Accord de traitement des commandes et politique de protection des données

Le FOURNISSEUR DE SERVICES TIERS s'est enregistré en tant que fournisseur de services tiers sur la plate-forme ENAB.LE exploitée par Xxxxxx et a ainsi accepté les CONDITIONS D'UTILISATION. Ce contrat fait partie intégrante des CONDITIONS D'UTILISATION. Sauf convention contraire, les définitions des CONDITIONS D'UTILISATION sont également utilisées pour ce contrat.

Dans ce contrat, les parties réglementent d'une part les droits et obligations de Xxxxxx en tant que responsable des DONNÉES PERSONNELLES reçues et traitées, que Xxxxxx utilise pour le compte des FOURNISSEURS DE SERVICES TIERS pour remplir les CONDITIONS D'UTILISATION (Art. 9 de la LPD ou Art. 28 du RGPD), à savoir de CLIENTS FINAUX et/ou ENTREPRISES. Par ailleurs, ce contrat contient des dispositions sur la manière dont Xxxxxx traite les PROPRES DONNÉES et/ou les DONNÉES DE CONNEXION qu'elle reçoit directement du FOURNISSEUR DE SERVICES TIERS ou des personnes auxiliaires (par exemple, organismes, employés et autres personnes auxiliaires) du FOURNISSEUR DE SERVICES TIERS. S'il est fait référence ci-dessous à un FOURNISSEUR DE SERVICES TIERS, les auxiliaires du FOURNISSEUR DE SERVICES TIERS sont toujours inclus.

1 Définitions complémentaires

1.1 Les termes cités et définis dans cette section complètent les définitions des normes de protection des données applicables et des CONDITIONS D'UTILISATION. Chaque fois qu'ils sont utilisés dans le présent contrat, que ce soit au singulier ou au pluriel, ils ont la signification donnée ci-dessous.

Les données anonymisées	sont des DONNÉES PERSONNELLES telles que définies à la section 7.
Une personne concernée	est une personne physique identifiée ou identifiable, par exemple un CLIENT FINAL ou UNE ENTREPRISE (ou ses employés) ou des auxiliaires physiques du FOURNISSEUR DE SERVICES TIERS . Une personne physique est considérée comme identifiable si elle peut être identifiée directement ou indirectement, notamment par l'attribution de DONNÉES PERSONNELLES.
Les données personnelles particulièrement sensibles	sont les DONNÉES PERSONNELLES portant sur : - les opinions ou activités religieuses, idéologiques, politiques ou syndicales, - la santé, la vie privée ou l'appartenance à une race ou à un groupe ethnique, - les données génétiques, - les données biométriques qui identifient de manière unique une personne physique, - les poursuites ou sanctions administratives et pénales - les mesures d'assistance sociale ;
La modification / le traitement des Données	est tout traitement des DONNÉES PERSONNELLES, quels que soient les moyens et procédés utilisés, notamment la collecte, la conservation, l'enregistrement, l'utilisation, la modification, la DIVULGATION, l'archivage, l'effacement ou la destruction de DONNÉES PERSONNELLES.
La divulgation de données	signifie rendre les DONNÉES PERSONNELLES accessibles, comme y accorder l'accès, les transmettre ou les publier
Les documents	contiennent des DONNÉES PERSONNELLES qui sont téléversées par les UTILISATEURS sur ENAB.LE dans le but de fournir le service via ENAB.LE et affectent le CLIENT FINAL ou un tiers, qui ne sont pas UTILISATEURS eux- mêmes. Ces DOCUMENTS peuvent également contenir des DONNÉES PARTICULIÈREMENT SENSIBLES.
Les propres données	sont des DONNÉES PERSONNELLES que l'UTILISATEUR FOURNIT lors de l'ACCÈS à ENAB.LE et ne sont pas les DONNÉES DU CLIENT FINAL. Il s'agit, par exemple, de données de profil (telles que le nom, l'adresse, la profession, le sexe,

	etc.), de coordonnées bancaires, d'informations sur les propres services, d'avis reçus et d'informations personnelles (telles que des mentions j'aime, des recommandations, des avis donnés, etc.).
Les clients finaux	sont des personnes physiques ou morales destinataires des services proposés par le biais d'ENAB.LE par un FOURNISSEUR DE SERVICES TIERS (par exemple, assurés, personnes lésées ou locataires, clients ou patients).
Les données des clients finaux	sont des DONNÉES PERSONNELLES qui ne sont pas des DONNÉES DE CONNEXION ou de PROPRES DONNÉES et qui sont fournies par un UTILISATEUR (et/ou par les CLIENTS FINAUX eux-mêmes, dans la mesure où ils ont eux-mêmes ACCÈS à ENAB.LE en tant qu'UTILISATEUR) dans le but de fournir le service sur ENAB. LE et concernent des CLIENTS FINAUX ou un tiers qui ne sont pas eux-mêmes des UTILISATEURS. Il s'agit, par ex., des données de base d'un événement assuré ou d'une autre commande (description des faits, de la commande, du résultat obtenu ou des commentaires sur les différentes étapes de travail, ainsi que des messages envoyés par le biais d'ENAB.LE, etc.). Les DONNÉES DE CLIENTS FINAUX peuvent également contenir des DONNÉES PARTICULIÈREMENT SENSIBLES.
Les données de connexion	sont des DONNÉES PERSONNELLES que l'UTILISATEUR respectif COMMUNIQUE à propos de lui-même lorsqu'il ACCÈDE à ENAB.LE lors de l'inscription et de la connexion à ENAB.LE et sont collectées à des fins de connexion (telles que l'adresse IP, les données d'accès, l'adresse e-mail, les mots de passe, etc.).
L'utilisateur	toute personne physique ou morale
Les données personnelles	sont toutes les informations relatives à une PERSONNE CONCERNÉE.
La pseudonymisation	est le TRAITEMENT de DONNÉES PERSONNELLES de telle sorte que les DONNÉES PERSONNELLES ne puissent plus être attribuées à une PERSONNE CONCERNÉE spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément et soient soumises à des mesures techniques et organisationnelles garantissant que les DONNÉES PERSONNELLES ne puissent pas être attribuées à une PERSONNE CONCERNÉE.

