ConditionsAccord sur le traitement des données (DPA)

1. Préambule

1.1 Le présent accord, ainsi que ses annexes, complète nos conditions d’utilisation en précisant les modalités de sous-traitance de données personnelles dans le cadre de la fourniture de notre service.

1.2 Nous avons pour objectif d’assurer une protection adéquate des données personnelles conformément à toutes les lois en matière de protection des données qui vous seraient applicables, y compris, mais sans s’y limiter, la Loi fédérale sur la protection des données, les Lois cantonales en matière de protection des données, ou le Règlement général sur la protection des données.

2 Objet de l’accord

2.1 Cet accord encadre tout transfert de données personnelles que vous nous confiez et tout traitement de données personnelles que nous réalisons pour votre compte. Dans ce cadre, vous êtes responsable du traitement, et nous intervenons en qualité de sous-traitant.

2.2 Vous nous transférez les données personnelles exclusivement aux fins de leur traitement en lien direct avec la fourniture de notre service. La description des traitements réalisés est précisée à l’Annexe 1.

3 Ordre de priorité

3.1 Le présent accord, ainsi que ses annexes, fait partie intégrante des conditions d’utilisation.

3.2 En cas de conflit ou d’incompatibilité entre le présent accord et les conditions d’utilisation ou tout autre accord nous liant, les dispositions du présent accord prévaudront, sauf accord écrit contraire.

3.3 En cas de divergence dans l’interprétation des versions linguistiques du présent accord, la version française prévaut.

4 Définitions

4.1 Les données personnelles désignent toutes les informations qui se rapportent à une personne physique identifiée ou identifiable.

4.2 Les personnes concernées désignent toutes personnes physiques dont les données personnelles font l’objet d’un traitement. Lorsque cela est applicable, les données personnelles relatives à des personnes morales identifiées ou identifiables sont également considérées comme des données personnelles.

4.3 Les traitements de données personnelles désignent toutes opérations relatives à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.

4.4 L’autorité de contrôle désigne l’autorité compétente en matière de protection des données qui est responsable pour assurer le respect des lois applicables en matière de protection des données.

5 Vos devoirs

5.1 Vous vous engagez et garantissez que vous avez obtenu toutes les autorisations nécessaires des personnes concernées pour que nous puissions traiter licitement leurs données personnelles en vertu des lois applicables en matière de protection des données.

5.2 Vous vous engagez et garantissez que vous répondrez de manière conforme aux lois applicables en matière de protection des données pour toutes demandes de personnes concernées, de l’autorité de contrôle et d’autres tiers.

5.3 Vous vous engagez à nous informer dans les meilleurs délais de toute erreur ou irrégularité que vous constateriez dans le cadre de notre relation de sous-traitance.

6 Nos obligations

6.1 Nous nous engageons à ne pas utiliser les données dans un autre but que celui pour lequel vous nous les communiquez.

6.2 Nous nous engageons et vous garantissons que les mesures appropriées sont mises en place pour empêcher tout accès direct non autorisé au contenu de vos données. Si un accès technique est nécessaire, nous obtenons votre consentement préalable. De plus, un système de journalisation est mis en place pour documenter chaque accès.

6.3 Nous nous engageons à vous informer immédiatement si nous sommes contraints, en vertu d’une loi étrangère ou d’une décision de justice, de communiquer des données personnelles à une autorité étrangère, ou si un tel risque existe.

6.4 Nous vous désignons un interlocuteur pour les questions relatives à la protection des données et vous informons en cas de changement de celui-ci.

6.5 Nous nous engageons, dans la mesure où cela peut raisonnablement être exigé de nous, compte tenu de l’utilisation de notre service, de la nature du traitement et des informations à notre disposition, à vous assister dans le cadre de vos obligations en matière d’analyse d’impact relative à la protection des données et de consultation préalable.

6.6 Nous garantissons l’application des principes de protection des données dès la conception et par défaut.

7 Notre personnel et secret

7.1 Nous limitons l’accès aux données personnelles à nos collaborateurs et aux personnes travaillant pour nous, uniquement lorsque cet accès est nécessaire. Nous nous assurons que ces personnes respectent les obligations prévues par le présent accord.

