Contrat de sous-traitance

Annexe 1 – Liste des sous-traitants ultérieurs
Annexe 2 - Mesures techniques et organisationnelles
Annexe 3 - Description de la transmission et du traitement

1. Champ d'application

Le présent Contrat de sous traitance (ci-après également dénommé le "Contrat" ou "l’Accord") concerne le traitement de données personnelles effectué par l’entité RaiseNow spécifiée dans le contrat sous-jacent ("Sous-traitant") pour le compte du client ("Responsable du traitement" ou "Client", ensemble les "Parties"), conformément à l’art. 28 du RGPD et à l’art. 9 de la LPD. Le présent Contrat s’applique au traitement des données personnelles tel que précisé au point 2 et à l’Annexe 3.

En signant le contrat individuel, le client reconnaît expressément le présent Accord. Si le client n’accepte pas cet Accord, il ne peut pas accéder aux Services.

Sauf définition contraire dans le présent document, tous les termes ont la même signification que dans la Loi fédérale suisse sur la protection des données ("LPD") ou le Règlement général sur la protection des données de l’UE ("RGPD"), selon le cas. En cas de différence significative entre la définition d’un terme dans la LPD et dans le RGPD, la définition du RGPD prévaut.

En cas de conflit entre le présent Contrat et les dispositions de tout autre accord entre les Parties existant au moment où le présent Accord est accepté ou conclu ultérieurement, le présent Accord prévaut, sauf accord explicite contraire sous forme écrite.

2. Objet et durée du Contract

Le mandat comprend les éléments suivants :

Traitement opérationnel des données personnelles dans le cadre de la prestation de services.

Les détails des opérations de traitement, et en particulier les catégories de données personnelles ainsi que les finalités du traitement pour lesquelles les données personnelles sont traitées pour le compte du Responsable du traitement, sont précisés dans l’Annexe 3.

Le Sous-traitant traite les données personnelles pour le Client conformément à l’art. 28 RGPD et à l’art. 9 LPD sur la base du présent Contrat.

Le service convenu contractuellement est fourni exclusivement dans un État membre de l’Union européenne, dans un État partie au Contrat sur l’Espace économique européen ou en Suisse. Toute relocalisation du service ou d’une partie de celui-ci vers un pays tiers requiert l’accord préalable du Client et ne peut intervenir que si les exigences particulières des art. 44 et suivants du RGPD ainsi que de la Section 2 de la LPD sont respectées.

Le Responsable du traitement accepte que, lorsque le Sous-traitant engage un sous-traitant ultérieur conformément au point 6 pour réaliser certaines activités de traitement (pour le compte du Responsable du traitement) dans un pays tiers et que ces activités impliquent un transfert de données personnelles au sens du RGPD ou de la LPD, selon le cas, le Sous-traitant et le sous-traitant ultérieur peuvent utiliser des clauses contractuelles types adoptées par la Commission sur la base de l’article 46(2) du RGPD afin de se conformer aux exigences du Chapitre V du RGPD, pour autant que les conditions d’utilisation de ces clauses soient remplies et qu’une évaluation interne ait conclu que ce transfert respecte le niveau de protection des données du RGPD et de la LPD.

La durée du Contrat est déterminée par le contrat principal.

3. Droits et obligations du Client

Le Client est seul responsable d’assurer la licéité du traitement, y compris le respect des lois applicables en matière de protection des données, de garantir l’existence de bases légales appropriées pour le traitement des données dans le cadre du présent Contrat de protéger les droits des personnes concernées. Si le Sous-traitant reçoit une demande d’une personne concernée concernant ses droits en vertu du RGPD et/ou de la LPD, selon le cas, le Sous-traitant est tenu de transmettre toutes ces demandes, lorsqu’elles sont manifestement adressées au Client, directement au Client sans délai. Le Sous-traitant ne répondra pas aux demandes des personnes concernées, sauf autorisation explicite du Client.