Une entreprise

L'accès ou accéder

signifie l'accès à distance par les UTILISATEURS à ENAB.LE afin d'utiliser ENAB.LE pour obtenir, traiter, offrir ou

proposer des services.

2 Objet du contrat et bases juridiques

2.1 Ce contrat régit en outre les CONDITIONS D'UTILISATION entre le RESPONSABLE DU TRAITEMENT et le FOURNISSEUR DE SERVICES TIERS : (i) le TRAITEMENT des DONNÉES DU CLIENT FINAL et des DOCUMENTS de FOURNISSEURS DE SERVICES TIERS par le RESPONSABLE DU TRAITEMENT, et (ii) la politique de confidentialité, le traitement par Yarowa des PROPRES DONNÉES et/ou DES DONNÉES DE CONNEXION reçues directement des auxiliaires des FOURNISSEURS DE SERVICES TIERS.

2.2 Les dispositions de la loi suisse sur la protection des données (LPD) et, dans la mesure où le traitement relève du champ d'application du règlement général européen sur la protection des données (RGPD), les dispositions du RGPD s'appliquent au présent contrat.

2.3 Ce contrat régit notamment (i) les droits et obligations du FOURNISSEUR DE SERVICES TIERS et du RESPONSABLE DU TRAITEMENT pour satisfaire aux exigences de l'art. 9 de la LPD et de l'art. 28 du RGPD ; et (ii) d'autres règles de protection des données conformément à l'article 19 et suivants. de la LPD ou 13 et suivants du RGPD. Dans la mesure où règles de protection des données sont affectées, le FOURNISSEUR DE SERVICES TIERS assure qu'il s'est assuré que ses auxiliaires connaissent les droits et obligations convenus dans le présent contrat et sont en mesure de traiter ses PROPRES DONNÉES et DONNÉES DE CONNEXION, et qu'il dispose des autorisations de protection des données, PROPRES DONNÉES et/ou DONNÉES DE CONNEXION de ses auxiliaires Yarowa.

2.4 Les bases juridiques pour le traitement des PROPRES DONNÉES et des DONNÉES DE CONNEXION des auxiliaires du FOURNISSEUR DE SERVICES TIERS se trouvent généralement à l'art. 31, par. 2 lit. a et b de la LPD ou l'art. 6 par. 1 lit. b du RGPD (exécution du contrat) ou en dehors de l'exécution du contrat, l'art. 31, par. 1 de la LPD ou art. 6, par. 1, lit. a du RGPD (consentement). Le traitement conformément à l'art. 31, par. 2, lit. d et e de la LPD ou l'art. 6 par. 1 lit. F du RGPD (intérêts légitimes) reste réservé.

3		Nature et finalité du traitement des données
3.1		Les types de DONNÉES PERSONNELLES suivantes sont traités : DONNÉES PROPRES, DONNÉES
		DU CLIENT FINAL, DONNÉES DE CONNEXION, DOCUMENTS et DONNÉES PARTICULIÈREMENT
		SENSIBLES.
3.2		Les catégories de personnes concernées sont : LES FOURNISSEURS DE SERVICES TIERS,
		LES CLIENTS FINAUX et LES UTILISATEURS.
3.3		Le TRAITEMENT des DONNÉES PERSONNELLES consiste en le stockage, l'affichage, la
		modification et la suppression sur ENAB.LE, la facilitation de l'ACCÈS et/ou de la
		transmission mutuelle par les UTILISATEURS ou leurs employés, ainsi que
		l'autorisation d'ACCÈS à Yarowa ou à ses auxiliaires (par exemple, ses employés).
3.4		Le TRAITEMENT conformément aux sections suivantes 3.5, 3.6 3.7 et 3.8 sert
		notamment à satisfaire aux CONDITIONS D'UTILISATION.
3.5		Dans le but de traiter la fourniture de services via ENAB.LE et d'assurer l'interaction
		du FOURNISSEUR DE SERVICES TIERS avec les ENTREPRISES et LES CLIENTS FINAUX et assurer
		la sécurité des DONNÉES PERSONNELLES, YAROWA peut :
	−	stocker, afficher et divulguer les données aux UTILISATEURS autorisés à les consulter ; ainsi que
	−	fournir aux UTILISATEURS des fonctionnalités leur permettant de créer des rapports sur les données qu'ils sont autorisés à consulter (par exemple, la liste de toutes les
		commandes traitées via ENAB.LE).
3.6		Xxxxxx peut traiter les DONNÉES DE CONNEXION dans le but de fournir ENAB.LE aux
		UTILISATEURS et de leur en permettre L'ACCÈS, ainsi que pour aider LES UTILISATEURS
		dans ce domaine. Xxxxxx peut également MODIFIER les DONNÉES DE CONNEXION pour
		assurer le fonctionnement d'ENAB.LE (par exemple, mesures de performance,
		mesures pour assurer la sécurité des données (test de vulnérabilité, etc.), si
		nécessaire envoi de notifications automatisées en rapport avec le fonctionnement
		d'ENAB.LE par e-mail, etc.). En outre, Xxxxxx peut TRAITER les DONNÉES DE CONNEXION
		afin d'enregistrer les activités des UTILISATEURS sur ENAB.LE. Par exemple, Xxxxxx
		peut enregistrer à quelle fréquence ou à quel contenu un UTILISATEUR d'ENAB.LE
		accède et/ou quel appareil un utilisateur utilise (par exemple, accès/données de
		navigation).
3.7		Yarowa peut TRAITER LES PROPRES DONNÉES et LES DONNÉES DES CLIENTS FINAUX aux fins
		suivantes :
		− Évaluation de la prestation de services : pour vérifier l'attribution et la prestation

de services, par exemple pour créer des statistiques de performances et de coûts, des analyses plus approfondies, évaluer des modèles de rémunération et mesurer la satisfaction des clients. Yarowa peut mettre ces évaluations à la disposition d'autres ENTREPRISES et FOURNISSEURS DE SERVICES TIERS sous une forme

anonymisée.