7.2 Nous garantissons que nos collaborateurs et les personnes travaillant pour nous sont formés au traitement des données personnelles conformément aux exigences légales en matière de protection des données et aux bonnes pratiques en la matière.

7.3 Nous garantissons que les collaborateurs chargés du traitement des données et les autres personnes travaillant pour nous sont liés par des obligations de confidentialité, lesquelles perdurent au-delà de nos relations contractuelles avec eux.

7.4 Certaines données peuvent être soumises à un secret, notamment le secret de fonction ou le secret professionnel. Nous nous soumettons automatiquement au secret en ce qui concerne ces données en notre qualité d’auxiliaire et nous en respectons les exigences y relatives.

8 Sécurité des données

8.1 Nous nous engageons à mettre en place des mesures organisationnelles et techniques appropriées pour garantir la sécurité des données personnelles. Ces mesures visent à assurer leur confidentialité, leur intégrité, leur disponibilité et leur traçabilité, en tenant compte des risques encourus.

8.2 Ces mesures tiennent compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de l’étendue et des finalités du traitement ainsi que de la vraisemblance et de la gravité variables des risques pour la personnalité et les droits fondamentaux des personnes concernées. Nous réévaluons régulièrement ces mesures dans le cadre de notre système de gestion des risques.

8.3 Nous vous informons que nous sommes certifiés SOC 2 Type II. Cette certification atteste de notre conformité et de notre engagement en matière de sécurité des données. Nous nous engageons à maintenir cette certification et à vous informer en cas de non-renouvellement ou de retrait.

8.4 Nous nous engageons également à mettre en œuvre les actions nécessaires pour garantir la continuité de nos activités et à vous informer de tout manquement en matière de sécurité des données.

9 Violation de la sécurité des données

9.1 En cas de violation de la sécurité des données, nous nous engageons à mettre en œuvre les moyens raisonnables visant à l’identifier et à en comprendre les raisons et les circonstances.

9.2 Nous prenons toutes les mesures nécessaires pour éviter, contenir et limiter l’impact de la violation. Nous nous engageons à documenter tous les éléments concernant sa découverte, sa cause et son impact, ainsi que les mesures pour y remédier.

9.3 Nous nous engageons à vous annoncer dans les meilleurs délais la violation par l’intermédiaire de notre interlocuteur en matière de protection des données.

9.4 Cette annonce contient toutes les informations nécessaires pour vous permettre de respecter vos propres obligations d’annonce à l’égard de l’autorité de contrôle et des personnes concernées. Les informations comprennent notamment, mais sans s’y limiter :

• La nature de la violation, ainsi que, dans la mesure du possible, une référence au moment et à la durée de la violation, aux catégories et au nombre approximatif de données personnelles concernées et de personnes concernées.
• Les conséquences, y compris les risques éventuels, pour les personnes concernées.
• Les mesures prises pour remédier à la violation et atténuer les conséquences, y compris les risques éventuels.
• Le nom et les coordonnées de notre interlocuteur en matière de protection des données.

9.5 Si nous ne sommes pas en mesure de vous fournir simultanément toutes les informations, nous vous fournissons les informations manquantes dans les meilleurs délais.

9.6 Nous nous engageons, dans la mesure où cela peut raisonnablement être exigé de nous, et à votre demande, à vous prêter assistance dans l’exécution de vos propres obligations d’annonce auprès de l’autorité de contrôle et des personnes concernées. Vous vous concertez avec nous dans les meilleurs délais à ce sujet.

10 Sous-traitants ultérieurs

10.1 Nous déléguons le traitement des données personnelles à des sous-traitants ultérieurs uniquement avec votre consentement. Tout traitement des données personnelles effectué par nos sous-traitants ultérieurs ne peut porter que sur des opérations de traitement nécessaire à la fourniture du service.

