des données à caractère personnel. Cela s’applique surtout aux éventuelles obligations de notification et de communication du donneur d’ordre selon art. 33 et art. 34 du RGPD. Le sous-traitant assure qu’il aidera, de manière appropriée et si nécessaire, le donneur d’ordre à garantir le respect des obligations selon articles 33 et 34 du RGPD (art. 28, al. 3, phrase 3, lettre f du RGPD). Le sous-traitant ne pourra pas émettre des notifications selon articles 33 et 34 pour le donneur d’ordre que sur instruction de ce dernier, conformément à la clause 4 du présent contrat.

7. Relations de sous-traitance avec d’autres sous-traitants pour prestations de base (art. 28, al. 3, phrase 2, lettre d du RGPD)

Le sous-traitant est autorisé à engager dans l’avenir d’autres sous-traitants pour le traitement des données du donneur d’ordre sans besoin d’autorisation spécifique de la part du donneur d’ordre, art. 28, al. 2, phrase 2 du RGPD. Le sous-traitant de premier rang prendra particulièrement soin du choix du sous-traitant de deuxième rang en tenant compte de l’aptitude des mesures de sécurité techniques et organisationnelles mises en place par celui-ci au sens de l’article 32 du RGPD.

Actuellement, les sous-traitants de deuxième rang listés en annexe 1 traitent des données à caractère personnel pour le compte du sous-traitant et dans la mesure indiquée.

Le donneur d’ordre déclare donner son consentement à l’utilisation des sous-traitants de deuxième rang listés en annexe 1.

Le sous-traitant informera sans faute le responsable de tout changement prévu comme le choix de nouveaux sous-traitants de deuxième rang ou le remplacement de ceux existants. Le donneur d’ordre a la possibilité d’émettre des objections à l’encontre de ces changements, si les mesures de sécurité techniques et organisationnelles convenues et garanties jusqu’à présent par le sous-traitant ne peuvent plus être garanties dans leur totalité (art. 28, al. 2, phrase du RGPD). Dans un tel cas, le changement envisagé ne devra pas être exécuté.

8. Mesures de sécurité techniques et organisationnelles visées à l'article 32 du RGPD (article 28, al. 3, phrase 2, lettre c, du RGPD).

Pour le traitement des données, il est garanti un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques concernées par le traitement. A cette fin, les objectifs de protection énumérés à l’article 32, al. 1 du RGPD telles que la confidentialité, l’intégrité, la disponibilité ainsi que la résilience des systèmes et des services de traitement par rapport à la nature, la portée, le contexte et la finalité du traitement sont pris en compte de manière à limiter le risque à long terme par la mise en place de mesures techniques et organisationnelles appropriées. Une méthodologie d’évaluation du risque adaptée et compréhensible est utilisée pour le traitement des données à caractère personnel selon la mission confiée. Elle tient compte de la probabilité de survenance et de la gravité des risques pour les droits et libertés des personnes physiques concernées par le traitement.

Le concept de protection des données décrit dans l’annexe 2 présente de manière détaillée et en tenant particulièrement compte les systèmes informatiques et procédés de traitement employés chez le sous-traitant, les exigences minimales requises pour les mesures techniques et organisationnelles appropriées nécessaires à contrer le risque déterminé pour les objectifs de protection selon l’état de l’art. Il décrit également la procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer que le traitement soit en conformité avec les règles de protection des données.

9. Obligations du sous-traitant au terme de la prestation des services relatifs au traitement, article 28, al. 3, phrase 2, lettre g du RGPD

Dans le cas d’une résiliation du présent contrat, quelle qu’en soit la raison, RaiseNow (et tout sous-traitant) est tenu de

1. renvoyer immédiatement toutes les données à caractère personnel et les éventuelles copies auxquelles s’applique le présent contrat, y compris les données à caractère personnel transmises par le donneur d’ordre et, dans la mesure où cela ne serait pas possible,
2. à sa discrétion, de supprimer ou d’anonymiser ces données à caractère personnel ; ou,
3. dans la mesure où la législation à laquelle RaiseNow est soumis interdit le renvoi ou l’anonymisation des données à caractère personnel faisant objet du présent contrat, d’informer le donneur d’ordre de ce fait et de continuer à garder les données à caractère personnel avec la plus grande confidentialité sans plus les traiter activement.

10. Divers

Tout accord concernant les mesures techniques et organisationnelles ainsi que la documentation sur les contrôles et vérifications (aussi celle concernant les sous-traitants de deuxième rang) doit être conservé par les deux contractants pendant la durée du contrat et au terme de celui-ci encore pendant trois années civiles entières.

Toute clause accessoire au présent contrat doit être faite, par règle générale, sous forme écrite ou dans format électronique courant et fiable.

Au cas où la propriété du donneur d’ordre ou les données à caractère personnel qu’il a confié au sous-traitant pour être traitées seraient mises en danger par des mesures de tiers (p.ex. en raison d’actions de saisie ou confiscation), par une procédure de redressement judiciaire ou de conciliation ou bien par d’autres évènements, le sous-traitant a l’obligation d’en informer immédiatement le donneur d’ordre.