− Analyse du marché et amélioration de la plateforme : pour augmenter la facilité d'utilisation d'ENAB.LE ou pour mieux l'adapter aux groupes d'utilisateurs.

− Communication : pour contacter les UTILISATEURS. Le contact peut être établi pour des services supplémentaires ou des messages liés à la plateforme. Xxxxxx accomplira cette communication de manière simple, claire et à une fréquence raisonnable avec un effort commercialement raisonnable.

− Newsletter : pour envoyer des newsletters ou des communications similaires aux UTILISATEURS. L'UTILISATEUR peut demander cette communication en envoyant un e-mail à xxxx@xxxxxx.xxx ou en activant la newsletter en utilisant le double opt- in. L'UTILISATEUR peut se désabonner de cette communication à tout moment.

Si tant est que Xxxxxx TRAITE les DONNÉES DU CLIENT FINAL conformément à cette clause, 3.7 elles seront PSEUDONYMISÉES au préalable.

3.8 Xxxxxx peut traiter des INFORMATIONS PERSONNELLES dans le but de fournir des rapports conformément à la section 5.

3.9 Yarowa peut collecter des données de navigation et d'utilisation auprès d'auxiliaires de FOURNISSEURS DE SERVICES TIERS, par exemple le type de navigateur utilisé ou les éléments d'ENAB.LE CONSULTÉS. Cela permet à ENAB.LE d'être optimisé, protégé contre les attaques ou autres infractions à la loi et/ou personnalisé.

3.10 Xxxxxx peut également TRAITER les DONNÉES PROPRES et les DONNÉES DE CONNEXION

conformément à la loi applicable.

3.11 Xxxxxx ne peut consulter aucun document et ne peut les traiter que conformément à la section 3.5.

4 Cookies / Services d'analyse du comportement de navigation

4.1 Xxxxxx a le droit d'utiliser des cookies sur ENAB.LE.

4.2 Les cookies sont des paquets de données qui sont envoyés par ENAB.LE au navigateur de l'auxiliaire du FOURNISSEUR DE SERVICES TIERS, stockés sur l'ordinateur de l'auxiliaire DU FOURNISSEUR DE SERVICES TIERS et récupérés de nouveau lors d'une visite ultérieure sur ENAB.LE. Les cookies stockent des informations sur les paramètres/préférences en ligne et permettent à Yarowa d'améliorer l'utilisation d'ENAB.LE. ENAB.LE utilise des cookies de session et des cookies permanents.

4.3 Les cookies de session servent à attribuer clairement, lors de chaque visite sur ENAB.LE, des informations enregistrées par le serveur pendant une visite déterminée à la personne auxiliaire du FOURNISSEUR DE SERVICES TIERS ou à son navigateur Internet (par ex. pour que le contenu de la plateforme ne soit pas

perdu). Les cookies de session sont supprimés après la fermeture du navigateur Internet.

4.4 Les cookies permanents servent à enregistrer les préférences de la personne auxiliaire du FOURNISSEUR DE SERVICES TIERS pour plusieurs ACCÈS à ENAB.LE, c'est-à- dire même après la fermeture du navigateur Internet, ou à permettre la connexion automatique. Les cookies permanents ne sont supprimés qu'en fonction des paramètres du navigateur Internet de l'auxiliaire du FOURNISSEUR DE SERVICES TIERS (par exemple, un mois après la dernière visite).

4.5 Yarowa permet à L'UTILISATEUR de désactiver les cookies qui ne sont pas nécessaires au fonctionnement d'ENAB.LE. Des informations détaillées sur les cookies utilisés sont disponibles dans la section « Cookies » du site ENAB.LE.

4.6 L'auxiliaire du FOURNISSEUR DE SERVICES TIERS peut en outre supprimer les cookies de session ou permanents existants à tout moment dans le navigateur Internet et désactiver l'installation d'autres cookies. La désactivation peut toutefois entraîner une dégradation, voire l'indisponibilité des fonctionnalités de la plateforme ENAB.LE.

4.7 Yarowa utilise les services de fournisseurs tiers (par exemple Amplitude) pour analyser le comportement de navigation des auxiliaires des FOURNISSEURS DE SERVICES TIERS. Ces fournisseurs tiers peuvent traiter les données de navigation des auxiliaires des FOURNISSEURS DE SERVICES TIERS qui n'identifient pas personnellement les auxiliaires des FOURNISSEURS DE SERVICES TIERS. Les données traitées de cette manière peuvent être transmises aux serveurs du fournisseur tiers en dehors de la Suisse et notamment aux États-Unis. Des informations détaillées sur les services d'analyse utilisés sont disponibles dans la section « Cookies » du site ENAB.LE.

4.8 En utilisant ENAB.LE, LE FOURNISSEUR DE SERVICES TIERS garantit que LE FOURNISSEUR DE SERVICES TIERS a fait en sorte que ses auxiliaires aient consenti à l'utilisation des technologies énumérées à la présente section 4.

5 Rapports

5.1 Yarowa génère des rapports techniques et transactionnels. Dans la mesure où ces rapports concernent des DONNÉES PERSONNELLES, Xxxxxx est en droit de mettre à la disposition de l'ENTREPRISE ainsi que du FOURNISSEUR DE SERVICES TIERS les rapports suivants, pour autant qu’ils soient autorisés à consulter les DONNÉES PERSONNELLES correspondantes :

− Rapport technique (ensemble des DONNÉES PERSONNELLES des cas) : ce rapport a pour but de mettre à la disposition de l'ENTREPRISE et du FOURNISSEUR DE SERVICES TIERS une base de données sous forme de données brutes concernant l'ensemble des mandats ou services actuels traités par eux via ENAB.LE. Le rapport peut comprendre toutes les DONNÉES PERSONNELLES stockées sur ENAB.LE concernant une commande ou un dossier traité par l'ENTREPRISE ou le FOURNISSEUR DE SERVICES

TIERS par le biais de Yarowa et que les personnes concernées sont autorisées à consulter. Ce rapport technique est mis à disposition pour les cas jusqu'à 12 mois au plus tard après la clôture des cas.

