Accord de traitement des données

1. Préambule

Le mandant et le mandataire ont conclu un contrat de mandat (ci-après « le contrat de mandat ») dans le cadre duquel le mandataire fournit un travail, des prestations ou, le cas échéant, d’autres services spécifiés. Le présent accord de traitement des données (ci-après « l’accord ») vise ainsi à fournir au mandant des informations claires et précises concernant le rôle du mandataire, que ce dernier agisse en qualité de responsable du traitement indépendant ou en qualité de sous-traitant.

Pour l’exécution du contrat de mandat, le mandataire se voit octroyer par le mandant l’accès, selon les circonstances, à des données personnelles que le mandant a transmises directement ou par l’intermédiaire de tiers mandatés, ou encore de toute autre manière (ci-après « les données personnelles » ou « les données »). L’octroi de cet accès par le mandant vise à inclure toute opération relative aux données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction des données.

Les parties affirment leur volonté que le traitement des données personnelles effectué par le mandataire ou par des tiers autorisés se conforme à la législation suisse en matière de protection des données, à savoir à la Loi fédérale sur la protection des données (ci-après « la LPD ») et à l’Ordonnance sur la protection des données (ci-après « l’ODPo).

Tenant compte de l’importance cruciale de la conformité avec la législation en matière de protection des données, les parties reconnaissent que la détermination de leur rôle respectif, à savoir de responsable du traitement indépendant ou de sous-traitant, est intrinsèquement liée aux circonstances factuelles spécifiques à chaque situation de traitement de données personnelles nécessaire pour la bonne exécution du contrat de mandat. Au vu de ce qui précède, il est essentiel de préciser que, selon la nature des activités de traitement effectuées, le mandataire peut agir soit en qualité de responsable du traitement indépendant, soit en qualité de sous-traitant.

2. Définitions

2.1 Responsable du traitement

Le responsable du traitement est la personne privée qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles.

2.2. Sous-traitant

Le sous-traitant est la personne privée qui traite des données personnelles pour le compte du responsable du traitement et selon ses instructions.

2.3. Données personnelles

Les données personnelles sont toutes les informations concernant une personne physique identifiée ou identifiable. Les informations concernant une personne morale ne sont pas des données personnelles.

2.4. Personne concernée

La personne concernée est la personne physique dont les données personnelles font l’objet d’un traitement.

2.5. Traitement

Le traitement est toute opération relative à des données personnelles, quels que soient les moyens et les procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.

2.6. Violation de la sécurité des données

La violation de la sécurité des données est toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces données.

3. Champ d’application et objet

3.1. Champ d’application

Le présent accord est valable pour toute forme de traitement de données personnelles que le mandataire accomplit pour le mandant.

3.2. Objet, durée, nature et finalités

L’objet, la durée de même que la nature et les finalités de traitement découlent du contrat de mandat.

3.3. Nature des données personnelles et des catégories des personnes concernées

La nature des données personnelles ainsi que les catégories des personnes concernées découlent du contrat de mandat.

4. Sécurité des données

4.1. Objectifs de protection

Le mandataire s’engage à mettre en place toutes les mesures organisationnelles et techniques appropriées pour assurer une sécurité adéquate des données personnelles par rapport aux risques encourus conformément aux principes définis dans la LPD et l’OPDo.

4.2. Organisation interne

Dans son domaine de responsabilité, le mandataire structure son organisation interne de telle sorte qu’elle réponde aux exigences spécifiques de la protection des données, en particulier afin de répondre aux besoins de sécurité des données.

4.3. Mesures techniques et organisationnelles

Les mesures organisationnelles et techniques sont prises pour que les données traitées ne soient accessibles qu’aux personnes autorisées (confidentialité), soient disponibles en cas de besoin (disponibilité), ne puissent être modifiées sans droit ou par mégarde (intégrité) et soient traitées de manière à être traçables (traçabilité).

Les mesures organisationnelles et techniques sont prises en tenant compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de l’étendue et des finalités du traitement ainsi que de la vraisemblance et de la gravité variables du risque pour la personnalité ou les droits fondamentaux de la personne concernée.

4.4. Modification des mesures techniques et organisationnelles

Le mandataire se réserve le droit de modifier les mesures de sécurité prises. Il garantit que celles-ci ne sont pas inférieures au niveau de protection requis par la législation en matière de protection des données et correspondent aux bonnes pratiques.

4.5. Infractions

Le mandataire s’engage à informer le mandant sans délai s’il a connaissance d’infractions graves dans le cadre du mandat à l’encontre des prescriptions relatives à la protection des données commises par toutes personnes en relation avec le traitement des données chez lui, y compris les auxiliaires et les personnes autorisées à traiter les données personnelles.

