RESPONSABLE DU TRAITEMENT

<.. image(Ein Bild, das Text, ClipArt enthält. Automatisch generierte Beschreibung) removed ..>

Convention de tíaitement des données de commande (CľD)

entre

RESPONSABLE DU TRAITEMENT

Client des services de ePost Service SA

et SOUS-TRAITANT

ePost Service SA Schlössli Xxxxxxxx Xxxxxxxxxxxx 0

6003 Lucerne

1. Objct du tíaitcmc⭲t dcs do⭲⭲écs dc comma⭲dc

Le Sous-traitant propose au Responsable du traitement une plateforme numérique avec différents modules permettant de simplifier les tâches bureautiques quotidiennes, d’envoyer le courrier et de scanner des do- cuments. Les données personnelles traitées par le Responsable du trai- tement sont transférées au Sous-traitant dans le cadre des services

«Software-as-a-Service» (SaaS).

Le traitement des données s’effectue dans le cadre de l’utilisation des produits du Sous-traitant (ci-après « service») par le Responsable du traitement et englobe les activités spécifiées dans les Conditions géné- rales (ci-après «CG»), les éventuelles conditions générales complémen- taires, la déclaration de confidentialité (ci-après «DC») ainsi que dans la description actuelle du service consultable sur le site Web du Sous- traitant.

Avec l’enregistrement d’un compte utilisateur KLARA ou ePost, le Res- ponsable du traitement conclut la présente convention pour le traite- ment des données de commande avec le Sous-traitant, en tant que par- tie du contrat et en complément des CG, et donne au Sous-traitant les directives correspondantes pour le traitement des données.

2. Catégoíics dc pcíso⭲⭲cs co⭲ccí⭲écs

Les catégories de personnes concernées dépendent des services utili- sés par le Responsable du traitement et des données qui y sont trans- mises. Il peut s’agir en particulier des données suivantes, la liste n’étant pas exhaustive:

• Données relatives aux employés du Responsable du traite- ment

• Données relatives aux clients du Responsable du traitement

• Données relatives aux partenaires du Responsable du trai- tement

• Données relatives aux fournisseurs du Responsable du trai- tement

• Données financières du Responsable du traitement

Destinataires, expéditeurs et destinataires potentiels de documents (ePost)

«. Díoits ct obligatio⭲s du Sous-tíaita⭲t

Le Sous-traitant traite les données de personnes concernées unique- ment dans le cadre de la relation contractuelle, conformément aux CG, à la DC et à la présente convention, sauf cas exceptionnel prévu par la loi.

Le Sous-traitant garantit un traitement des données personnelles con- forme à la protection des données et met en œuvre des mesures tech- niques et organisationnelles appropriées pour garantir la confidentia- lité, la disponibilité et l’intégrité. Le Sous-traitant vérifie régulièrement l’efficacité de ces mesures techniques et organisationnelles et les adapte si nécessaire.

Le Sous-traitant traite les données personnelles pendant toute la durée de la relation contractuelle entre le Responsable du traitement et le Sous-traitant.

Le Sous-traitant supprime les données faisant l’objet du contrat si le Responsable du traitement lui en fait la demande et n’est pas en me- sure de l’effectuer lui-même. Sont exclues les données dont le traitement s’avère nécessaire par la suite en raison d’obligations légales ou à des fins internes impératives.

Si le Sous-traitant prend connaissance d’une violation de la protection des données, il prendra sans attendre des mesures appropriées afin de minimiser les éventuelles conséquences préjudiciables pour les per- sonnes concernées. Le Sous-traitant en informe immédiatement le Responsable du traitement si ses données sont concernées. En outre, le Sous-traitant respecte entièrement les dispositions légales appli- cables en matière de notification des violations de la protection des données.

4. Díoits ct obligatio⭲s du Rcspo⭲sablc du tíaitc- mc⭲t

Dans le cadre de la relation contractuelle, le Responsable du traitement seul répond de la légalité du transfert des données au Sous-traitant ainsi que de la légalité du traitement des données. Si des personnes concernées devaient s’opposer au traitement des données prévu, le Responsable du traitement répond lui-même de la suppression des données associées à ces personnes dans son compte KLARA.

Le Responsable du traitement a le droit, avant le début et pendant le traitement des données, d’obtenir des informations sur les mesures techniques et organisationnelles prises pour préserver la sécurité des données.

Le Responsable du traitement répond de la sécurité des données sur les terminaux ainsi que du transfert au Sous-traitant.

Le Responsable du traitement a le droit de s’adresser au Sous-traitant pour toute question concernant le traitement des données et la garan- tie du respect de la présente convention.

5. Obligatio⭲ dc co⭲fidc⭲tialité

Lors du traitement des données, le Sous-traitant est tenu au respect du secret des données et au respect de la confidentialité de données qu’il reçoit dans le cadre du mandat ou dont il a connaissance.