− Rapport transactionnel (extrait des cas) : ce rapport a pour but de fournir à l'ENTREPRISE et au FOURNISSEUR DE SERVICES TIERS une base de données sur les informations essentielles des transactions en cours et achevées. Ce rapport comprend des informations à propos de la commande ou des services traités sur ENAB.LE par l'ENTREPRISE ou le FOURNISSEUR DE SERVICES TIERS. Dans la mesure où DES DONNÉES DE CLIENTS FINAUX sont contenues dans le rapport, elles sont représentées sous forme PSEUDONYMISÉE. Ce rapport est mis à disposition pour les transactions jusqu'à 5 ans au plus tard après la clôture des dossiers.

6 Suppression de données

6.1 Xxxxxx et le FOURNISSEUR DE SERVICES TIERS conviennent que les DONNÉES DU CLIENT FINAL et les DOCUMENTS doivent être supprimés sur ENAB.LE 12 mois suivant la notification par l'ENTREPRISE ou le FOURNISSEUR DE SERVICES TIERS que la mission est terminée. L'engagement de Xxxxxx découlant de la section 6.3 est prioritaire. Par souci d'exhaustivité, il convient de préciser qu'un traitement supplémentaire des DONNÉES PSEUDONYMISÉES des CLIENTS FINAUX en vue de l'établissement d'un rapport transactionnel conformément au présent contrat reste réservé et est autorisé en tout état de cause. Xxxxxx garantit disposer de systèmes et de contrôles appropriés permettant de supprimer ou d'extraire ces données personnelles.

6.2 Le FOURNISSEUR DE SERVICES TIERS est tenu, conformément aux CONDITIONS D'UTILISATION, de disposer, indépendamment de la disponibilité de ENAB.LE, des DONNÉES PERSONNELLES nécessaires à la poursuite normale de ses activités. Yarowa met à la disposition du FOURNISSEUR DE SERVICES TIERS, au moyen d'interfaces, les DONNÉES PERSONNELLES dans les DONNÉES DES CLIENTS FINAUX et les DOCUMENTS à des fins de sauvegarde des données, d'archivage et de mise à jour de ses propres dossiers (par exemple au moyen de fichiers PDF). Si une PERSONNE CONCERNÉE demande la suppression de ses DONNÉES PERSONNELLES dans les DONNÉES DE CLIENTS FINAUX et les DOCUMENTS auprès de Xxxxxx en tant que RESPONSABLE DU TRAITEMENT DES DONNÉES, Xxxxxx informera le FOURNISSEUR DE SERVICES TIERS conformément à 11.2. Xxxxxx n'ayant accès qu'aux DONNÉES DES CLIENTS FINAUX sous FORME PSEUDONYMISÉE, Xxxxxx a besoin, pour supprimer les données, que le FOURNISSEUR DE SERVICES TIERS LUI COMMUNIQUE DES INFORMATIONS SUR LE CAS (PAR EXEMPLE L'ID DU CAS), lesquelles le FOURNISSEUR DE SERVICES TIERS mettra à disposition.

6.3 Le FOURNISSEUR DE SERVICES TIERS prend acte du fait que différents UTILISATEURS peuvent ACCÉDER À ENAB.LE et que Xxxxxx peut être RESPONSABLE DU TRAITEMENT de différents responsables dans le cadre de l'exploitation d'ENAB.LE. Indépendamment de la section 6.1, Xxxxxx est donc en droit de procéder à la suppression de DONNÉES PERSONNELLES dans les DONNÉES DE CLIENTS FINAUX et de DOCUMENTS si un UTILISATEUR demande cette suppression, que le FOURNISSEUR DE SERVICES TIERS y ait explicitement

consenti ou non. En cas de suppression de DONNÉES PERSONNELLES dans les DONNÉES DU CLIENT FINAL et les DOCUMENTS conformément à la présente section 6.3 , Xxxxxx informera le FOURNISSEUR DE SERVICES TIERS (ou ses employés (chargés du cas)) au moins 10 jours à l'avance, dans la mesure où cela est possible sans enfreindre les obligations de Xxxxxx envers l'UTILISATEUR CONCERNÉ.

6.4 Les auxiliaires des FOURNISSEURS DE SERVICES TIERS ont le droit de demander à tout moment l'effacement de leurs PROPRES DONNÉES et de leurs DONNÉES DE CONNEXION. Selon l'ampleur de l'instruction, cela peut avoir pour conséquence la suppression du compte/sous-compte du FOURNISSEUR DE SERVICES TIERS et la perte de l'accès à ENAB.LE par le FOURNISSEUR DE SERVICES TIERS.

7 Utilisation de données anonymisées

7.1 Yarowa a le droit de transférer une copie des données qui ne font plus référence à une PERSONNE CONCERNÉE identifiée ou identifiable (« DONNÉES ANONYMISÉES ») vers une base de données distincte d'ENAB.LE. Les parties conviennent que ces DONNÉES ANONYMISÉES ne sont plus couvertes par le présent contrat. Xxxxxx devient propriétaire des DONNÉES ANONYMISÉES et peut décider à sa guise de leur utilisation légale.

