Cette traduction française de l’original rédigé en langue allemande vous est fournie à titre d’information. En cas de conflit ou de divergence entre l’original allemand et cette traduction (p.ex. à cause d’un délai de mise à jour de la traduction), c’est la version originale qui prévaut.
Le présent accord sur la protection des données (appelé aussi « Contrat » par la suite) par rapport au traitement des données à caractère personnel en sous-traitance (sous-traitance conformément à l’article 28 du RGPD) s’applique à l’utilisation des infrastructures informatiques pour collecte de dons en ligne et hors ligne disponibles à l’achat sur www.raisenow.com et pour tous les sites, services numériques, extensions pour navigateur ou applications connexes, ainsi que pour les logiciels sous-jacents (dans l’ensemble les « Services ») opérés par RaiseNow AG, une société de droit Suisse (ci-après « RaiseNow »).
En signant le contrat individuel, le/la client/e accepte explicitement le présent contrat.
Sans acceptation de ce contrat, le/la client/e ne pourra pas accéder aux Services. RaiseNow se réserve le droit d’apporter à tout moment des modifications au présent contrat tout en notifiant les modifications au/à la client/e sur son adresse électronique enregistrée.
Sauf définition contraire, tous les termes employés dans le présent document auront la même signification telle qu’elle est définie par la loi fédérale suisse du 19 juin 1992 sur la protection des données (LPD). Toute référence faite à la LPD comprend aussi à chaque fois un renvoi vers l’ordonnance relative à la LPD (OLPD) et toute autre disposition du droit matériel suisse sur la protection des données. On part du principe que la plupart des termes utilisés dans la LPD coïncident avec ceux utilisés dans le RGPD. Dans le cas d’une divergence essentielle entre la définition d’un terme dans la LPD et celle dans le RGPD, les définitions dans le RGPD prévalent à l’exception de la définition des données à caractère personnel.
Le mandat comprend ce qui suit :
le traitement opérationnel de données à caractère personnel dans le cadre de l’exécution de la prestation
Le sous-traitant effectue alors dans le cadre du présent contrat le traitement des données à caractère personnel au sens de l’article 4, n° 2 et article 28 du RGPD pour le donneur d’ordre.
Les prestations de service convenues contractuellement seront fournies exclusivement dans un État-membre de l’Union Européenne ou dans un État partie de la convention sur l’espace économique européen. Tout transfert de la prestation ou des parties de celle-ci dans un pays tiers nécessite l’accord préalable du donneur d’ordre et ne peut être effectué que si les conditions particulières des articles 44 et suivants du RGPD sont remplies (p.ex. décision d’adéquation rendue par la Commission, clauses type de protection des données, codes de conduite approuvés).
La durée du contrat présent est liée à celle du contrat principal.
Le traitement de données à caractère personnel sous-traité se fait exclusivement à des finalités déterminées.
La finalité, la portée et la nature sont (selon la définition de l’article 4, n° 2 du RGPD) :
les finalités poursuivies par la transmission des données à caractère personnel vers RaiseNow et leur traitement par RaiseNow sont décrites dans l’annexe 3 du présent contrat.
L’annexe 3 fait partie intégrante du présent contrat et pourra être modifié par RaiseNow de temps en temps.
Le donneur d’ordre lui seul a la responsabilité pour l’évaluation de la licéité du traitement conformément à l’article 6, al. 1 du RGPD ainsi que du respect des droits des personnes concernées conformément aux articles 12 à 22 du RGPD. Toute demande étant clairement et exclusivement adressée au donneur d’ordre doit lui être transmis immédiatement par le sous-traitant.
Les changements de l’objet du traitement et des procédures doivent être définis par écrit ou dans format électronique courant et fiable.
Par règle générale, le donneur d’ordre transmettra toutes ses commandes, commandes partielles et instructions par écrit ou dans format électronique courant et fiable. Les instructions verbales sont à confirmer immédiatement par écrit ou dans format électronique courant et fiable.
