Logo Netstream blanc

Contrat de traitement des commandes

Contrat de traitement des commandes (CAT)

1er objet

  • Le présent contrat régit les droits et obligations du donneur d'ordre et du preneur d'ordre Netstream (ci-après dénommés collectivement les "parties") en ce qui concerne le traitement des commandes ou le traitement des commandes (ci-après dénommé uniformément le "traitement des commandes") de données personnelles ou de données à caractère personnel (ci-après dénommé uniformément les "données personnelles").
  •  
  • Le présent contrat s'applique à toutes les activités dans le cadre desquelles le mandataire traiteou fait traiter, en tout ou en partie, des données personnelles pour le compte du mandant (ci-après dénommé uniformément "traitement").
  •  
  • Le contractant est soumis au droit suisse de la protection des données, notamment conformément à la loi fédérale sur la protection des données (LPD) en vigueur. Par décision du 26 juillet 2000, la Commission européenne a constaté que le droit suisse de la protection des données assure un niveau de protection adéquat des données personnelles. Cette constatation vaut décision d'adéquation au sens de l'art. 45, al. 1 du règlement européen (UE) 2016/679 (règlement général sur la protection des données, RGPD).
  •  
  • Par ce contrat, la prestataire permet le respect des exigences légales applicables en matière de protection des données pour le traitement des commandes, notamment conformément à l'art. 10a LPD ou à l'art. 9 de la nouvelle loi fédérale suisse sur la protection des données (nLPD, pas encore en vigueur) et à l'art. 28 RGPD.
  •  
  • Ce contrat s'inspire de la décision d'exécution de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types entre responsables du traitement et sous-traitants.
  •  

2) la nature, l'objet et la finalité du traitement effectué en sous-traitance

  • Le traitement des commandes s'effectue conformément aux accords contractuels existants ou à conclure entre les parties. Les dispositions du présent contrat prévalent en cas de contradiction entre les dispositions du présent contrat et d'autres accords contractuels entre les parties.
  •  
  • Le traitement des données à caractère personnel comprend toute manipulation de données personnelles, quels que soient les moyens et les procédures utilisés, notamment l'archivage, la conservation, la communication, la collecte, l'effacement, le stockage, la modification, la destruction et l'utilisation de données personnelles. Les données personnelles sont toutes les informations qui se rapportent à une personne identifiée ou identifiable.
  • Pour le traitement des données à la demande, les catégories de données personnelles qui sont traitées et les catégories de personnes concernées dont les données personnelles sont traitées résultent des accords contractuels conformément au n. 6.
  •  
  • Le traitement sur commande de données personnelles sensibles ou de catégories particulières de données personnelles est exclu. Sont considérées comme données personnelles sensibles les données relatives aux opinions ou activités syndicales, politiques, religieuses ou philosophiques, les données relatives à la santé, à la sphère intime, à la vie sexuelle, à l'orientation sexuelle ou à l'appartenance à une ethnie ou une race, les données relatives aux mesures d'aide sociale, les données relatives aux poursuites ou sanctions administratives ou pénales, les données biométriques identifiant de manière unique une personne physique et les données génétiques.
  •  

3. obligations des parties

3.1 Durée

  • Le sous-traitant traite les données personnelles pour une durée indéterminée jusqu'à la résiliation du présent contrat ou du dernier accord contractuel entre les parties concernant le traitement des commandes.

3.2 Instructions

  • Le preneur d'ordre traite les données personnelles exclusivement comme convenu par contrat ou conformément aux instructions documentées du donneur d'ordre, à moins que le preneur d'ordre ne soit obligé par la loi ou la réglementation de procéder à un traitement déterminé. Dans un tel cas, le preneur d'ordre informe le donneur d'ordre de cette obligation légale ou réglementaire, à moins qu'une telle information ne soit interdite pour des raisons légales.
  • Le client peut donner d'autres instructions documentées pendant toute la durée du traitement des données à caractère personnel.
  • Le mandataire informe immédiatement le mandant s'il estime que les accords contractuels ou les instructions données enfreignent les exigences applicables en matière de protection des données, notamment conformément à la LPD ou à la nLPD et au RGPD.