8 Droits et obligations du fournisseur de services tiers

8.1 Le FOURNISSEUR DE SERVICES TIERS est responsable, en tant que responsable du traitement, des directives relatives au traitement des DONNÉES DES CLIENTS FINAUX et des DOCUMENTS dans le cadre du présent contrat. Lors de la collecte, du TRAITEMENT et de l'utilisation des DONNÉES PERSONNELLES traitées par Xxxxxx en tant que RESPONSABLE DU TRAITEMENT sur ENAB.LE, LE FOURNISSEUR DE SERVICES TIERS est responsable de la vérification de la licéité et du respect des dispositions applicables en matière de protection des données ainsi que de la sauvegarde des droits des personnes concernées. Le FOURNISSEUR DE SERVICES TIERS garantit que les CLIENTS FINAUX ont donné leur consentement au TRAITEMENT conformément au présent contrat. Le FOURNISSEUR DE SERVICES TIERS indemnisera le RESPONSABLE DU TRAITEMENT, conformément aux dispositions suivantes de la présente section, contre les réclamations des CLIENTS FINAUX concernés en raison du TRAITEMENT de leurs DONNÉES PERSONNELLES malgré l'absence ou le retrait de leur consentement. Le FOURNISSEUR DE SERVICES TIERS libère à cet égard Xxxxxx, à la première demande, de toutes les prétentions de CLIENTS FINAUX formulées à l'encontre de Xxxxxx dans ce contexte. Le FOURNISSEUR DE SERVICES TIERS informera immédiatement Xxxxxx des éventuelles infractions aux droits de tiers dont IL aura connaissance dans ce contexte. Xxxxxx est en droit de prendre les mesures appropriées pour se défendre contre les prétentions de tiers. Le FOURNISSEUR DE SERVICES TIERS et Xxxxxx se concerteront sur toutes les mesures à prendre pour se défendre contre les revendications alléguées. L'indemnisation inclut également le remboursement des frais engagés ou subis par Xxxxxx dans le cadre d'une poursuite/défense en justice.

8.2 Compte tenu des points 6 et 7, le FOURNISSEUR DE SERVICES TIERS a le droit, dans le cadre des CONDITIONS D'UTILISATION, de donner des instructions sur la nature, l'étendue et la procédure du TRAITEMENT des DONNÉES PERSONNELLES.

8.3 Des instructions peuvent être données par le FOURNISSEUR DE SERVICES TIERS de manière générale ou au cas par cas. Elles doivent être transmises par écrit ou par e-mail. Les instructions individuelles peuvent également être transmises oralement, mais doivent être confirmées immédiatement par écrit ou par courrier électronique par le FOURNISSEUR DE SERVICES TIERS. Le FOURNISSEUR DE SERVICES TIERS désigne à Yarowa toutes les personnes habilitées à donner des instructions.

8.4 Dans la mesure où les instructions du FOURNISSEUR DE SERVICES TIERS sont, à l'avis de Yarowa, incompatibles avec la structure technique et contractuelle d'ENAB.LE (plusieurs ENTREPRISES et FOURNISSEURS DE SERVICES TIERS utilisant la plateforme ENAB.LE), les parties s'efforceront de bonne foi de trouver ensemble une solution. Si aucun accord n'est trouvé concernant la mise en œuvre des instructions du FOURNISSEUR DE SERVICES TIERS, chaque partie a le droit de résilier exceptionnellement le compte/sous-compte du FOURNISSEUR DE SERVICES TIERS avec effet immédiat. Le point 7.3 des CONDITIONS D'UTILISATION s'applique mutatis mutandis.

8.5 Si Yarowa prévoit d'apporter des modifications aux types de DONNÉES PERSONNELLES traitées et des changements de procédure, elle en informera le FOURNISSEUR DE SERVICES TIERS par courrier électronique. Le FOURNISSEUR DE SERVICES TIERS peut s'opposer à la modification envisagée dans un délai de 30 jours, une opposition autorisant le CONTRACTANT à résilier le compte/sous-compte du FOURNISSEUR DE SERVICES TIERS de manière exceptionnelle avec effet immédiat. Le point 7.3 des CONDITIONS D'UTILISATION s'applique mutatis mutandis.

8.6 Le FOURNISSEUR DE SERVICES TIERS est tenu de s'assurer qu'il dispose des autorisations requises par la législation sur la protection des données pour COMMUNIQUER DES DONNÉES DE CLIENTS FINAUX et/ou des DOCUMENTS de tiers.

9 Obligations du responsable du traitement

9.1 Le RESPONSABLE DU TRAITEMENT agit exclusivement dans le cadre des accords conclus et, sous réserve des points 6.3 et 8.4, conformément aux instructions du FOURNISSEUR DE SERVICES TIERS. Une utilisation des DONNÉES DU CLIENT FINAL et des DOCUMENTS à d'autres fins, y compris à des fins propres au RESPONSABLE DU TRAITEMENT, n'est autorisée que dans le cadre du présent contrat.

9.2 Le TRAITEMENT des DONNÉES DES CLIENTS FINAUX et des DOCUMENTS n'est effectué que sur le territoire de la Suisse ou de l'Espace économique européen (EEE). Un TRAITEMENT des DONNÉES DE CLIENTS FINAUX et des DOCUMENTS dans d'autres pays (appelés pays tiers) n'est autorisé qu'après accord préalable du FOURNISSEUR DE SERVICES TIERS et si les conditions légales correspondantes sont remplies.

9.3 Le RESPONSABLE DU TRAITEMENT garantit que les personnes habilitées à TRAITER les

DONNÉES DES CLIENTS FINAUX et les DOCUMENTS se sont engagées à respecter la confidentialité.

9.4 Le RESPONSABLE DU TRAITEMENT s'engage, après accord préalable, à apporter son soutien aux contrôles sur place du FOURNISSEUR DE SERVICES TIERS, à mettre à disposition les documents et informations nécessaires et à fournir, dans un délai raisonnable, toutes les informations requises en cas de contrôles relatifs à la protection des données par les autorités de surveillance.

