Contrat de traitement des données Personnelles (Data Processing Agreement - DPA)
Le Prestataire fournit des services au responsable du traitement dans le cadre d'une relation contractuelle distincte. Ce contrat est établi entre les parties pour garantir une protection adéquate des données personnelles (ci-après dénommées "Données") lorsque celles-ci sont transférées du responsable du traitement au sous-traitant pour traitement.
De plus, ce contrat aide les parties à se conformer aux réglementations applicables en matière de traitement des données personnelles, notamment la loi fédérale sur la protection des données (LPD) et, le cas échéant, le règlement général sur la protection des données (RGPD) de l'UE (ci-après dénommées "dispositions applicables en matière de protection des données").
En plus des dispositions du règlement (UE) 2016/679 et du règlement (UE) 2018/1725, la loi fédérale suisse sur la protection des données (LPD) s'applique également. Chaque fois que le RGPD est mentionné dans les présentes clauses contractuelles types, le règlement équivalent de la LPD s'applique.
En conséquence, les parties concluent le contrat suivant:
Dans le cadre du champ d'application du GDPR, ils doivent être compris conformément au GDPR.
L'objet, la nature et la durée sont précisés dans les contrats conclus et dans l'annexe 1 du présent contrat. Le présent contrat est conclu en annexe au contrat principal et en fait partie intégrante.
Le traitement des données personnelles par le sous-traitant se déroule toujours en Suisse, dans un État membre de l'Union européenne (UE), dans un État membre de l'Espace économique européen (EEE) ou dans un autre pays offrant un niveau adéquat de protection des données.
Tout transfert de données personnelles par le sous-traitant vers un pays ne disposant pas d'un niveau adéquat de protection des données n'est autorisé qu'avec l'accord écrit préalable du responsable du traitement. Lors de l'obtention de ce consentement, le sous-traitant doit fournir au responsable du traitement la preuve de l'existence de garanties et d'un niveau de protection approprié.
Le sous-traitant met en place les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données en fonction des risques encourus. Il veille à respecter les mesures spécifiées à l'annexe 2 du présent accord, qui doivent être mises en œuvre avant le début du traitement des données.
Ces mesures incluent des dispositifs de sécurité visant à garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité des données, en tenant compte de l'état actuel de la technique, des coûts de mise en œuvre, du type de données traitées, de la finalité du traitement, ainsi que de la probabilité et de la gravité des risques pour les droits fondamentaux des personnes concernées. Elles doivent permettre de prévenir les atteintes à la sécurité des données.
Le sous-traitant effectue régulièrement des contrôles pour s'assurer que les processus internes et les mesures techniques et organisationnelles respectent les exigences légales en matière de protection des données et protègent les droits des personnes concernées.
Les mesures techniques et organisationnelles peuvent évoluer avec les progrès technologiques. Le sous-traitant est autorisé à mettre en place d'autres mesures adéquates, à condition que le niveau de sécurité ne soit pas réduit. Toute modification doit être documentée par écrit ou par courrier électronique.
Sur demande, le sous-traitant doit fournir au responsable du traitement la preuve des mesures mises en œuvre.
De son côté, le responsable du traitement prend également des mesures techniques et organisationnelles appropriées pour protéger les données personnelles dans son domaine de responsabilité, comme sur ses propres systèmes, bâtiments, et applications.
6.1 Liés par des instructions
Le Sous-traitant doit traiter les données personnelles exclusivement conformément aux dispositions du présent contrat, de tout contrat connexe et aux instructions supplémentaires du Responsable du traitement. Le Sous-traitant doit confirmer immédiatement par écrit ou par e-mail les instructions verbales. Les ajustements significatifs à la coopération doivent être convenus par écrit entre les parties.
Le Sous-traitant doit informer immédiatement le Responsable du traitement s'il estime qu'une instruction viole la loi applicable, sauf si la loi l'interdit en raison d'un intérêt public important. Dans ce cas, le Sous-traitant peut suspendre l'exécution de l'instruction jusqu'à ce que sa légalité soit assurée.