3.3 Affectation à un but précis

  • Le mandataire traite les données personnelles exclusivement aux fins ou aux fins prévues par les accords contractuels entre les parties (Cm 6), dans la mesure où le mandataire ne reçoit pas d'autres instructions documentées du mandant.

4. sécurité

  • La Prestataire prend au moins les mesures techniques et organisationnelles (TOM) publiées sur https://netstream.ch/tom/ afin de garantir la sécurité des données personnelles traitées. Ces mesures comprennent notamment la protection des données personnelles traitées contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la divulgation non autorisée de données personnelles ou l'accès non autorisé à des données personnelles, ou encore la modification, la perte ou la destruction de données personnelles (ci-après dénommées collectivement "violations de la sécurité des données").
  • La Prestataire n'accorde à son personnel l'accès aux données personnelles que dans la mesure où cela est strictement nécessaire à l'exécution, au contrôle et à la gestion du présent contrat. Le preneur d'ordre garantit que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de garder le secret.

5. documentation et possibilités de contrôle

  • Les parties doivent être en mesure de prouver le respect du présent contrat.
  • La Prestataire traite de manière appropriée et rapide les demandes du Client concernant le traitement des commandes conformément au présent contrat.
  •  
  • Le preneur d'ordre met à la disposition du donneur d'ordre toutes les informations nécessaires pour prouver le respect des exigences définies dans le présent contrat et découlant directement des dispositions applicables en matière de protection des données.
  •  
  • Le Prestataire permet au Client, sur demande, de vérifier le traitement des commandes conformément au présent contrat à des intervalles appropriés ou en cas d'indices documentés de non-respect et contribue à une telle vérification.
  • Le mandant peut procéder lui-même à un audit ou le faire réaliser par un auditeur indépendant. De tels audits sont limités à un jour par année civile. Un audit peut également comprendre des inspections dans les installations physiques ou les locaux de l'adjudicataire, à condition que de telles inspections soient nécessaires, qu'elles aient lieu pendant les heures de bureau habituelles sans perturber le fonctionnement de l'entreprise et que la notification soit effectuée en tenant compte d'un délai de préavis raisonnable. Par ailleurs, de telles inspections ne sont autorisées que si et dans la mesure où le contrôle ne peut pas être effectué au moyen de preuves appropriées telles que des certificats ou des certifications, en particulier pour les centres de données.
  • L'adjudicateur supporte les frais de l'adjudicataire pour les contrôles conformément au no 2021.
  •  
  • Les Parties mettent à la disposition d'une ou de plusieurs autorités de surveillance compétentes, sur demande, les informations visées au présent point 5, y compris les résultats d'audits, à moins que cette mise à disposition ne soit interdite pour des raisons légales.
  •  