9.5 Le RESPONSABLE DU TRAITEMENT assiste le FOURNISSEUR DE SERVICES TIERS, compte tenu de la nature du traitement et des informations dont il dispose, dans l'exécution des obligations prévues aux articles 8 et 24 de la LPD et aux articles 32 à 36 du RGPD (sécurité du TRAITEMENT ; notification des infractions à la protection des données à l'autorité de contrôle ; notification aux personnes concernées par les infractions ; analyse d'impact relative à la protection des données). Le RESPONSABLE DU TRAITEMENT s'engage à informer le FOURNISSEUR DE SERVICES TIERS immédiatement, et au plus tard dans les 48 heures à compter de la prise de connaissance, de l'infraction à la protection des DONNÉES DES CLIENTS FINAUX et des DOCUMENTS traités.

9.6 Si une instruction du FOURNISSEUR DE SERVICES TIERS contrevient aux dispositions applicables en matière de protection des données selon le RESPONSABLE DU TRAITEMENT, le FOURNISSEUR DE SERVICES TIERS en est averti par le RESPONSABLE DU TRAITEMENT. Le FOURNISSEUR DE SERVICES TIERS reste toutefois responsable de l'admissibilité juridique des instructions. Le RESPONSABLE DU TRAITEMENT est autorisé à exécuter l'instruction si le FOURNISSEUR DE SERVICES TIERS maintient l'instruction malgré l'avertissement du RESPONSABLE DU TRAITEMENT.

9.7 Le RESPONSABLE DU TRAITEMENT s'engage à informer le FOURNISSEUR DE SERVICES TIERS

des infractions aux dispositions relatives à la protection des données.

9.8 Si les DONNÉES DES CLIENTS FINAUX et les DOCUMENTS détenus par le RESPONSABLE DU TRAITEMENT sont menacées par une saisie ou une confiscation, par une procédure d'insolvabilité ou de concordat ou par d'autres événements ou mesures de tiers, ou si elles DOIVENT ÊTRE COMMUNIQUÉES à des tiers, notamment les autorités, le RESPONSABLE DU TRAITEMENT doit en informer LE FOURNISSEUR DE SERVICES TIERS dans les meilleurs délais. Le RESPONSABLE DU TRAITEMENT informera immédiatement tous les responsables dans ce contexte que la maîtrise des DONNÉES DES CLIENTS FINAUX et des DOCUMENTS est assurée par LE FOURNISSEUR DE SERVICES TIERS.

9.9 Les prestations visées aux points 9.4 et 9.5, qui vont au-delà de la notification des infractions à la protection des données, sont fournies contre indemnisation. Les dépenses engagées par Xxxxxx sont indemnisées par le FOURNISSEUR DE SERVICES TIERS à hauteur de 200 CHF (hors TVA) par heure.

10 Mesures techniques et organisationnelles pour la sécurité des données

10.1 Yarowa est tenue d'observer les principes du TRAITEMENT CORRECT des DONNÉES

PERSONNELLES et de veiller à leur respect.

10.2 Yarowa garantit la mise en place et le maintien des mesures nécessaires et appropriées de protection des données conformément à l'art. 8 de la LPD et à l'art. 32 du RGPD (sécurité des données). Les mesures techniques et organisationnelles obligatoires sont énumérées à l'annexe 1 et font partie intégrante du présent contrat.

10.3 Les mesures techniques et organisationnelles sont soumises au progrès et au développement techniques. Le responsable du traitement se réserve le droit de modifier les mesures de sécurité mises en place, tout en veillant à ce que le niveau de protection convenu contractuellement ne soit pas inférieur. Les modifications importantes doivent être documentées.

11 Droits de la personne concernéee EN ce qui concerne les données du client final et les documents

11.1 Si une PERSONNE CONCERNÉE fait valoir des droits en matière de protection des données en ce qui concerne LES DONNÉES DES CLIENTS FINAUX et LES DOCUMENTS (par ex. le droit d'accès), le RESPONSABLE DU TRAITEMENT assiste le FOURNISSEUR DE SERVICES TIERS dans la satisfaction de ces droits.

11.2 Si une PERSONNE CONCERNÉE s'adresse directement au RESPONSABLE DU TRAITEMENT en ce qui concerne LES DONNÉES DE CLIENTS FINAUX et LES DOCUMENTS pour faire valoir ses droits (notamment les chapitres 4 de la LPD et III du RGPD), il transmettra immédiatement la demande au FOURNISSEUR DE SERVICES TIERS et n'entrera pas en contact avec la PERSONNE CONCERNÉE sans instruction individuelle correspondante du FOURNISSEUR DE SERVICES TIERS.

12 Droits des personnes concernées en ce qui concerne les données propres et les données de connexion

12.1 Sur demande,

- Yarowa fournit des informations aux auxiliaires du FOURNISSEUR DE SERVICES TIERS indiquant si et, le cas échéant, quelles DONNÉES PERSONNELLES sont traitées en ce qui concerne LES DONNÉES PROPRES et LES DONNÉES DE CONNEXION les concernant (art. 25 de la LPD et art. du 15 RGPD).

− Yarowa renonce partiellement ou totalement au traitement de PROPRES DONNÉES et de DONNÉES DE CONNEXION, si celles-ci sont traitées sur la base d'un consentement des auxiliaires du FOURNISSEUR DE SERVICES TIERS ou si les auxiliaires demandent l'effacement des PROPRES DONNÉES et/ou des DONNÉES DE CONNEXION (art. 30 et 32 de la LPD ou art. 17 du RGPD). Xxxxxx communiquera la demande d'oubli au FOURNISSEUR DE SERVICES TIERS et, dans la mesure où la loi l'exige, éventuellement à des tiers auxquels Xxxxxx avait précédemment transmis ces DONNÉES PERSONNELLES.

− Yarowa rectifie les DONNÉES PROPRES et les DONNÉES DE CONNEXION correspondantes (art. 32 de la LPD et art. 16 du RGPD) ;

− Yarowa limite le traitement des DONNÉES PROPRES et des DONNÉES DE CONNEXION

correspondantes (art. 18 RGPD) ;

− L'auxiliaire du FOURNISSEUR DE SERVICES TIERS reçoit les DONNÉES PERSONNELLES CONCERNÉES de Yarowa dans un format structuré, couramment utilisé et lisible par machine (art. 28 de la LPD et art. 20 du RGPD).