Les parties communiquent entre elles par l'intermédiaire de personnes autorisées, listées en Annexe 1 du présent contrat, ayant l'autorité de donner des instructions. En cas de changement ou d'absence prolongée des personnes autorisées, l'autre partie doit être informée immédiatement des successeurs ou représentants.
6.2 Obligations d'information et d‘assistance
Si le Sous-traitant ne peut remplir ses obligations contractuelles pour quelque raison que ce soit ou si cela est prévisible, il s'engage à en informer immédiatement le Responsable du traitement.
De plus, le Sous-traitant doit informer sans délai le Responsable du traitement de toute demande ou notification émanant d'une autorité gouvernementale, réglementaire, de supervision ou autre, sauf si la loi interdit au Sous-traitant d'informer le Responsable du traitement.
Le Sous-traitant s'engage également à fournir au Responsable du traitement une assistance appropriée et en temps voulu pour se conformer aux dispositions applicables en matière de protection des données, notamment en ce qui concerne la sécurité des données personnelles, la création et la mise à jour de la liste des activités de traitement, les évaluations d'impact sur la protection des données ou la consultation préalable du Préposé fédéral à la protection des données et à l'information ou d'une autre autorité de surveillance.
En cas de contrôle par le Préposé à la protection des données et à l'information, de procédures administratives ou pénales, de réclamations de personnes concernées ou de tiers, ou de toute autre réclamation liée au traitement des données par le Sous-traitant, ce dernier doit fournir une assistance appropriée au Responsable du traitement.
6.3 Obligations relatives aux droits des personnes concernées
Si une personne concernée exerce ses droits directement auprès du Sous-traitant (ou d'un Sous-traitant ultérieur), le Sous-traitant doit transmettre cette demande ou requête au Responsable du traitement sans délai, sans y répondre sur le fond.
Le Sous-traitant (et tout Sous-traitant ultérieur) s'engage à coopérer pleinement et rapidement avec le Responsable du traitement et à fournir les services de soutien nécessaires pour répondre aux demandes ou requêtes des personnes concernées.
À la demande du Responsable du traitement, le Sous-traitant doit notamment corriger, restreindre (par exemple, bloquer) ou supprimer les données personnelles.
6.4 Notification des violations de la sécurité des données
Le Sous-traitant doit informer immédiatement (max. 48h) le Responsable du traitement de tous les cas où le Sous-traitant, les personnes qu'il emploie ou un Sous-traitant ultérieur ont violé les exigences de sécurité des données ou toute autre disposition du présent contrat. Il en va de même pour les erreurs opérationnelles graves ou les irrégularités dans le traitement des données personnelles. Le Sous-traitant doit également notifier la perte ou la divulgation illicite de données personnelles, ou l'accès accidentel ou non autorisé à ces données par des tiers non autorisés. Les soupçons raisonnables doivent également être signalés.
Le Sous-traitant s'engage à soutenir le Responsable du traitement dans ses obligations en cas de violation de la sécurité des données, notamment en prenant des mesures appropriées pour protéger les données personnelles et prévenir ou limiter les effets négatifs sur les personnes concernées.
6.5 Confidentialité
Le Sous-traitant doit prendre les mesures appropriées pour garantir que seules les personnes physiques agissant sous l'autorité du Sous-traitant ou du Sous-traitant ultérieur et ayant besoin d'accéder aux données personnelles y aient accès, et uniquement dans la mesure nécessaire aux opérations de traitement.
Le Sous-traitant est soumis aux obligations de confidentialité officielles, professionnelles, commerciales, industrielles et bancaires applicables au Responsable du traitement, ainsi qu'à d'autres obligations légales et contractuelles de confidentialité. Il doit garder confidentiel le traitement des données personnelles et ne peut rendre les données personnelles accessibles à des tiers, les transmettre, les divulguer ou fournir des informations à leur sujet sans le consentement écrit préalable du Responsable du traitement. Les Sous-traitants ultérieurs autorisés ne sont pas considérés comme des tiers, et les obligations légales de divulgation sont réservées.