10.2 Votre consentement est réputé donné de manière générale pour les sous-traitants ultérieurs listés à l’Annexe 2 du présent accord.

10.3 En cas de modification de l’Annexe 2, nous vous informerons au moins soixante jours à l’avance. Vous pouvez vous opposer à cette modification dans un délai de trente jours suivant notre notification. Cette opposition ne peut être formulée que pour des motifs légitimes liés au droit de la protection des données. La suppression d’un sous-traitant ultérieur ne peut faire l’objet d’une opposition.

10.4 Si un accord mutuel sur le recours à un sous-traitant ultérieur ne peut être trouvé dans ce délai, vous avez la possibilité de résilier l’utilisation de notre service de manière extraordinaire, à condition de démontrer que l’opposition est nécessaire selon le droit de la protection des données.

11 Communication transfrontière de données personnelles

11.1 En principe, nous traitons les données personnelles en Suisse.

11.2 Par exception à ce principe, des données personnelles peuvent être communiquées hors de Suisse si l’un des critères suivants est rempli :

• L’État de destination assure un niveau de protection adéquat, reconnu par une décision d’adéquation ou par le Swiss-U.S. Data Privacy Framework pour les organismes certifiés.
• Le transfert est encadré par des clauses contractuelles types ou toute autre garantie appropriée prévue par les lois applicables en matière de protection des données.

11.3 Nous nous engageons, dans la mesure du raisonnable, à veiller à ce que nos sous-traitants ultérieurs respectent les règles applicables en matière de communication transfrontière de données.

11.4 Nous vous informons par le biais de l’Annexe 2 des lieux où les données personnelles sont communiquées hors de Suisse et des critères mis en œuvre.

12 Demandes de personnes concernées

12.1 Nous nous engageons, en tenant compte du type de traitement et des informations dont nous disposons, à votre demande, dans l’exécution de vos obligations envers les personnes concernées qui exercent leurs droits (p. ex. droit d’accès, droit de rectification). Vous devez nous transmettre toute requête que vous recevriez en lien avec la sous-traitance de données personnelles.

12.2 Si nous recevons une demande d’une personne concernée, nous vous la transférons dès réception. Nous informerons également la personne concernée que vous êtes responsable du suivi de sa demande, en précisant vos coordonnées ainsi que la date du transfert.

12.3 Il est mutuellement convenu que vous assumez l’entière responsabilité de donner suite aux demandes des personnes concernées.

13 Obligations de contrôle

13.1 Vous pouvez demander à réaliser un audit de notre relation de sous-traitance. Cet audit peut être effectué par vous-même ou par un tiers compétent, à condition que ce tiers ne soit pas en concurrence avec nous. Nous coopérons pleinement pour faciliter la réalisation de l’audit, conformément aux conditions convenues.

13.2 Vous devez nous notifier votre intention d’audit avec un préavis minimum de soixante jours. Cette notification doit au moins préciser l’objet de l’audit, le périmètre de l’audit, les données auditées, les méthodes utilisées, la durée envisagée et l’identité du ou des tiers compétents, le cas échéant. Vous ou le tiers compétent désigné devez vous engager par écrit à respecter la confidentialité des informations auxquelles vous aurez accès dans le cadre de l’audit.

13.3 Nous garantissons que l’accès aux informations nécessaires est accordé sans délai injustifié, tout en assurant la sécurité des données concernées.

13.4 Un rapport d’audit est établi et mis gratuitement à notre disposition à la fin de l’audit. Ce rapport contient les constatations ainsi que les recommandations visant à corriger d’éventuelles lacunes identifiées.

14 Sort des données

14.1 À la fin de la fourniture du service ou à votre demande, et sous réserve des obligations légales de conservation, nous nous engageons à :

• Vous restituer toutes les données personnelles ou certaines d’entre elles dans un format électronique couramment utilisé ; ou
• Les supprimer sans en conserver de copie.

15 Indemnisation et responsabilité

15.1 Vous vous engagez à nous rembourser les dépenses et débours que nous engageons dans le cadre de l’assistance liée à vos obligations en matière de protection des données et à la réalisation d’audits.