12.2 Pour faire une telle demande d'exercice d'un droit décrit dans la présente section, l'auxiliaire du FOURNISSEUR DE SERVICES TIERS peut contacter directement Xxxxxx à l'adresse xxxxxxx@xxxxxx.xxx.

12.3 Lorsque Xxxxxx traite des DONNÉES PERSONNELLES sur la base de l'art. 31, al. 2, lit. A ou b de la LPD ou de l'art. 6, al. 1, lit. e ou f du RGPD, la personne auxiliaire du FOURNISSEUR DE SERVICES TIERS a néanmoins le droit de s'opposer au traitement (art. 30 et art. 32 de la LPD ou art. 21 du RGPD). Il a également le droit de déposer une plainte auprès d'une autorité de contrôle compétente.

12.4 La mise à disposition des DONNÉES PERSONNELLES par les auxiliaires du FOURNISSEUR DE SERVICES TIERS n'est pas prescrite par la loi ni par un contrat ; la non mise à disposition des DONNÉES PERSONNELLES n'a aucune conséquence. 12.5 Les DONNÉES PROPRES et les DONNÉES DE CONNEXION des auxiliaires du FOURNISSEUR DE SERVICES TIERS sont supprimées 3 mois après la résiliation du compte/sous-compte du FOURNISSEUR DE SERVICES TIERS.

13 Sous-traitants et autres fournisseurs de services

13.1 Le RESPONSABLE DU TRAITEMENT peut, en tenant compte de la section 9.2 et conformément aux dispositions de cette section, sous-traiter le traitement de DONNÉES DE CLIENTS FINAUX et de DOCUMENTS en Allemagne et à l'étranger. Une liste des sous-traitants actuellement utilisés peut être consultée au lien suivant:

Liste des sous-traitants

13.2 Le responsable du traitement informe le fournisseur de services tiers avant d'envisager un changement concernant le recours à des sous-traitants ou leur remplacement, en envoyant une liste actualisée des sous-traitants au fournisseur de services tiers par courrier électronique. Le fournisseur de services tiers peut s'opposer à la modification envisagée dans un délai de 30 jours, une opposition autorisant le contractant à résilier le compte/sous-compte du fournisseur de services tiers de manière exceptionnelle avec effet immédiat. La section 7.3 des Conditions d'utilisation s'applique mutatis mutandis. Si le fournisseur de services tiers ne s'y oppose pas ou ne le fait pas dans le délai imparti, il est considéré comme ayant donné son accord.

13.3 Le responsable du traitement choisit soigneusement le sous-traitant et ne fait appel qu'à des tiers qui répondent à un niveau de sécurité adapté à l'exécution de la tâche. Les accords contractuels avec le sous-traitant doivent être conçus de manière à être conformes aux dispositions du présent contrat relatives à la protection des données, compte tenu des types de données personnelles concernés dans chaque cas, notamment en prévoyant des garanties suffisantes que des mesures techniques et organisationnelles appropriées seront prises afin de s'assurer que le traitement est effectué conformément aux dispositions légales.

13.4 La relation de sous-traitance est conclue conformément à l'art. 9 de la LPD et à l'art. 28 du RGPD.

13.5 Nonobstant ce qui précède, les parties conviennent que l'engagement du fournisseur de services tiers par des entrepreneurs et/ou des clients finaux (et donc le traitement des données des clients finaux et des documents par des fournisseurs de services tiers) est effectué par le fournisseur de services tiers lui-même en tant que responsable et non par le responsable du traitement dans le cadre d'une relation de sous-traitance. Le fournisseur de services tiers n'est donc pas un sous- traitant des données des clients finaux et des documents de Xxxxxx. Si le fournisseur de services tiers enfreint les dispositions légales et/ou contractuelles relatives à la protection des données lors du traitement des données et des documents des clients finaux, le fournisseur de services tiers en reste responsable.

14 Transfert des données

14.1 Chaque transfert de donnée devrait être protégé par des mesures techniques et organisationnelles suffisantes.

14.2 Sous réserve d'autres accords, Xxxxxx est autorisée à traiter les données en Suisse, dans l'EEE et dans tout autre pays offrant un niveau de protection adéquat (conformément à la législation en vigueur et aux autorités compétentes, art. 16 de la LPD). Dans d'autres pays, en complément de l'art. 14.1, Xxxxxx n'est autorisée à traiter les données qu'après avoir conclu des garanties contractuelles suffisantes. En particulier, les clauses contractuelles types de la Commission européenne (dans leur version en vigueur), et/ou, le cas échéant, les clauses standard supplémentaires telles que l'addendum britannique (International Data Transfer

Addendum to the EU Commission Standard Contractual Clauses) sont considérées comme des garanties contractuelles suffisantes.

15 Durée et fin du contrat

15.1 La durée du présent contrat correspond à celle des CONDITIONS D'UTILISATION et prend fin en même temps que la résiliation du compte/sous-compte du FOURNISSEUR DE SERVICES TIERS, sans qu'une déclaration de résiliation séparée ne soit nécessaire.

15.2 Au terme du présent contrat, le RESPONSABLE DU TRAITEMENT doit, sans préjudice des sections 6.1, 6. 3 et 7, restituer tous les supports de données et toutes les données (y compris les copies ou les duplicatas réalisés), sur instruction du FOURNISSEUR DE SERVICES TIERS, à ce dernier ou, sur instruction de celui-ci, les effacer ou les détruire de manière sûre, à moins qu'il n'existe une obligation légale pour LE RESPONSABLE DU TRAITEMENT de conserver ces données.

Yarowa AG, Version 2.0

*******

Zoug, 01.09.2023

Yarowa AG

LE FOURNISSEUR DE SERVICES TIERS

Confirmé et souscrit numériquement par le fournisseur de services tiers en onboarding vis-à-

vis de Yarowa AG.