Le Sous-traitant doit imposer une obligation de confidentialité à toutes les personnes ayant accès aux données personnelles dans le cadre du présent contrat ou pouvant y avoir accès, sauf si elles sont déjà soumises à une obligation légale ou contractuelle appropriée de confidentialité.
L'obligation de confidentialité s'applique également après la fin du présent contrat.
6.6 Sous-traitance
Lors du traitement des données personnelles, le Sous-traitant peut utiliser le Sous-traitant ultérieur nommé en Annexe 3 du présent contrat pour les services spécifiés.
Lorsqu'un Sous-traitant ultérieur est utilisé, le Sous-traitant doit lui imposer les mêmes obligations que celles découlant du présent contrat et s'assurer que le Sous-traitant ultérieur peut remplir ces obligations.
Le Sous-traitant doit accorder au Responsable du traitement le droit de surveiller et d'inspecter le Sous-traitant ultérieur conformément au présent contrat et d'exiger du Sous-traitant ultérieur toutes les obligations prévues dans le présent contrat. Cela inclut le droit du Responsable du traitement de demander des informations appropriées au Sous-traitant ultérieur ou au Sous-traitant concernant le contenu du contrat et la mise en œuvre des exigences des dispositions applicables en matière de protection des données.
Le Sous-traitant doit informer le Responsable du traitement de son intention de nommer un nouveau Sous-traitant ultérieur, et le Responsable du traitement a le droit de s'opposer à cette nomination par écrit ou par e-mail dans un délai de 30 jours. Les Sous-traitants ultérieurs autorisés ne sont pas considérés comme des tiers, et les obligations légales de divulgation sont réservées. En tout état de cause, l'ajout (ou le retrait) d'un Sous-traitant ultérieur ne doit pas affecter négativement le niveau de sécurité du contrat. Le Responsable du traitement peut révoquer son consentement à la sous-traitance pour un motif valable, notamment en cas de violation de la loi ou du contrat. La sous-traitance doit alors cesser immédiatement.
Si le Sous-traitant engage un Sous-traitant ultérieur sans le consentement du Responsable du traitement, ce dernier a le droit de résilier immédiatement et de manière extraordinaire le présent contrat.
Le Sous-traitant est entièrement responsable envers le Responsable du traitement de l'exécution des obligations du Sous-traitant ultérieur.
Une nouvelle sous-traitance par le Sous-traitant ultérieur n'est pas autorisée.
Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données découlant d'un tel contrat, le Sous-traitant reste responsable envers le Responsable du traitement de l'exécution des obligations du Sous-traitant ultérieur.
6.7 Utilisation des clauses contractuelles types de l'Union Européenne
Pour éviter que chaque filiale du Client, tenue d'exporter des données, ne soit obligée de signer des contrats bilatéraux distincts avec le Fournisseur, cet accord, signé par le Client en son nom propre et au nom de ses filiales, est considéré comme un contrat entre chacune des filiales du Client (chacune exportant des données) et le Fournisseur, conformément aux termes du présent accord.
Les parties conviennent que tout transfert de données personnelles par une ou plusieurs filiales du Client, en tant qu'exportateur de données, vers le Fournisseur, en tant qu’importateur de données, qui serait interdit par la Directive sur la protection des données en l'absence de clauses contractuelles types, sera soumis aux termes des clauses contractuelles types.
Le présent accord s'applique également aux transferts de données personnelles par des filiales non européennes du Client (exportateurs de données), dans la mesure où les clauses contractuelles types sont suffisantes pour répondre aux exigences locales applicables.
Pour éviter tout doute, un transfert de données personnelles est réputé avoir eu lieu si le Fournisseur accède aux données personnelles de toute filiale du Client par quelque moyen que ce soit, y compris par voie électronique, même si l'emplacement physique des données reste inchangé et que le Fournisseur ne détient pas ces données personnelles.