6. traitement en sous-traitance

  • L'adjudicateur donne à l'adjudicataire l'autorisation générale de faire appel à des sous-traitants figurant sur la liste publiée sur le site https://netstream.ch/unterauftragsverarbeitung/. L'adjudicataire est responsable de l'exécution des tâches qui lui sont confiées.
  • La preneuse d'ordre informe le donneur d'ordre au moins 14 jours à l'avance, par voie électronique ou par écrit, de toute modification envisagée de cette liste par le remplacement ou l'ajout de sous-traitants. La preneuse d'ordre accorde ainsi au donneur d'ordre un délai suffisant pour qu'il puisse formuler d'éventuelles objections aux modifications envisagées avant de passer commande. La preneuse d'ordre met à la disposition de la mandante les informations nécessaires pour qu'elle puisse exercer son droit d'opposition.
  •  
  • En l'absence d'opposition dans le délai imparti, les modifications envisagées sont considérées comme approuvées. Si, en cas d'opposition, il n'est pas possible de trouver un accord entre les parties sur les modifications envisagées et si le client n'est pas disposé à renoncer à son opposition, les parties sont autorisées à résilier le présent contrat de manière extraordinaire à la date des modifications envisagées.
  •  
  • La Prestataire doit imposer contractuellement aux Sous-traitants chargés de l'exécution du Traitement des données les mêmes obligations que celles qui s'appliquent à la Prestataire en vertu du présent Contrat. La Prestataire veille à ce que chaque sous-traitant ultérieur remplisse les obligations auxquelles la Prestataire est soumise en vertu du présent contrat et des exigences applicables en matière de protection des données.
  • La preneuse d'ordre est responsable vis-à-vis du donneur d'ordre du respect par un sous-traitant de ses obligations conformément à l'accord de sous-traitance conclu avec la preneuse d'ordre. La preneuse d'ordre informe la mandante lorsqu'un sous-traitant ne remplit pas ses obligations contractuelles.
  •  

7. exportation de données personnelles

  • Toute exportation de données personnelles vers un pays autre que la Suisse et les États membres de l'Espace économique européen (EEE) ou vers une organisation internationale se fait exclusivement comme convenu par contrat ou conformément aux instructions documentées de la mandante, à moins que la mandataire ne soit légalement tenue d'exporter certaines données. Dans un tel cas, le preneur d'ordre informe le donneur d'ordre de cette obligation légale, à moins qu'une telle information ne soit interdite pour des raisons légales.
  •  
  • Toute exportation de données personnelles vers un pays autre que la Suisse et les États membres de l'EEE a lieu en principe exclusivement si le droit de la protection des données dans le pays concerné garantit un niveau de protection adéquat des données personnelles du point de vue suisse et européen, tant selon le Préposé fédéral à la protection des données et à la transparence (PFPDT) ou le Conseil fédéral suisse que selon la Commission européenne.
  •  
  • L'exportation de données personnelles dans un pays autre que la Suisse et les États membres de l'EEE, dont le droit de la protection des données ne garantit pas un niveau de protection adéquat des données personnelles, peut avoir lieu à titre exceptionnel si, pour d'autres raisons, un niveau de protection adéquat est garanti conformément aux exigences applicables en matière de protection des données, notamment en vertu d'accords intergouvernementaux ou sur la base de clauses contractuelles standard en vigueur, édictées par la Commission européenne. Le mandataire est autorisé à adapter et à compléter de telles clauses contractuelles standard européennes conformément aux recommandations du PFPDT, de manière à ce que les clauses contractuelles standard correspondent également aux exigences applicables en Suisse en matière de protection des données et soient ainsi aptes à garantir un niveau de protection des données adéquat lors de l'exportation de données depuis la Suisse.
  •  

8. soutien au mandant

  • Le sous-traitant informe immédiatement le client de toute demande qu'il a reçue d'une personne concernée et qui concerne le traitement de la commande. Le sous-traitant est en droit d'accuser réception à la personne concernée, mais ne répond pas lui-même à la demande, sauf s'il y a été autorisé par le client.
  • Le sous-traitant, compte tenu de la nature du traitement de la commande, aide le commanditaire à remplir son obligation de répondre aux demandes d'exercice des droits des personnes concernées. Dans le cadre de cette assistance, le sous-traitant se conforme aux instructions du client.
  •  
  • Outre l'assistance prévue au no 3233, le sous-traitant continue d'aider le client à respecter les obligations suivantes, en tenant compte de la nature du traitement de la commande et des informations dont il dispose :
  1. la tenue d'un éventuel registre des activités de traitement ;
  2. Réalisation d'une analyse d'impact relative à la protection des données lorsqu'un traitement de données personnelles prévu par le mandant est susceptible d'engendrer un risque élevé pour les droits fondamentaux ou la personnalité des personnes concernées ;
  3. Consultation de l'autorité ou des autorités de contrôle compétentes avant le traitement de données personnelles si une analyse d'impact relative à la protection des données révèle que, malgré les mesures prévues, le traitement envisagé comporte un risque élevé pour les droits fondamentaux ou la personnalité des personnes concernées ;
  4. garantir que les données personnelles traitées sont exactes et à jour, en informant immédiatement le mandant si le mandataire constate que les données personnelles qu'il traite sont inexactes ou obsolètes ;
  5. garantie d'une sécurité des données adaptée au risque, notamment par des mesures techniques et organisationnelles (TOM) appropriées conformément au chiffre 4
  • Le mandant prend en charge les frais de l'adjudicataire pour l'assistance conformément au no 32, no 33 et no 341-3.