5. Formation et confidentialité

5.1. Formation

Le mandataire assure que toutes les personnes en relation avec le traitement des données, y compris les auxiliaires et les personnes autorisées à traiter les données personnelles, ont été sensibilisées et formées au traitement des données personnelles conformément aux exigences de la protection des données et qu’ils sont tenus de ne pas traiter ces données de manière non autorisée.

5.2. Confidentialité

Le mandataire veille à ce que toutes les personnes en relation avec le traitement des données, y compris les auxiliaires et les personnes autorisées à traiter les données personnelles, soient liées par des engagements et/ou obligations de confidentialité, couvrant tant l’accès que le traitement des données. Ces obligations perdurent même après la cessation de leur relation contractuelle avec le mandataire.

6. Lieux d’exécution du traitement des données personnelles

6.1. Lieux d’exécution en Suisse ou dans un État avec un niveau de protection adéquat

Le mandataire s’engage à ce que les traitements de données personnelles soient effectués en Suisse, ou à défaut, dans des pays reconnus par le Conseil fédéral comme offrant un niveau de protection adéquat, conformément à la liste de l’Annexe 1 de l’OPDo.

6.2. Autres lieux d’exécution et garanties

Si les traitements de données personnelles en Suisse ou au sein d’un pays reconnu comme offrant un niveau de protection adéquat sont impossibles, le mandataire s’engage à prendre toutes les mesures nécessaires pour garantir un niveau de protection des données personnelles sur la base des garanties énumérées par la LPD.

7. Obligations spécifiques du mandataire en qualité de sous-traitant

7.1. Traitement selon le contrat de mandat et les instructions du mandant

Le mandataire s’engage à ne pas utiliser les données personnelles dans des buts contraires que ceux fixés par le contrat de mandat ou les instructions que le mandant a documentées.

Le mandant peut en tout temps donner de nouvelles instructions, les compléter ou modifier des instructions existantes.

Si le mandataire est d’avis qu’une instruction du mandant enfreint des dispositions relatives à la protection des données, il doit en informer le mandant immédiatement. Le mandataire est en droit de suspendre l’exécution du traitement jusqu’à ce que l’instruction soit modifiée par le mandant. Le mandataire peut refuser d’exécuter une instruction manifestement illicite.

7.2. Demandes et droits des personnes concernées

Le mandant s’assure que la personne concernée reçoive toutes les informations nécessaires conformément à la législation suisse en matière de protection des données.

Si une personne concernée s’adresse au mandataire pour une demande (p. ex. de renseignements, rectification, de suppression, de portabilité, d’opposition), le mandataire s’engage à la transmettre sans tarder au mandant. La responsabilité de répondre à de telles demandes incombe au mandant, à moins que le mandataire n’en soit tenu par la loi. Dans tous les cas, les parties conviennent de se concerter pour répondre à de telles demandes.

Si, en vertu de la législation suisse en matière de protection des données, le mandant est tenu de fournir à une personne concernée des renseignements sur le traitement de ses données, le mandataire aidera au besoin le mandant à mettre ces informations à disposition dans le respect des délais légaux. Cela suppose que le mandant ait demandé au mandataire de le faire sous forme écrite et que le mandant lui rembourse les frais occasionnés par cette assistance.

Si, en vertu de la législation suisse en matière de protection des données, le mandant est tenu de rectifier ou de supprimer des données, le mandataire aidera au besoin le mandant. Cela suppose que le mandant ait demandé au mandataire de le faire sous forme écrite et que le mandant lui rembourse les frais occasionnés par cette assistance.

7.3. Sous-traitance en cascade

Le mandataire est expressément autorisé à faire appel à des sous-traitants afin de sous-traiter tout ou partie des opérations de traitements effectuées pour le compte du mandant.

Le mandataire s’engage à s’assurer en tout temps que le sous-traitant est capable d’assurer et de fournir le niveau de protection des données personnelles requis, notamment en matière de sécurité des données.

Le mandataire répond, vis-à-vis du mandant, du respect des obligations incombant au sous-traitant comme de son propre comportement. Le mandataire demeure pleinement responsable envers le mandant de la bonne exécution des obligations liées au traitement des données personnelles.

7.4. Violation des données personnelles

Le mandataire s’engage à informer sans délai le mandant s’il a connaissance de violation de la protection des données personnelles. Cette annonce au mandant est accompagnée de toute documentation utile afin de lui permettre si nécessaire de la notifier au Préposé fédéral à la protection des données et à la transparence.

