Ce qui suit est une traduction automatique de l'original allemand. Seul l'original allemand fait foi.

1. Définitions

Lois applicables en matière de protection des données désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »), la Loi fédérale suisse sur la protection des données (LPD), l’Ordonnance suisse relative à la Loi fédérale sur la protection des données (OLPD), ainsi que, le cas échéant, toute autre réglementation applicable en matière de protection des données.

Responsable du traitement désigne la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Sous-traitant désigne la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.

Données à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après « personne concernée »). Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Traitement désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Outils APPAGIC : Les Outils APPAGIC désignent divers outils mis à disposition des clients de Hofmänner New Media GmbH en tant que logiciels standard. La liste actualisée peut être consultée sur www.appagic.com

2. Champ d’application et objet

2.1 Champ d’application

Le présent contrat s’applique à toute forme de traitement de données à caractère personnel pour le compte du donneur d’ordre par le sous-traitant, en particulier pour tous les outils gérés via www.appagic.com

2.2 Objet, durée, nature et finalité

L’objet, la durée, ainsi que la nature et la finalité du traitement résultent du contrat principal.

2.3 Nature des données à caractère personnel / Catégories de personnes concernées

En principe, la spécification de la mission est définie dans le contrat principal. Lorsque ce dernier ne mentionne rien d’explicite, les points suivants s’appliquent :

2.3.1 Objet, nature et finalité du traitement

Le sous-traitant met à disposition du donneur d’ordre des plateformes facilitant, par la numérisation, l’organisation et la réalisation d’événements ainsi que les tâches organisationnelles ou administratives générales d’une organisation.

2.3.2 Durée du traitement

Les données personnelles identifiables sont conservées dans le système jusqu’à ce qu’elles soient supprimées par le responsable du traitement ou que l’utilisation des outils soit arrêtée.

2.3.3 Catégories de personnes concernées / Nature des données à caractère personnel

Pour l’accomplissement des missions, les catégories de données suivantes sont traitées:

• Personne de contact du donneur d’ordre : données de contact (nom, téléphone, e-mail) de la personne de contact responsable du donneur d’ordre. Selon le mode de paiement, éventuellement aussi les numéros de carte de crédit.
• Utilisateurs du système (administrateurs) : pour les utilisateurs du système, sont collectés le nom, le téléphone, l’e-mail et la photo.
• Personnes concernées (personnes en lien avec l’objet des plateformes et du donneur d’ordre) : informations de contact (nom, prénom, adresses e-mail, numéro de téléphone, date de naissance, sexe, adresse et autres informations librement définissables par le responsable du traitement) des personnes enregistrées dans le système en rapport avec l’utilisation des plateformes.

3. Obligations du sous-traitant

3.1 Traitement conforme aux instructions

Le sous-traitant s’engage à traiter les données exclusivement aux fins du contrat principal, y compris du présent contrat, ainsi que conformément aux instructions documentées du donneur d’ordre. Cela s’applique en particulier à la transmission des données vers un pays tiers ou à une organisation internationale. Si le sous-traitant est tenu, par le droit de l’Union européenne, d’un État membre ou d’un État tiers non membre de l’UE auquel il est soumis, de procéder à d’autres traitements, il en informe le donneur d’ordre avant le traitement. Le sous-traitant est responsable, en ce qui concerne les données traitées, du respect des lois sur la protection des données qui lui sont applicables.

Le donneur d’ordre peut à tout moment émettre de nouvelles instructions, les compléter ou modifier celles existantes. Cela comprend également les instructions relatives à la rectification, la suppression et le blocage des données à caractère personnel. Toutes les instructions données doivent être documentées par écrit tant par le donneur d’ordre que par le sous-traitant.

Si le sous-traitant estime qu’une instruction du donneur d’ordre contrevient aux dispositions en matière de protection des données, il doit en informer immédiatement le donneur d’ordre. Le sous-traitant est en droit de suspendre l’exécution de l’instruction concernée jusqu’à ce qu’elle soit confirmée ou modifiée par le donneur d’ordre. Le sous-traitant peut refuser l’exécution d’une instruction manifestement illégale.

Par ailleurs, les obligations découlant directement des lois applicables en matière de protection des données, telles que l’établissement d’un registre des traitements, demeurent inchangées et ne sont pas affectées par le présent contrat.