9. notification des violations de la sécurité des données

  • En cas de violation de la sécurité des données, le Prestataire coopère avec le Client et l'assiste de manière appropriée afin de permettre au Client de remplir ses obligations de notification des violations de la sécurité des données aux autorités de contrôle compétentes ou de notification aux personnes concernées par les violations de la sécurité des données, en tenant compte de la nature du traitement de la commande et des informations dont il dispose.

9.1 Violation de la sécurité des données personnelles traitées par le mandant

  • En cas de violation de la sécurité des données en rapport avec les données personnelles traitées par le mandant, le mandataire assiste le mandant de la manière suivante :
  1. en notifiant immédiatement la violation de la sécurité des données à l'autorité ou aux autorités de contrôle compétentes après que le donneur d'ordre a pris connaissance de la violation, si cela est pertinent (à moins que la violation de la sécurité des données ne soit pas susceptible d'entraîner un risque élevé pour les droits fondamentaux ou la personnalité des personnes concernées), ainsi que - dès qu'elles sont disponibles - en demandant les informations qui doivent figurer dans la notification conformément aux exigences applicables en matière de protection des données.
  2. lors de la notification des personnes concernées par des violations de la sécurité des données conformément aux exigences applicables en matière de protection des données, si cela est nécessaire pour protéger les personnes concernées ou si cela est exigé par une autorité de surveillance compétente.
  • Le mandant supporte les frais de la mandataire pour l'assistance conformément au présent chiffre 1.

9.2 Violation de la sécurité des données personnelles traitées par la Prestataire

  • En cas de violation de la sécurité des données en rapport avec les données personnelles qu'elle traite, la preneuse d'ordre informe le donneur d'ordre immédiatement après avoir pris connaissance de la violation.
  • Dans le cadre de cette information, la preneuse d'ordre fournit à la mandante - dès qu'elles sont disponibles - les données dont la mandante a besoin conformément aux exigences légales applicables en matière de protection des données, notamment
  1. description de la nature de la violation (en précisant si possible les catégories et le nombre approximatif de personnes concernées et le nombre approximatif d'ensembles de données concernés)
  2. les coordonnées d'un point de contact auprès duquel des informations supplémentaires peuvent être obtenues sur les violations de la sécurité des données ;
  3. les conséquences prévisibles de la violation de la sécurité des données ainsi que les mesures prises ou proposées pour remédier à la violation de la sécurité des données, y compris les mesures visant à atténuer les éventuelles conséquences négatives de la violation de la sécurité des données.
  • La preneuse d'ordre supporte les coûts de l'assistance conformément au présent chiffre 2.
  •  

10) Suspension du traitement des données à caractère personnel

  • Si le sous-traitant ne respecte pas ses obligations en vertu du présent contrat, le client peut ordonner au sous-traitant de suspendre le traitement des données personnelles jusqu'à ce que le sous-traitant respecte le présent contrat ou jusqu'à la fin du présent contrat. Le sous-traitant informera immédiatement le client si, pour quelque raison que ce soit, il n'est pas en mesure de respecter le présent contrat.