Comme il a été défini sous clause n° 5, le donneur d’ordre a le droit de s’assurer, avant tout traitement et de manière régulière et appropriée, de l’observation des mesures de sécurité techniques et organisationnelles mises en place chez le sous-traitant ainsi que de l’observation des obligations déterminées dans le présent contrat.
Au cas où le donneur d’ordre détecterait des défaillances ou des irrégularités lors de la vérification des résultats des prestations, il en informera immédiatement le sous-traitant.
Le donneur d’ordre a l’obligation de traiter tout secret d’affaires du sous-traitant et toute information sur ses mesures de protection des données obtenus dans le cadre des relations contractuelles avec la plus grande confidentialité. Cette obligation reste également intacte au terme du présent contrat.
Les fonctions de droit de direction du donneur d’ordre sont déterminées dans le contrat principal.
Voie de communication pour les directions / instructions :
courrier électronique adressé à datenschutz@raisenow.com
En cas de changement ou d’absence prolongée d’un des interlocuteurs, les parties devront notifier à l’autre partie, immédiatement et par principe sous forme écrite ou par voie électronique, le nom du successeur ou du remplaçant. L’historique des instructions est à conserver pendant toute leur durée de validité et à la fin de celle-ci encore pendant trois années civiles entières.
Le sous-traitant ne traite les données à caractère personnel que dans le cadre des accords convenus et sur instruction du donneur d’ordre, à moins qu'il ne soit tenu d'y procéder en vertu du droit de la Suisse, de l'Union Européenne ou du droit de l'État membre auquel le sous-traitant est soumis (p.ex. enquêtes des autorités de poursuite pénale ou de protection de l’Etat) ; dans ce cas, le sous-traitant informera le responsable du traitement / le donneur d’ordre de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public (article 28, al. 3, phrase 2, lettre a du RGPD)
Le sous-traitant n’utilisera les données à caractère personnel confiées que pour les finalités déterminées. Il ne les utilisera notamment pas pour des finalités propres. Aucune copie (ou duplicata) des données à caractère personnel ne sera créée à l’insu du donneur d’ordre.
En ce qui concerne le traitement des données à caractère personnel conformément à la mission qui lui a été confiée, le sous-traitant assure le déroulement de toutes les mesures convenues conforme au contrat.
Le sous-traitant doit participer et apporter - dans la mesure du possible et où nécessaire - son soutien au donneur d’ordre pour que ce dernier puisse garantir le respect des droits des personnes concernées en conformité avec les articles 12 à 22 du RGPD et pour qu’il puisse créer les registres des activités de traitement et effectuer les éventuelles analyses d'impact relatives à la protection des données (Art. 28, al. 3, phrase 2, lettre e et f du RGPD). Il devra transférer immédiatement les informations nécessaires à la personne ayant le droit de direction nommé dans la clause n° 4.
Si une instruction donnée par le donneur d’ordre constitue selon le sous-traitant une violation contre les dispositions légales (Art. 28, al. 3, phrase 3, du RGPD), ce dernier en informera immédiatement le donneur d’ordre. Le sous-traitant a le droit de suspendre l’exécution d’une telle instruction jusqu’à ce que la personne responsable auprès du donneur d’ordre l’ait vérifiée et approuvée ou jusqu’à ce qu’elle ait été modifiée.
Le sous-traitant devra rectifier, effacer ou limiter le traitement des données à caractère personnel faisant objet du contrat, si le donneur d’ordre donne une instruction correspondante et que celle-ci ne porte pas préjudice aux intérêts légitimes du sous-traitant. Si le sous-traitant reçoit l’ordre d’effacer, il est libre de décider si une anonymisation est à faire ou non. Pour faire une demande d’anonymisation automatique, veuillez contacter datenschutz@raisenow.com.
Le sous-traitant ne donnera des renseignements concernant les données à caractère personnel faisant objet du contrat à des tiers ou aux personnes concernées que sur ordre ou après consentement préalable du donneur d’ordre.