Annexe 1 - Relations de sous-traitance

Actuellement, les relations de sous-traitance du traitement des données suivantes existent :

En fonction de la portée des prestations, certains sous-traitants pourraient être supprimés

Annexe 2 – Mesures de sécurité techniques et organisationnelles / Concept de protection des données

Le sous-traitant garantit dans le cadre de son concept de protection des données le respect des exigences minimales requises ci-après. La description contient les mesures nécessaires à mettre en place chez le sous-traitant dans le cadre du contrat sur le traitement des données afin d’assurer la sécurité d’utilisation des données à caractère personnel. Ce concept pour la protection des données se base sur le règlement général de l’UE sur la protection des données RGPD et éventuellement sur d’autres mesures qui auraient été exigées par les parties intéressées. Dans tout cela, le sous-traitant s’aligne essentiellement sur les prescriptions contenues dans les articles 24, 25 et 32 du RGPD.

Sur demande, le sous-traitant présentera les preuves pertinentes.

1. Confidentialité

1.1 Contrôle d’accès

Les données à caractère personnel se trouvent exclusivement sur des serveurs Amazon situés à Francfort, sur des serveurs Rackspace situés à Londres et sur des serveurs Nine (nine.ch) situés à Zurich. Outre la certification RGPD, Amazon et Rackspace sont aussi certifiés PCI-DSS.

• https://aws.amazon.com/fr/compliance/pci-dss-level-1-faqs/
• https://aws.amazon.com/fr/compliance/gdpr-center/
• https://www.rackspace.com/compliance/pci
• https://www.rackspace.com/gdpr

1.2 Restrictions d’accès 

Ces mesures garantissent que les personnes autorisées à utiliser un système de traitement des données auront uniquement accès aux données correspondant à leur niveau d’autorisation et que les données à caractère personnel ne pourront pas être lues, copiées, altérées ou effacées par des personnes non autorisées lors de leur traitement, utilisation ou après leur stockage.

• Nombre d’administrateurs réduit au strict minimum
• Accès aux systèmes uniquement par accès virtuel à travers VPN sur le réseau interne et avec authentification par clé publique
• Authentification à deux facteurs pour tous les employés avec droit de visualisation de données à caractère personnel
• Utilisation de destructeurs de documents
• Destruction des supports de stockage conformément aux règles
  
  

1.3 Pseudonymisation

Les analyses et évaluations sont à pseudonymiser, lorsque le caractère personnel n’est pas absolument nécessaire pour l’obtention du résultat.

1.4 Séparation

Ces mesures assurent que les données collectées à des finalités différentes puissent être traitées séparément.

• Séparation des systèmes en opérationnel et d’essai
• Seront collectées, sauvegardées et traitées seulement ces données qui sont directement liées à la finalité réelle.
  
  

2. Intégrité

2.1 Contrôle de la transmission

Ces mesures garantissent que les données à caractère personnel ne puissent pas être lues, copiées, altérées ou effacées par des personnes non-autorisées lors de leur transmission par voie électronique, leur transport ou leur sauvegarde sur des supports de stockage. Elles permettent en même temps le contrôle et la traçabilité des points prévus pour la transmission des données à caractère personnel par des dispositifs de transmission.

• Journalisation de l’exportation des données à caractère personnel.
• Documentation des directives établies pour la transmission des données qui sont réputées être connues par les employés concernés.
• Sécurisation de la connexion aux systèmes de base de données
• Des règles pour la destruction des supports de stockage conformément aux règles de protection des données existent.
• Utilisation de procédés de cryptage conformes à l’état de l’art pour les transmissions.
  
  

2.2 Contrôle de saisie

Ces mesures garantissent un contrôle ultérieur pour déterminer si et par qui les données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement de données.

• Traçabilité de saisie, de modification et de suppression des données assurée par des noms d’utilisateur individuels (journalisation)

3. Disponibilité et résilience

Ces mesures assurent la protection des données à caractère personnel contre la destruction ou la perte accidentelle.

• Système de sauvegarde mis en place
• Des personnes responsables et des remplaçants sont nommés
• Redondance de l’infrastructure des serveurs

Procédure pour des tests, analyses et évaluations réguliers (art. 32, al. 1, lettre d du RGPD ; art. 25 al. 1 du RGPD)

• Système de gestion de la protection des données implémenté
• Dispositif de sécurité mis en place
• Tests de vulnérabilité trimestriels et vérification annuelle du PCI-DSS SAQ D niveau 2
• Protection des données par défaut (art. 25, al. 2 du RGPD)
• Possibilité d’anonymisation après une période définie
  
  

4. Procédure pour des tests, analyses et évaluations réguliers

Une procédure pour le contrôle de la protection des données est à implémenter au sein de l’entreprise. Celle-ci doit inclure un engagement des employés à respecter le secret des données, mais aussi des formations et sensibilisations des employés ainsi que des audits réguliers des procédures de traitement des données. Un processus de notification et de traitement de bout en bout doit être mis en place pour les violations de protection des données et pour garantir les droits des personnes concernées. Celui-ci devra également inclure les informations du donneur d’ordre.

Annexe 3 - Description de la transmission et du traitement

1. Liste des données à caractère personnel à transmettre et à traiter
   • Données à caractère personnel telles que nom, adresse, adresse électronique, téléphone, date de naissance
   • Préférences et données de communication
   • Données liées aux paiements tels que coordonnées bancaires, transactions de dons, virements permanents ou ordres de prélèvement, mandats SEPA, données de carte de crédit
2. Finalité de la transmission et du traitement
   La nature et la finalité du traitement des données à caractère personnel par RaiseNow résultent des relations commerciales entre le donneur d’ordre et le sous-traitant.
3. Catégories des personnes concernées
   
   • Soutiens (donateurs, membres, promoteurs, bienfaiteurs, parrains, collecteurs de dons)
   • Intéressés
   • Employés du donneur d’ordre