Le mandataire prend les mesures nécessaires pour réduire au minimum les éventuelles conséquences négatives pour les personnes concernées et se concerte sans délai avec le mandant à ce sujet. Le mandataire assiste le mandant dans l’exécution des obligations relatives à l’annonce des violations de la sécurité des données.

7.5. Droit de contrôle du mandant

Avant le début du traitement des données et ensuite régulièrement, le mandant peut s’informer à ses frais sur les mesures techniques et organisationnelles du mandataire et documenter le résultat. À cette fin, il peut, par exemple, demander des renseignements au mandataire ou se faire présenter une certification le cas échéant.

Le mandant peut également demander à réaliser un audit, portant sur les aspects relatifs à la protection des données, du mandataire. L’audit est réalisé par le mandant personnellement ou par un tiers compétent, pour autant que celui-ci ne soit pas en situation de concurrence avec le mandataire ou en situation de conflit d’intérêt. Le mandataire s’engage à coopérer pleinement avec le mandant ou le tiers compétent désigné pour faciliter la réalisation de l’audit dans le respect des conditions convenues. Il est entendu que l’audit doit être réalisé de manière à minimiser toute interruption ou perturbation des activités du mandataire et qu’au moins un collaborateur du mandataire puisse être présent lors de l’audit. La fréquence des audits ne doit pas excéder une fois tous les quatre ans, sauf circonstances exceptionnelles justifiées.

Le mandant s’engage à notifier avec un préavis minimum de nonante jours le mandataire de tout audit, en lui communiquant notamment l’objet de l’audit, les données auditées, les méthodes utilisées, la durée envisagée et l’identité du ou des tiers compétents. Chaque étape de l’audit doit être clarifiée avec le mandataire, notamment en ce qui concerne les modalités d’accès aux locaux, aux systèmes d’information et aux données nécessaires pour mener à bien l’audit, ainsi que le choix des jours et de l’horaire.

Le mandataire garantit que l’accès aux informations nécessaires est accordé sans délai injustifié, tout en assurant la sécurité des données concernées. Le mandataire garde le droit de demander des modifications des méthodes d’audit si celles-ci risquent de compromettre la sécurité des données ou des systèmes d’information.

Les coûts directs de l’audit sont à la charge du mandant, notamment les frais de déplacement et de temps de travail du mandataire. Le mandataire peut exiger une rémunération pour l’assistance à la réalisation de l’audit au tarif horaire pratiqué dans le cadre du contrat de mandat.

À la conclusion de l’audit, un rapport est établi et mis gratuitement à la disposition du mandataire. Ce rapport doit inclure les constatations, les recommandations et un plan d’action pour répondre à toute lacune identifiée.

7.6. Exécution d’accords complémentaires

Sur demande du mandant et dans le cadre du contrat de mandat, le mandataire consent à signer des accords complémentaires portant sur le traitement de données personnelles, pour autant que le mandant considère, après avoir procédé à la pesée des intérêts, que cela est nécessaire au respect de l’actuelle législation en matière de protection des données.

8. Sort des données personnelles

8.1. Restitution et destruction

Les données seront supprimées à la fin du contrat de mandat. Il incombe au mandant de faire des copies de sauvegarde de ses données et de transférer les données avant la fin du contrat. Si nécessaire, le mandataire s’engage à remettre, dans les meilleurs délais, les données au mandant dans un format électronique couramment utilisé. L’effort est disproportionné lorsque la transmission de données personnelles n’est pas possible pour des raisons techniques. Le mandataire s’engage également à détruire toutes les copies existantes de ses systèmes d’information, à moins que la législation n’exige la conservation de ces données.

9. Dispositions finales

9.1. Rapport à des contrats existants

Si l’une des dispositions du présent accord est en contradiction avec le contrat de mandat, la disposition de l’accord est déterminante. Les dispositions du présent accord restent en vigueur au terme du contrat de mandat aussi longtemps que le mandataire est en possession de données du mandant.

9.2. Modification

Les modifications et compléments apportés au présent accord requièrent la forme écrite. Ceci est aussi valable si l’on souhaite y renoncer.

9.3. Nullité

S’il s’avère que certaines dispositions de cet accord sont tout ou en partie nulles, la validité des autres dispositions ne s’en trouve pas affectée. Les parties conviennent de remplacer la disposition nulle par une disposition correspondant au mieux à leur volonté et aux objectifs économiques de la clause frappée de nullité.

Déclaration de consentement aux cookies
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour améliorer votre expérience utilisateur et réaliser des statistiques de visites. Vous pouvez personnaliser l'utilisation des cookies à l'aide du bouton ci-dessous.
Mes préférences