Le sous-traitant donne son consentement pour que le donneur d’ordre ait (par règle générale sur rendez-vous) le droit de contrôler de manière appropriée et où nécessaire, soit par lui-même soit par des tiers mandatés, l’observation des règlementations concernant la protection et la sécurité des données ainsi que l’observation des accords contractuels, moyennant la demande de renseignements et la consultation des données enregistrées et des logiciels de traitement de données ainsi que par des contrôles et inspections sur site (Art. 28, al. 3, phrase 2, lettre h du RGPD). Les frais associés sont à la charge du donneur d’ordre.
Le sous-traitant assure qu’il apportera, en cas de besoin, son soutien lors desdits contrôles.
Le sous-traitant s’engage à garantir la confidentialité des données à caractère personnel du donneur d’ordre lors du traitement selon la mission qui lui a été confiée. Cet engagement reste également intact au terme du présent contrat.
Le sous-traitant assure qu’il familiarisera avant toute opération les employés chargés de l’exécution de la mission avec les dispositions pertinentes pour la protection des données et qu’il les engagera de manière appropriée à respecter la confidentialité pour la durée de leur activité et après la résiliation de la relation de travail (art. 28 al. 3, phrase 2 lettre b et art. 29 du RGPD). Le sous-traitant veillera au respect des dispositions légales concernant la protection des données au sein de son établissement.
Le/la délégué/e à la protection des données désigné par le sous-traitant est :
Kraska Sebastian
+49 89 189 1736-0
email@iitr.de
Le donneur d’ordre sera notifié immédiatement en cas de changement du délégué à la protection des données.
Le sous-traitant informera immédiatement le donneur d’ordre en cas de dysfonctionnements ou d’infractions commises par le sous-traitant ou par les personnes qu’il emploie ainsi que des éventuelles infractions aux dispositions légales concernant la protection des données ou aux dispositions convenues dans le cadre du contrat. Il l’informera également immédiatement en cas de soupçon de violation de la protection des données ou en cas d'irrégularités lors du traitement des données à caractère personnel. Cela s’applique surtout aux éventuelles obligations de notification et de communication du donneur d’ordre selon art. 33 et art. 34 du RGPD. Le sous-traitant assure qu’il aidera, de manière appropriée et si nécessaire, le donneur d’ordre à garantir le respect des obligations selon articles 33 et 34 du RGPD (art. 28, al. 3, phrase 3, lettre f du RGPD). Le sous-traitant ne pourra pas émettre des notifications selon articles 33 et 34 pour le donneur d’ordre que sur instruction de ce dernier, conformément à la clause 4 du présent contrat.
Le sous-traitant est autorisé à engager dans l’avenir d’autres sous-traitants pour le traitement des données du donneur d’ordre sans besoin d’autorisation spécifique de la part du donneur d’ordre, art. 28, al. 2, phrase 2 du RGPD. Le sous-traitant de premier rang prendra particulièrement soin du choix du sous-traitant de deuxième rang en tenant compte de l’aptitude des mesures de sécurité techniques et organisationnelles mises en place par celui-ci au sens de l’article 32 du RGPD.
Actuellement, les sous-traitants de deuxième rang listés en annexe 1 traitent des données à caractère personnel pour le compte du sous-traitant et dans la mesure indiquée.
Le donneur d’ordre déclare donner son consentement à l’utilisation des sous-traitants de deuxième rang listés en annexe 1.
Le sous-traitant informera sans faute le responsable de tout changement prévu comme le choix de nouveaux sous-traitants de deuxième rang ou le remplacement de ceux existants. Le donneur d’ordre a la possibilité d’émettre des objections à l’encontre de ces changements, si les mesures de sécurité techniques et organisationnelles convenues et garanties jusqu’à présent par le sous-traitant ne peuvent plus être garanties dans leur totalité (art. 28, al. 2, phrase du RGPD). Dans un tel cas, le changement envisagé ne devra pas être exécuté.