3.2 Obligation de confidentialité

Le sous-traitant s’engage et garantit que toutes les personnes chargées du traitement des données, y compris les auxiliaires, ont été tenues par écrit à une obligation de confidentialité avant le début de leur activité, ou sont soumises à une obligation légale appropriée de confidentialité, et que cette obligation perdure après la fin de leur activité auprès du sous-traitant. Le sous-traitant est responsable de toute violation commise par ces personnes, y compris les auxiliaires, comme de son propre fait.

3.3 Mesures de protection du sous-traitant

Le sous-traitant s’engage et garantit avoir pris et maintenir toutes les mesures nécessaires pour assurer la sécurité du traitement, afin d’empêcher tout traitement non autorisé, perte ou altération de données à caractère personnel. Cela inclut en particulier les mesures minimales décrites dans les mesures techniques et organisationnelles.

3.4 Obligations d’assistance

Le sous-traitant est tenu d’assister le donneur d’ordre, sur demande, dans le respect des lois applicables en matière de protection des données, à tout moment et dans la mesure du possible.

3.4.1 Demandes et droits des personnes concernées

Le sous-traitant s’engage à soutenir le donneur d’ordre par des mesures techniques et organisationnelles appropriées, afin que celui-ci puisse répondre, dans les délais légaux, aux demandes relatives à l’exercice des droits des personnes concernées prévus par les lois applicables en matière de protection des données (notamment information, accès, rectification, suppression, portabilité des données, opposition et prise de décision automatisée), et lui transmet toutes les informations nécessaires et disponibles.

Si une demande est adressée directement au sous-traitant, ce dernier doit la transmettre immédiatement au donneur d’ordre. La réponse à ces demandes doit être laissée au donneur d’ordre, sauf obligation légale contraire. Dans tous les cas, les parties conviennent de se concerter pour la réponse à ces demandes.

3.4.2 Autres obligations d’information et d’assistance

Le sous-traitant s’engage à assister le donneur d’ordre, en tenant compte des informations dont il dispose, dans le respect des obligations prévues par les lois applicables en matière de protection des données (mesures de sécurité, notifications des violations de données personnelles à l’autorité de contrôle, information des personnes concernées par une violation de données, analyses d’impact et consultation préalable).

Le sous-traitant s’engage à informer immédiatement le donneur d’ordre en cas (i) de violation réelle ou présumée de la protection des données (y compris toute violation du contrat principal et du présent contrat, ou toute autre violation des lois applicables en matière de protection des données), en précisant toutes les informations disponibles ; (ii) de toute déficience ou menace susceptible de compromettre le respect des dispositions du contrat principal et du présent contrat ; (iii) de toute demande d’accès ou de tout accès effectif aux données personnelles par une autorité, sauf interdiction légale pour des raisons importantes d’intérêt public.

3.5 Obligation de restitution ou de suppression en cas de fin du contrat

Le sous-traitant s’engage, à la fin du contrat principal, y compris du présent contrat, ou à la demande du donneur d’ordre, à restituer ou supprimer, au choix du donneur d’ordre et sous réserve des obligations légales de conservation dans l’UE/EEE ou en Suisse, toutes les données à caractère personnel, sans en conserver de copie, et à confirmer par écrit la suppression au donneur d’ordre.

3.6 Droits de contrôle du donneur d’ordre

Le sous-traitant s’engage à mettre à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect du présent contrat et à permettre et soutenir activement les vérifications, y compris les inspections, par le donneur d’ordre lui-même, par un auditeur mandaté ou par l’autorité de contrôle. Les contrôles chez le sous-traitant doivent être réalisés sans perturber inutilement l’activité opérationnelle.

4. Obligations du donneur d’ordre

Le donneur d’ordre s’engage à n’importer dans les systèmes du sous-traitant que des données de personnes pour lesquelles il est expressément autorisé à les traiter et à les utiliser. Le sous-traitant veille à ce que tous les utilisateurs du système du donneur d’ordre soient entièrement instruits et formés.

Si le donneur d’ordre charge le sous-traitant d’importer des données personnelles dans les systèmes, il doit préalablement s’assurer que ces données peuvent être importées dans les systèmes du sous-traitant.

5. Lieu du traitement des données

Les traitements de données sont effectués sur les sites du sous-traitant et de ses sous-fournisseurs.