Le Client doit communiquer toutes les instructions non incluses dans le présent Contrat par écrit ou dans un format électronique documenté. Les instructions orales doivent être confirmées sans délai par écrit ou dans un format électronique documenté pour être valables. Pour être valables, les instructions doivent être envoyées à : dataprotection@raisenow.com.

En cas de changement ou d’empêchement durable des personnes de contact, le Client doit être informé immédiatement, en principe par écrit ou électroniquement. Les instructions doivent être conservées pendant leur période de validité puis pendant trois années civiles complètes.

Le Sous-traitant protège les données personnelles traitées dans le cadre du présent Contrat en adoptant au minimum les mesures techniques et organisationnelles indiquées à l’Annexe 2 du présent Accord. Le Client doit informer immédiatement le Sous-traitant s’il détecte des erreurs ou irrégularités lors de l’inspection des résultats de l’instruction.

Le Client est tenu de traiter de manière confidentielle toute connaissance des secrets d’affaires et des mesures de sécurité des données du Sous-traitant acquise dans le cadre de la relation contractuelle. Cette obligation subsiste même après la fin du présent Contrat.

4. Obligations du Sous-traitant

Le Sous-traitant traite les données personnelles exclusivement dans le cadre des accords conclus et selon les instructions du Client, sauf obligation de traiter différemment en vertu du droit suisse, de l’Union européenne ou des États membres de l’UE auxquels le Sous-traitant est soumis. Dans ce cas, le Sous-traitant informera le Responsable du traitement de ces exigences légales avant le traitement, sauf si la loi applicable interdit une telle notification.

Le Sous-traitant traitera rapidement et correctement toutes les demandes raisonnables du Responsable du traitement relatives au traitement dans le cadre du présent Contrat. Le Sous-traitant assistera le Responsable du traitement, sur demande, dans le respect de ses obligations au titre des articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.

Dans le cadre de l’exercice des droits des personnes concernées par le Client, de l’établissement des registres des activités de traitement et des analyses d’impact relatives à la protection des données requises par le Client, le Sous-traitant coopérera dans la mesure nécessaire et assistera le Client sur demande, en tenant compte de la nature du traitement et des informations dont il dispose.

Le Client garantit que toutes les instructions fournies respectent les lois applicables en matière de protection des données. Le Sous-traitant informera immédiatement le Client si, selon lui, une instruction émise par le Client viole des dispositions légales ou contractuelles. Le Sous-traitant est autorisé à suspendre l’exécution de l’instruction concernée jusqu’à ce qu’elle soit confirmée ou modifiée par le Responsable du traitement après vérification. En cas de confirmation, le Sous-traitant a le droit de résilier le présent Contrat.

Le Sous-traitant est tenu de corriger, supprimer ou restreindre le traitement des données personnelles si le Client l’exige via une instruction, et si le Sous-traitant n’en est pas empêché par une loi applicable. Si aucune autre instruction n’est donnée à cet égard, les données personnelles traitées dans le cadre du présent Contrat ne seront supprimées qu’à l’expiration du présent Contrat. Le Client peut également demander au Sous-traitant d’anonymiser les données au lieu de les supprimer. Toute question relative à la suppression, l’anonymisation ou la restitution des données personnelles devra être traitée via le point de contact identifié au point 3.

Les communications de données personnelles relevant du présent Contrat à des tiers ou à la personne concernée ne peuvent être effectuées par le Sous-traitant qu’après instruction préalable ou consentement du Client, sauf si une loi applicable l’exige.

Le Sous-traitant s’engage à maintenir la confidentialité des données personnelles du Client traitées conformément au présent Contrat. Le Sous-traitant assure qu’il informera les employés impliqués dans l’exécution des travaux des dispositions pertinentes en matière de protection des données avant le début de leurs activités et les obligera à respecter la confidentialité de manière appropriée pendant la durée de leurs activités ainsi qu’après la fin de la relation de travail.