Pour le traitement des données, il est garanti un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques concernées par le traitement. A cette fin, les objectifs de protection énumérés à l’article 32, al. 1 du RGPD telles que la confidentialité, l’intégrité, la disponibilité ainsi que la résilience des systèmes et des services de traitement par rapport à la nature, la portée, le contexte et la finalité du traitement sont pris en compte de manière à limiter le risque à long terme par la mise en place de mesures techniques et organisationnelles appropriées. Une méthodologie d’évaluation du risque adaptée et compréhensible est utilisée pour le traitement des données à caractère personnel selon la mission confiée. Elle tient compte de la probabilité de survenance et de la gravité des risques pour les droits et libertés des personnes physiques concernées par le traitement.
Le concept de protection des données décrit dans l’annexe 2 présente de manière détaillée et en tenant particulièrement compte les systèmes informatiques et procédés de traitement employés chez le sous-traitant, les exigences minimales requises pour les mesures techniques et organisationnelles appropriées nécessaires à contrer le risque déterminé pour les objectifs de protection selon l’état de l’art. Il décrit également la procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer que le traitement soit en conformité avec les règles de protection des données.
Dans le cas d’une résiliation du présent contrat, quelle qu’en soit la raison, RaiseNow (et tout sous-traitant) est tenu de
Tout accord concernant les mesures techniques et organisationnelles ainsi que la documentation sur les contrôles et vérifications (aussi celle concernant les sous-traitants de deuxième rang) doit être conservé par les deux contractants pendant la durée du contrat et au terme de celui-ci encore pendant trois années civiles entières.
Toute clause accessoire au présent contrat doit être faite, par règle générale, sous forme écrite ou dans format électronique courant et fiable.
Au cas où la propriété du donneur d’ordre ou les données à caractère personnel qu’il a confié au sous-traitant pour être traitées seraient mises en danger par des mesures de tiers (p.ex. en raison d’actions de saisie ou confiscation), par une procédure de redressement judiciaire ou de conciliation ou bien par d’autres évènements, le sous-traitant a l’obligation d’en informer immédiatement le donneur d’ordre.
Actuellement, les relations de sous-traitance du traitement des données suivantes existent :
En fonction de la portée des prestations, certains sous-traitants pourraient être supprimés
Entreprise |
Adresse |
Prestation |
Adyen GmbH www.adyen.com |
Hackescher Markt 4 Gebäude 44 10178 Berlin Germany |
Payment Service Provider |
Amazon Web Services, Inc. aws.amazon.com/de |
410 Terry Avenue North Seattle WA 98109 USA |
Server/Infrastructure |
Datatrans AG www.datatrans.ch |
Kreuzbühlstrasse 26 8008 Zurich Switzerland |
Payment Service Provider |
Stripe Inc. www.stripe.com |
185 Berry Street, Suite 550 San Francisco, CA 94107 USA |
Payment Service Provider |
MNC AG www.mnc.ch |
Bahnhofplatz 17 8400 Winterthur Switzerland |
Payment Service Provider |
Nine Internet Solutions AG www.nine.ch |
Albisriederstrasse 243a 8047 Zurich Switzerland |
Server / infrastructure for Peer-to-Peer and Employee Giving |
Rackspace International GmbH www.rackspace.com |
Pfingstweidstrasse 60 8005 Zurich Switzerland |
Server / infrastructure |
SEPAone www.sepaone.com |
Charlottenstrasse 2 10696 Berlin Germany |
Payment Service Provider |
TWINT AG www.twint.ch |
Stauffacherstrasse 41 8004 Zurich Switzerland |
Payment Service Provider |
PayPal |
22-24 Boulevard Royal L-2449 Luxembourg Luxembourg |
Payment Service Provider |
Elastic |
Elasticsearch AS Postboks 539 1373 Asker Norway |
Server / Infrastructure |
Atlassian |
Level 6, 341 George Street, Sydney, NSW 2000 Australia |
Server / Infrastructure |
Wallee |