Le sous-traitant s’engage à ne pas transférer, même partiellement, de données à caractère personnel vers un pays tiers sans l’accord préalable écrit du donneur d’ordre.

Si les activités de traitement de données sont effectuées, même partiellement, en dehors de la Suisse ou de l’UE, un niveau de protection adéquat doit être garanti au préalable au moyen de garanties appropriées.

Les garanties appropriées appliquées pour un transfert de données sont référencées dans le registre des sous-traitants ultérieurs.

6. Recours à des sous-traitants ultérieurs

Le sous-traitant est autorisé à faire appel à un sous-traitant ultérieur, à condition d’en informer préalablement le donneur d’ordre.

Pour APPAGIC Tools, le sous-traitant est habilité à recourir aux entreprises mentionnées sur le site internet (https://qual.appagic.com/fr-ch/sous-traitant) en tant que sous-traitants ultérieurs. Pour les projets ne concernant pas APPAGIC, le sous-traitant établit, en collaboration avec le donneur d’ordre, une liste correspondante.

Les modifications envisagées concernant les sous-traitants ultérieurs doivent être communiquées en temps utile et par écrit au donneur d’ordre, afin qu’il puisse, le cas échéant, résilier le contrat. Le sous-traitant conclut avec le sous-traitant ultérieur les accords écrits nécessaires en matière de confidentialité et de protection des données, lesquels doivent être au moins aussi stricts que les dispositions du contrat principal, y compris du présent contrat. Le sous-traitant doit notamment veiller à ce que le sous-traitant ultérieur assume les mêmes obligations et mette en œuvre en particulier les mesures techniques et organisationnelles incombant au sous-traitant en vertu du présent contrat.

Le sous-traitant est responsable envers le donneur d’ordre du respect des obligations du sous-traitant ultérieur comme de son propre comportement.

Le sous-traitant n’est pas responsable des outils intégrés par le donneur d’ordre lui-même ou à sa demande expresse. Dans ce cas, le donneur d’ordre est responsable du respect de toutes les règles de protection des données.

7. Conclusion d’accords supplémentaires

Le sous-traitant accepte de conclure, à la demande du donneur d’ordre, dans le cadre des contrats existants, des accords complémentaires relatifs au traitement des données à caractère personnel, dès lors que le donneur d’ordre les considère raisonnablement nécessaires pour le respect du droit applicable en matière de protection des données.

8. Droit de résiliation extraordinaire

Le donneur d’ordre peut résilier le présent contrat à tout moment et sans préavis en cas de violation grave du sous-traitant des dispositions relatives à la protection des données ou des dispositions du présent contrat, si le sous-traitant ne peut ou ne veut exécuter une instruction du donneur d’ordre, si le donneur d’ordre n’accepte pas un nouveau sous-traitant ultérieur, ou si le sous-traitant refuse, en violation du contrat, les droits de contrôle du donneur d’ordre. La non-exécution des obligations convenues dans le présent contrat constitue en particulier une violation grave.

9. Relation avec les contrats existants

• Si une disposition du présent contrat est en contradiction avec le contrat principal, la disposition contenue dans le présent contrat prévaut.
• Les dispositions du présent contrat restent applicables même après la fin du contrat principal, tant que le sous-traitant détient des données à caractère personnel du donneur d’ordre.

10. Dispositions finales

Les modifications et compléments du présent contrat peuvent être effectués unilatéralement par le donneur d’ordre. Les adaptations doivent revêtir la forme écrite et être communiquées au donneur d’ordre au moins 30 jours avant leur entrée en vigueur. Si le donneur d’ordre n’est pas d’accord avec ces adaptations ou modifications, il peut résilier le contrat principal de manière extraordinaire et avec effet immédiat jusqu’à 30 jours après l’entrée en vigueur des adaptations.

Si certaines dispositions du présent contrat sont ou deviennent totalement ou partiellement invalides, la validité des autres dispositions n’en sera pas affectée. Les parties conviennent de remplacer la disposition invalide par une disposition valide se rapprochant le plus possible du sens et de l’objectif économique de la disposition invalide.

Le présent contrat est régi par le droit suisse, à l’exclusion du droit international privé (LDIP). La juridiction exclusive pour tout litige découlant du présent contrat ou en rapport avec son interprétation et son application est celle des tribunaux de la ville de Winterthour, Suisse.

Version vom 01.01.2024