15.2 Cette obligation de remboursement ne s’applique pas si vous pouvez démontrer que ces dépenses résultent d’une faute de notre part ou qu’il ne vous appartient pas de les supporter.

15.3 Nous nous engageons à vous indemniser pour toute prétention de tiers au titre d’une violation du présent accord ou de prescriptions de lois en matière de protection des données applicables. Une telle indemnisation s’applique pour l’ensemble des dommages, coûts, prétentions ou dépenses qu’induisent de telles violations pour vous.

16 Autres dispositions

16.1 Le présent accord est valable tant que notre service vous est fourni. Il prend automatiquement fin à la cessation de ce service.

16.2 Nous nous réservons le droit d’apporter en tout temps des modifications au présent accord. Nous nous engageons à vous informer et à vous remettre la nouvelle version modifiée.

Annexe 1 – Description du traitement des données personnelles

Préambule

La présente annexe décrit le traitement des données personnelles conformément au point 2 de l’accord.

Nature et finalités du traitement de données

Le traitement des données personnelles a pour but de fournir et améliorer les services définis dans les conditions d’utilisation, notamment :

• Gestion des réunions : Préparation collaborative des ordres du jour, rédaction en temps réel des comptes rendus, et suivi des décisions et tâches assignées aux participants.
• Gestion des tâches : Création et attribution de tâches au sein d'espaces de travail partagés, suivi de l'avancement des projets, et priorisation des activités pour une meilleure organisation.
• Gestion de projets : Planification des projets avec définition des dates de début et d'échéance, ajout de statuts pour informer l'équipe de l'avancement, et obtention d'une vue d'ensemble sur tous les projets en cours.
• Communication interne : Envoi de notifications et de rappels liés aux activités sur la plateforme, ainsi que de courriels transactionnels tels que la récupération de mot de passe et les confirmations d'actions importantes.
• Amélioration du service : Analyse de l'utilisation de la plateforme pour optimiser les fonctionnalités, garantir le bon fonctionnement et la sécurité du service, et offrir une expérience utilisateur améliorée.

Catégories de données personnelles traitées

Les catégories de données personnelles traitées comprennent :

• Données de contact : Nous traitons vos données de contact, par exemple votre nom, votre prénom, votre adresse, votre langue de correspondance, votre numéro de téléphone ou votre adresse électronique.
• Données professionnelles : Nous traitons vos données relatives à votre situation professionnelle, en particulier votre statut professionnel, votre titre, votre fonction, le nom de votre organisation, votre lieu de travail.
• Données économiques : Nous traitons vos données économiques comme votre adresse de facturation et vos informations de paiement.
• Données de service : Nous traitons les données de service, c’est-à-dire les données crées par les utilisateurs dans le cadre de l’utilisation de notre service. Ces données incluent notamment les informations saisies directement par les utilisateurs, les données créées automatiquement par la plateforme en fonction des interactions et les informations qui nous sont transmises par des méthodes autorisées dans le cadre de l’utilisation d’un autre service.
• Données Internet et de connexion : Pour des raisons techniques et afin d’améliorer notre service, chaque utilisation de celui-ci génère certaines données, notamment votre adresse IP, des informations sur votre fournisseur d’accès à Internet et sur le système d’exploitation de votre appareil, des informations sur l’URL de référence, des informations sur le navigateur utilisé, la date et l’heure de l’accès.

Catégories de personnes concernées

Catégories de données personnelles traitées

• Les utilisateurs internes du service (p. ex. vos collaborateurs).
• Les utilisateurs externes du service (p. ex. vos partenaires commerciaux ou vos propres clients).
• Les personnes dont les données personnelles sont saisies par les utilisateurs internes ou externes.

Annexe 2 – Nos sous-traitants ultérieurs

Préambule

La présente annexe liste nos sous-traitants ultérieurs, ainsi que les éventuelles garanties relatives à la communication transfrontière de données conformément aux points 10 et 11 de l’accord.