Neuwiesenstrasse 15 8400 Winterthur Switzerland |
Payment Service Provider |
PostFinance Ltd |
Mingerstrasse 20 3030 Berne Switzerland |
Payment Service Provider / Reconciliation |
Ingenico a worldline brand |
River Ouest 80 Quai Voltaire 95870 Bezons France |
Payment Service Provider |
84codes (RabbitMQ) |
Hälsingegatan 49 113 31 Stockholm Sweden |
Server / Infrastructure |
Twilio www.twilio.com |
EEA Headquarters 25-28 North Wall Quay Dublin 1 Irleand |
Two Factor Authentication RaiseNow Hub |
Le sous-traitant garantit dans le cadre de son concept de protection des données le respect des exigences minimales requises ci-après. La description contient les mesures nécessaires à mettre en place chez le sous-traitant dans le cadre du contrat sur le traitement des données afin d’assurer la sécurité d’utilisation des données à caractère personnel. Ce concept pour la protection des données se base sur le règlement général de l’UE sur la protection des données RGPD et éventuellement sur d’autres mesures qui auraient été exigées par les parties intéressées. Dans tout cela, le sous-traitant s’aligne essentiellement sur les prescriptions contenues dans les articles 24, 25 et 32 du RGPD.
Sur demande, le sous-traitant présentera les preuves pertinentes.
Les données à caractère personnel se trouvent exclusivement sur des serveurs Amazon situés à Francfort, sur des serveurs Rackspace situés à Londres et sur des serveurs Nine (nine.ch) situés à Zurich. Outre la certification RGPD, Amazon et Rackspace sont aussi certifiés PCI-DSS.
Ces mesures garantissent que les personnes autorisées à utiliser un système de traitement des données auront uniquement accès aux données correspondant à leur niveau d’autorisation et que les données à caractère personnel ne pourront pas être lues, copiées, altérées ou effacées par des personnes non autorisées lors de leur traitement, utilisation ou après leur stockage.
Les analyses et évaluations sont à pseudonymiser, lorsque le caractère personnel n’est pas absolument nécessaire pour l’obtention du résultat.
Ces mesures assurent que les données collectées à des finalités différentes puissent être traitées séparément.
Ces mesures garantissent que les données à caractère personnel ne puissent pas être lues, copiées, altérées ou effacées par des personnes non-autorisées lors de leur transmission par voie électronique, leur transport ou leur sauvegarde sur des supports de stockage. Elles permettent en même temps le contrôle et la traçabilité des points prévus pour la transmission des données à caractère personnel par des dispositifs de transmission.
Ces mesures garantissent un contrôle ultérieur pour déterminer si et par qui les données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement de données.
Ces mesures assurent la protection des données à caractère personnel contre la destruction ou la perte accidentelle.
Procédure pour des tests, analyses et évaluations réguliers (art. 32, al. 1, lettre d du RGPD ; art. 25 al. 1 du RGPD)
Une procédure pour le contrôle de la protection des données est à implémenter au sein de l’entreprise. Celle-ci doit inclure un engagement des employés à respecter le secret des données, mais aussi des formations et sensibilisations des employés ainsi que des audits réguliers des procédures de traitement des données. Un processus de notification et de traitement de bout en bout doit être mis en place pour les violations de protection des données et pour garantir les droits des personnes concernées. Celui-ci devra également inclure les informations du donneur d’ordre.
It seems like you've landed on a version of our website designed for another region. Would you like to see our site in:
Es sieht so aus, als hättest du unsere Website in einer Version aufgerufen, die für eine andere Region gedacht ist. Dann wechsle jetzt auf die lokale Seite für:
Il semble que vous ayez atterri sur une version de notre site destinée à une autre région. Voulez-vous voir notre site en :