Le Sous-traitant garantit connaître les différentes dispositions en vi- gueur en matière de protection des données et être familiarisé avec leur utilisation.

Le Sous-traitant oblige tous les intervenants qui fournissent des ser- vices en lien avec le mandat du Responsable du traitement à manipuler les données du Responsable du traitement en toute confidentialité, en particulier les données personnelles traitées pour le Responsable du traitement.

G. Dcma⭲dcs dc pcíso⭲⭲cs co⭲ccí⭲écs

Si une personne concernée demande au Sous-traitant de pouvoir exer- cer son droit de rectification, de suppression ou d’information, le Sous- traitant renverra cette personne au Responsable du traitement, à con- dition qu’une mise en relation avec ce dernier soit possible en fonction des indications de la personne concernée. Le Sous-traitant transmet au Responsable du traitement la demande de la personne concernée, dans un délai raisonnable.

Le Sous-traitant peut, dans la mesure de ses possibilités, assister le Res- ponsable du traitement dans le cadre de la demande d’une personne concernée touchant au droit de la protection des données. Dans ce cas, le Sous-traitant a le droit de réclamer une indemnité.

La responsabilité du Sous-traitant n’est pas engagée lorsque la de- mande de la personne concernée, soit n’est pas honorée, soit ne l’est pas correctement ou pas en temps utile.

7. Pícu:cs

Le Sous-traitant prouve au Responsable du traitement le respect des obligations énoncées dans la présente convention par des moyens ap- propriés. Cela prend la forme d’un auto-audit ou d’une certification ISO 27001.

Si, dans certains cas particuliers, des inspections par le Responsable du traitement ou un auditeur mandaté par ce dernier s’avèrent néces- saires, elles devront être effectuées pendant les heures de bureau nor- males sans causer de perturbation dans le fonctionnement de l’entre- prise, après notification et en tenant compte d’un délai adapté. Dans ce cas, le Responsable du traitement prend en charge les frais d’audit. En cas de dépenses de personnel particulièrement élevées, le Sous-trai- tant est en droit de facturer ces dépenses au Responsable du traite- ment.

®. ľicís ct sous-c⭲tícpíc⭲cuís

Le Sous-traitant peut faire appel à des sous-entrepreneurs pour l’exé- cution de la prestation contractuelle. Le Sous-traitant est autorisé à re- courir à des sous-entrepreneurs à condition que ces derniers satisfas- sent de leur côté aux exigences de la présence convention dans le cadre du contrat de sous-traitance. Le Sous-traitant conclut, dans la mesure nécessaire, des accords avec ces Sous-traitants afin de garantir des me- sures adéquates de protection des données et de l’information. Les sous-entrepreneurs n’ayant pas accès aux données clients, ou n’effec- tuant pas de traitement de données personnelles en qualité de Sous- traitant, sont exclus de cette réglementation. Une liste de sous-entre- preneurs actuels, dans le sens d’un Sous-traitant (ci-après seulement

«sous-entrepreneur» par souci de simplification) est consultable ici.

Le Responsable du traitement accepte que le Sous-traitant fasse appel aux sous-entrepreneurs listés sur le site Web du Sous-traitant. Avant le recours à d’autres sous-entrepreneurs, le Sous-traitant informe le Res- ponsable du traitement en mettant à jour son site Web. L’aperçu sur le site Web doit être mis à jour au moins 14 jours avant le recours. Le Responsable du traitement consultera régulièrement la liste. Le Sous- traitant peut s’opposer au changement prévu jusqu’à 14 jours après en avoir pris connaissance et pour des motifs importants. Si aucune objec- tion n’est formulée dans les délais, l’acceptation du changement est considérée comme effective. S’il existe un motif important relatif à la protection des données, et si une solution à l’amiable ne peut pas être trouvée entre les parties, le Responsable du traitement dispose d’un droit de résiliation exceptionnel pour le service concerné.

9. Ïi⭲

Une fois le contrat terminé, le Sous-traitant procède à la suppression physique de toutes les données en sa possession, à l’exception des in- formations et documents nécessaires au respect de l’obligation légale de conservation.

Le Responsable du traitement a le droit de se faire documenter et con- firmer auprès du Sous-traitant la suppression intégrale et conforme au contrat des données.

10. Dispositio⭲s fi⭲alcs

Le Sous-traitant peut modifier cette convention conformément aux dis-

positions des CG. Aucun accord oral n’a été convenu.

Par ailleurs, sont applicables les dispositions des CG, des éventuelles conditions générales complémentaires et de la DC. En cas de possibles contradictions entre la présente convention et les CG ou d’éventuelles conditions générales complémentaires, ce sont les dispositions des conditions générales complémentaires qui prévalent, puis en deu- xième lieu celles des CG.

Version 5 juin 2024