Le Sous-traitant a désigné le Délégué à la protection des données suivant : 

IITR Datenschutz GmbH
Dr. Sebastian Kraska
Eschenrieder Str. 62c
82194 Gröbenzell
Allemagne
dataprotection@raisenow.com 

Tout changement du Délégué à la protection des données doit être communiqué au Client sans délai.

5. Sécurité et Audits

Le Sous-traitant mettra à disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat, directement issues du RGPD ou de la LPD, et, à la demande du Responsable du traitement, permettra et contribuera aux examens des fichiers et de la documentation ou aux audits des activités de traitement couvertes par le présent Contrat, notamment s’il existe des indices de non-conformité.

Le Sous-traitant accepte que le Client – sous réserve d’une prise de rendez-vous au moins un mois à l’avance – ait le droit de vérifier le respect des réglementations en matière de protection des données et de sécurité des données ainsi que du présent Contrat, dans une mesure appropriée et nécessaire, notamment en obtenant des informations et en inspectant les données stockées et les programmes de traitement des données ainsi que via des inspections sur site et des audits. Les coûts seront supportés par le client, à condition que le Sous-traitant les ait annoncés et que le client les ait approuvés. À la résiliation du présent Contrat, le Sous-traitant est tenu de restituer immédiatement toutes les données personnelles et copies couvertes par le présent Contrat, y compris les données personnelles transmises par le Client, et, dans la mesure où cela n’est pas possible, de supprimer ou d’anonymiser ces données personnelles et copies selon le choix du Client. Toute demande d’audit ou d’information sera limitée aux informations nécessaires aux fins du présent Contrat et tiendra dûment compte des obligations de confidentialité du sous-traitant ainsi que de son intérêt légitime à protéger ses secrets d’affaires.

Le Sous-traitant coopérera à ces contrôles dans la mesure nécessaire.

Le Sous-traitant notifiera le Client des violations de données sans retard injustifié dès qu’il en a connaissance, conformément aux articles 33 et 34 du RGPD ou à l’art. 24 LPD, selon le cas. Cette notification devra contenir les détails d’un point de contact permettant d’obtenir davantage d’informations concernant la violation de données personnelles, une description de la nature de la violation (y compris, lorsque possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements concernés), ses conséquences probables et les mesures prises ou proposées afin d’en atténuer les éventuels effets négatifs. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contiendra les informations alors disponibles et les informations complémentaires seront fournies dès qu’elles seront disponibles, sans retard injustifié.

6. Sous-traitants ultérieurs 

Le Client accorde au Sous-traitant une autorisation générale pour l’engagement futur de sous-traitants ultérieurs pour le traitement des données personnelles dans le cadre du présent Contrat. Le Sous-traitant doit veiller à sélectionner soigneusement le sous-traitant ultérieur, notamment en tenant compte des mesures techniques et organisationnelles mises en place par celui-ci au sens de l’art. 32 RGPD et de l’art. 8 LPD. Lors de l’engagement d’un sous-traitant ultérieur, le sous-traitant s’assure qu’il est soumis aux mêmes obligations que celles définies dans le présent Contrat au moyen d’un contrat. Si le sous-traitant ultérieur ne respecte pas ses obligations en matière de protection des données, le Sous-traitant est responsable envers le Client de ce manquement.

Le Sous-traitant informe le Responsable du traitement deux semaines à l’avance de tout changement envisagé concernant l’ajout de nouveaux sous-traitants ultérieurs ou le remplacement de sous-traitants ultérieurs existants. Le Client a la possibilité de s’opposer à ces changements s’il existe un obstacle significatif à la protection des données lié à la sous-traitance ultérieure, ou si le sous-traitant ultérieur viole les dispositions du RGPD ou de la LPD, selon le cas, ou d’autres réglementations en matière de protection des données. Dans ce cas, le changement envisagé ne peut pas être mis en œuvre. Si le Client exerce son droit d’opposition, le Sous-traitant peut résilier le Contrat s’il n’est pas en mesure de respecter ses obligations sans les modifications notifiées.