Les parties conviennent que le Client peut occasionnellement modifier la liste des exportateurs de données, notamment en ajoutant ou en retirant l'une de ses filiales, en veillant à ce que le Fournisseur en soit informé.
Le Client peut, au nom et pour le compte de ses filiales, faire valoir le présent contrat. Le Client s'engage à faire des efforts commerciaux raisonnables pour s'assurer que toute réclamation impliquant l'une de ses filiales en vertu du présent contrat contre le Fournisseur est cédée par la filiale concernée au Client, et le Client accepte que ladite réclamation lui soit cédée.
Le Responsable du traitement a le droit de vérifier le respect par le Sous-traitant des dispositions légales en matière de protection des données et/ou des termes du présent contrat, de manière appropriée et nécessaire. Il peut effectuer ces contrôles lui-même ou par l'intermédiaire de tiers mandatés, notamment en obtenant des informations et en inspectant les données traitées ou stockées, ainsi que les systèmes et programmes de traitement utilisés. Ces vérifications peuvent inclure des inspections sur place.
Les personnes chargées de l'inspection doivent se voir accorder l'accès nécessaire par le Sous-traitant. Ce dernier est tenu de fournir les informations requises, de démontrer les processus et de présenter les preuves nécessaires à la réalisation de l'inspection.
Le Responsable du traitement peut également mandater un auditeur externe qualifié, soumis à une obligation de confidentialité, pour vérifier que le Sous-traitant respecte les dispositions du présent accord et les réglementations applicables en matière de protection des données, et pour s'assurer que les déclarations du Sous-traitant sont exactes et complètes.
Ces audits doivent respecter le principe de proportionnalité et prendre en compte les intérêts légitimes du Sous-traitant, notamment son droit à la confidentialité.
Le Sous-traitant est tenu d'exécuter sa mission avec diligence et rigueur, garantissant que ses services respectent les conditions et spécifications contractuelles ainsi que l'état actuel de la science et de la technologie. Il est responsable de tout dommage causé par ses employés dans l'exécution de leurs tâches.
Le Sous-traitant n'est responsable des dommages résultant du traitement conformément au présent contrat que s'il n'a pas respecté ses obligations légales en matière de protection des données ou s'il n'a pas suivi les instructions légales du Responsable du traitement.
Le Sous-traitant est responsable des dommages directs subis par le Responsable du traitement dans le cadre de l'exécution du service. Toutefois, cette responsabilité ne s'applique pas si le Sous-traitant prouve qu'il n'est pas en faute.
Le Sous-traitant est également responsable envers le Responsable du traitement de tout dommage causé par lui-même, ses employés ou tout sous-traitant secondaire qu'il a mandaté pour exécuter le contrat, en violation de leurs obligations.
Le contrat prend effet dès sa signature par les deux parties. Sa durée correspond à celle du contrat principal, mais il reste en vigueur tant que le Sous-traitant traite les données personnelles du Responsable du traitement, y compris les sauvegardes. La résiliation pour motif valable demeure possible.
À la fin de cet accord, le Sous-traitant (et, le cas échéant, le sous-traitant secondaire) doit, selon le choix du Responsable du traitement, soit restituer toutes les données personnelles fournies dans un format lisible par machine choisi par le Responsable, y compris les supports de données, et fournir des copies de ces données, soit supprimer toutes les données personnelles, y compris leurs copies, et certifier au Responsable que cette suppression a été effectuée. Toutefois, si la loi empêche le Sous-traitant de restituer ou de détruire les données, il doit garantir la confidentialité des données transmises pour une durée indéterminée et cesser tout traitement actif de ces données.
Le Sous-traitant doit veiller à ce que le sous-traitant secondaire restitue ou supprime également les données sans délai.
Le Responsable du traitement a le droit de vérifier que les données sont restituées ou effacées conformément au contrat.
Dans la mesure où aucune disposition particulière n'a été prévue dans le présent contrat, les dispositions du contrat principal s'appliquent, notamment en ce qui concerne la confidentialité, la responsabilité, le droit applicable, le lieu de juridiction et les dispositions relatives à la résiliation.