Annexe 1 : Mesures organisationnelles et techniques de sécurité des données

Dans la mesure où Xxxxxx traite des DONNÉES DE CLIENTS FINAUX et des DOCUMENTS, Yarowa

s'engage à mettre en œuvre les mesures techniques et organisationnelles suivantes:

1 Confidentialité

1.1 Contrôle de l'accès aux locaux de Yarowa

o Les locaux de Yarowa sont sécurisés au moyen d'une carte à puce ou d'une clé. Seules les personnes autorisées peuvent légalement pénétrer dans les locaux.

1.2 Contrôle d'accès

o Chaque UTILISATEUR doit définir un mot de passe individuel, dont la complexité est réglementée : nombre de caractères, caractères spéciaux, majuscules et minuscules, lettres et chiffres.

o Les mots de passe sont bloqués après 3 mois et doivent être renouvelés (les nouveaux mots de passe ne doivent pas être identiques aux 12 derniers mots de passe).

o Une authentification à deux facteurs est également activée pour les FOURNISSEURS DE SERVICES TIERS dans le réseau des établissements de santé. Celle-ci peut également être activée pour d'autres comptes.

o Les données sont stockées dans un environnement protégé par un mot de passe et sont en outre cryptées si nécessaire (LES DONNÉES DES CLIENTS FINAUX, en particulier, sont stockées sous forme cryptée).

1.3 Contrôle d'accès

o Les profils d'autorisation des employés de Yarowa sont attribués sur une base

« need to know ». L'attribution des autorisations se fait dans le cadre d'un processus standard. En outre, les autorisations accordées sont périodiquement vérifiées, notamment celles des comptes d'utilisateurs administratifs.

o Dans la mesure où l'accès se fait via la plateforme, les DONNÉES DES CLIENTS FINAUX ET LES DOCUMENTS sont protégés par des restrictions d'accès techniques (cryptage). Y fait exception le cas où l'ENTREPRISE ou le FOURNISSEUR DE SERVICES TIERS utilise la fonctionnalité et s'envoie lui-même des documents par e-mail (fonctionnalité non disponible dans les réseaux Santé, Conseil juridique et Interprétation & Traduction).

o LES UTILISATEURS reçoivent un identifiant unique. Xxxxxx enregistre tous les accès des UTILISATEURS (Audit Trail).

1.4 Schéma de classification pour les données personnelles

o Les champs de données et les documents sur ENAB.LE peuvent être répartis en six classifications de données différentes, qui sont codées différemment.

o La classification permet également de mettre en œuvre le principe du « need to know », en définissant les droits de consultation des profils d'utilisateurs en fonction de la classification des données.

2 Intégrité

2.1 Contrôle de la transmission

o L'accès à ENAB.LE et la transmission des DONNÉES PERSONNELLES entre le client, le pare-feu et au sein du réseau productif d'ENAB.LE sont cryptés (https).

2.2 Contrôle de saisie

o Les activités pertinentes de la base de données sont enregistrées. Cela inclut la saisie, la suppression de DONNÉES PERSONNELLES et la modification de mots de passe.

o ENAB.LE ne permet pas aux UTILISATEURS de modifier indépendamment des données dans le système. Si des données doivent être modifiées, cela doit être effectué par Xxxxxx. Si Xxxxxx modifie les données avec le consentement des ENTREPRISES ou des FOURNISSEURS DE SERVICES TIERS, cette modification sera enregistrée.

3 Disponibilité et efficacité

3.1 Contrôle de la disponibilité

o Les données sont hébergées dans la région Microsoft Azure Suisse Nord (Zurich). La région propose 3 zones de disponibilité différentes. Les données sont stockées de manière redondante et sont régulièrement soumises à des tests de reprise sur sinistre (voir aussi de restaurabilité).

o Des programmes de détection de virus et d'autres logiciels « malveillants » sont installés sur les serveurs. Les fichiers de signatures sont mis à jour régulièrement (au moins quotidiennement).

o Tous les systèmes sont surveillés par des moniteurs de système selon leur niveau de service. Xxxxxx est automatiquement informée de toute anomalie.

o Un test d'intrusion est effectué une fois par année civile.

3.2 Récupérabilité

o Les données sont sauvegardées régulièrement dans le cadre de processus de sauvegarde (sauvegarde quotidienne VM ; sauvegarde de l'ensemble de la base de données au moins toutes les 4 heures).

3.3 Délais de suppression

o Les délais de suppression suivants s'appliquent aux DONNÉES DU CLIENT FINAL et aux DOCUMENTS ainsi qu'aux fichiers de sauvegarde (voir également la section 6 de ce contrat) :

• 12 mois après la conclusion d'un dossier : toutes les DONNÉES DU CLIENT FINAL non PSEUDONYMISÉES et tous les DOCUMENTS sont supprimés.

• 5 ans après la conclusion d'un dossier : les données du client final

PSEUDONYMISÉES sont également supprimées.

• Les fichiers de sauvegarde sont supprimés tous les trois mois.

4 Procédures régulières d'examen, de contrôle et d'évaluation

4.1 Examen, contrôle et évaluation

o Yarowa est certifiée ISO 270001. Yarowa dispose de procédures appropriées pour examiner, contrôler et évaluer régulièrement les processus et directives existants. Ces procédures comprennent également la formation régulière des employés et leur obligation contractuelle de se conformer aux instructions pertinentes.

o Yarowa dispose également d'un processus documenté de gestion de la réponse aux incidents.

4.2 Contrôle des commandes

o Yarowa agit en tant que RESPONSABLE DU TRAITEMENT en ce qui concerne les DONNÉES DU CLIENT FINAL et les DOCUMENTS et traite les données dans le cadre du présent contrat conformément aux instructions du FOURNISSEUR DE SERVICES TIERS.

o LES FOURNISSEURS DE SERVICES TIERS disposent des droits d'inspection spécifiés dans les CONDITIONS D'UTILISATION.

Document Metadata

Table of Contents

Accord de traitement des commandes et politique de protection des données

Document Metadata