Le sous-traitant fournira, à la demande du responsable du traitement, une copie d’un tel accord de sous-traitance ultérieure ainsi que de ses modifications ultérieures au responsable du traitement.

Le Client donne son consentement à l’engagement des sous-traitants ultérieurs documentés à l’Annexe 1 pour le traitement des données personnelles dans le cadre du présent Accord.

7. Mesures techniques et organisationnelles

Un niveau de protection approprié au risque pour les droits et libertés des personnes physiques concernées par le traitement est assuré pour le traitement contractuel spécifique. À cette fin, les objectifs de protection tels que la confidentialité, l’intégrité et la disponibilité des systèmes et services ainsi que leur résilience, compte tenu du type, de l’étendue, des circonstances et des finalités du traitement, sont pris en compte de manière à réduire le risque grâce à des mesures correctives techniques et organisationnelles appropriées. Une méthodologie appropriée et compréhensible d’évaluation des risques est utilisée, prenant en compte la probabilité d’occurrence et la gravité des risques pour les droits et libertés des personnes concernées par le traitement.

Les mesures décrites à l’Annexe 2 représentent les exigences minimales des mesures techniques et organisationnelles adaptées au risque identifié, en tenant compte des objectifs de protection conformément à l’état de l’art, de manière détaillée et en portant une attention particulière aux systèmes informatiques et aux processus de traitement utilisés par le Sous-traitant. Elles décrivent également la procédure de revue, d’appréciation et d’évaluation régulières de l’efficacité des mesures techniques et organisationnelles afin d’assurer un traitement conforme à la protection des données.

8. Obligations du Sous-traitant à la résiliation du Contrat

À la résiliation du présent Contrat, le Sous-traitant est tenu de restituer immédiatement toutes les données personnelles et copies couvertes par le présent Contrat, y compris les données personnelles transmises par le Client, et, dans la mesure où cela n’est pas possible, de supprimer ou d’anonymiser ces données personnelles et copies selon le choix du Client. Si la législation applicable au Sous-traitant interdit la restitution ou l’anonymisation des données personnelles couvertes par le présent Contrat, le Sous-traitant en informera le Client et traitera les données personnelles de manière confidentielle et ne les traitera pas activement au-delà de ce qui est exigé par la loi.

9. Divers

Les accords relatifs aux mesures techniques et organisationnelles ainsi que les documents de contrôle et d’audit (y compris pour les sous-traitants ultérieurs) doivent être conservés par les deux parties contractantes pendant leur période de validité puis pendant trois années civiles complètes.

La forme écrite ou un format électronique documenté est généralement requis pour les accords accessoires.
Si le traitement dans le cadre du présent Contrat est soumis au droit canon, l’avenant de droit canon disponible ici s’applique.
Si la sécurité et l’intégrité des données personnelles traitées par le Sous-traitant pour le compte du Client sont menacées par des actions de tiers (telles que saisie ou confiscation), par une insolvabilité ou une procédure de concordat, ou par d’autres événements, le Sous-traitant doit en informer immédiatement le Client.

Annexe 1 - Liste des sous-traitants ultérieurs

Les relations de sous-traitance suivantes existent actuellement dans le cadre du traitement contractuel :
Les sous-traitants peuvent varier selon l’étendue des services.

RaiseNow peut devoir s’appuyer sur des sociétés affiliées pour fournir les services à nos clients. Les sociétés affiliées impliquées dans le traitement des données personnelles dépendent de la localisation de nos clients et utilisateurs ainsi que du type de services fournis.

Si les services de Koalect ou gettup sont utilisés, des sous-traitants ultérieurs additionnels sont pertinents. Voir la liste des sous-traitants ultérieurs additionnels:

• Pour Koalect: here
• Pour gettup: here

Annexe 2 - Mesures techniques et organisationnelles

Le Sous-traitant assure se conformer aux exigences minimales suivantes dans son concept de protection des données. Celui-ci décrit les mesures requises pour la gestion sécurisée des données personnelles par le Sous-traitant dans le cadre du traitement contractuel. La base de ce concept de protection des données est le Règlement général sur la protection des données (RGPD) de l’UE, la Loi fédérale suisse sur la protection des données (LPD), et éventuellement d’autres mesures demandées par les parties intéressées. Dans ce contexte, le Sous-traitant respecte principalement les dispositions des articles 24, 25 et 32 RGPD ainsi que l’art. 8 LPD.

Confidentialité

Contrôle d’accès

Les données personnelles sont exclusivement hébergées sur des serveurs Amazon situés à Francfort, sur des serveurs Rackspace situés à Londres, et sur des serveurs nine (nine.ch) situés à Zurich. Amazon et Rackspace ne sont pas seulement conformes au RGPD, mais sont également certifiés PCI-DSS.

- [Amazon PCI-DSS Level 1 FAQs](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)

- [Amazon GDPR Center](https://aws.amazon.com/compliance/gdpr-center/)

- [Rackspace PCI Compliance](https://www.rackspace.com/compliance/pci)

- [Rackspace GDPR](https://www.rackspace.com/gdpr)

Contrôle d’accès
Mesures garantissant que seules les personnes autorisées peuvent accéder aux systèmes de traitement des données avec le droit d’accès, et que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l’utilisation et après le stockage.
- Nombre d’administrateurs réduit au "minimum nécessaire"
- Accès virtuel aux systèmes uniquement via VPN depuis le réseau interne et authentification par clé publique
- Authentification à deux facteurs pour tous les employés afin d’accéder aux données personnelles
- Utilisation de destructeurs de papier
- Destruction appropriée des supports de données

Pseudonymisation
Les évaluations doivent être pseudonymisées, sauf si la référence à la personne est indispensable au résultat.

Séparation
Mesures garantissant que les données collectées à des fins différentes peuvent être traitées séparément.
- Séparation des systèmes de production et de test
- Seules les données servant directement à la finalité réelle sont collectées, stockées et traitées.

Intégrité
Contrôle de transfert
Mesures garantissant que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de leur transmission ou transport électronique, et qu’il est possible de vérifier et d’établir à quelles entités les données personnelles ont été transmises.
- L’exportation des données personnelles est enregistrée
- Les politiques de partage de données sont documentées et connues des employés concernés
- La connexion aux systèmes de base de données est protégée
- Règles pour la destruction conforme à la protection des données des supports de données
- Méthodes de chiffrement conformes aux standards technologiques actuels utilisées pour les transmissions (requêtes API via TLS 1.2, accès au site via SSL)

Contrôle des saisies
Mesures permettant de vérifier ultérieurement si et par qui des données personnelles ont été saisies, modifiées ou supprimées dans les systèmes de traitement.
- Traçabilité de la saisie, modification et suppression des données via des noms d’utilisateur individuels (journalisation)

Disponibilité et résilience
Mesures garantissant que les données personnelles sont protégées contre la destruction ou la perte accidentelle.
- Existence d’un concept de sauvegarde
- Personnes responsables et remplaçants désignés
- Infrastructure serveur redondante
- Système de gestion de la protection des données mis en œuvre ;
- Un dispositif de sécurité existe
- Tests de vulnérabilité trimestriels et revue annuelle PCI-DSS SAQ D Level 2
- Paramètres par défaut respectueux de la protection des données (art. 25 al. 2 RGPD, art. 7 LPD)
- Anonymisation possible après un intervalle défini

Procédures de revue, d’appréciation et d’évaluation régulières
Une procédure de surveillance de la protection des données au sein de l’entreprise doit être mise en œuvre. Celle-ci doit inclure l’obligation des employés au secret des données, la formation et la sensibilisation des employés, ainsi que l’audit régulier des procédures de traitement des données. Une procédure continue de signalement et de traitement des violations de la protection des données et de sauvegarde des droits des personnes concernées doit être introduite. Cela inclut également l’information du client.

Annexe 3 - Description de la transmission et du traitement