11. responsabilité

  • Le régime de responsabilité est déterminé par un éventuel régime de responsabilité selon les accords contractuels entre les parties (n. 6).

12. résiliation

  • Le mandant est en droit de résilier le présent contrat de manière extraordinaire et sans préavis si :
  1. le donneur d'ordre a suspendu le traitement des commandes conformément au point 10 et le respect du présent contrat n'a pas été rétabli dans un délai raisonnable, et en tout cas dans un délai d'un mois à compter de la suspension ;
  2. la Prestataire enfreint le présent contrat de manière importante ou persistante ou ne respecte pas les exigences applicables en matière de protection des données ;
  3. la Prestataire ne se conforme pas à la décision contraignante d'une autorité de contrôle ou d'un tribunal compétent ayant pour objet les obligations de la Prestataire conformément aux exigences applicables en matière de protection des données.
  • La Prestataire est en droit de résilier le présent contrat de manière extraordinaire et sans préavis si le Client insiste sur l'exécution d'un accord contractuel ou d'instructions après avoir été informé par la Prestataire, conformément au point 13, que l'accord contractuel ou les instructions enfreignent les exigences applicables en matière de protection des données.
  • Les parties sont autorisées à résilier le présent contrat avec un préavis de trois mois pour la fin d'un mois, dans la mesure où les accords contractuels entre les parties ne prévoient pas de délai de résiliation ou un délai différent.
  •  
  • Après la résiliation du présent contrat, le preneur d'ordre efface, au choix du donneur d'ordre, toutes les données personnelles traitées pour le compte du donneur d'ordre et certifie au donneur d'ordre que l'effacement a eu lieu, ou le preneur d'ordre restitue au donneur d'ordre toutes les données personnelles et efface les copies existantes, à moins que le preneur d'ordre ne soit légalement ou réglementairement autorisé ou obligé de conserver les données personnelles. Si le client ne communique pas son choix au preneur d'ordre dans un délai de quatre semaines à compter de la fin du présent contrat, le preneur d'ordre efface les données personnelles. Jusqu'à l'effacement ou la restitution des données personnelles, la mandataire garantit le respect du présent contrat.
  •  

13. dispositions finales

  • Le présent contrat fait partie intégrante des conditions générales de Netstream. 
  •  
  • Les parties s'informent mutuellement d'un éventuel conseiller en matière de protection des données ou d'un éventuel responsable de la protection des données conformément aux exigences applicables en matière de protection des données.
  •  
  • Les parties s'engagent à traiter de manière confidentielle et durable toutes les connaissances acquises dans le cadre du présent contrat concernant les secrets commerciaux de l'autre partie ainsi que les données personnelles, même après la fin du présent contrat, à moins que l'une des parties ne soit légalement tenue à une certaine divulgation. Dans ce cas, la partie qui s'engage informe l'autre partie de cette obligation légale, à moins que cette information ne soit interdite par la loi. Si l'une des parties doute qu'une information soit soumise à cette obligation de confidentialité, l'information doit être traitée de manière confidentielle jusqu'à ce que l'autre partie l'autorise expressément.
  •  
  • Si certaines dispositions du présent contrat sont inexécutables, invalides ou inefficaces, cela n'affecte pas l'exécutabilité, la validité ou l'efficacité des autres dispositions et les parties remplacent la disposition individuelle par une disposition exécutable, valide ou efficace qui se rapproche le plus possible du résultat visé par la disposition individuelle en matière de protection des données.
  • Le présent contrat est exclusivement régi par le droit suisse. Le droit des conflits de lois et la Convention des Nations Unies sur les contrats de vente internationale de marchandises sont exclus. Le lieu de juridiction exclusif est le siège de la preneuse d'ordre.

Liens complémentaires :

Linkedin Instagram Twitter Facebook Xing
Logo Netstream blanc
  • 4, rue Richti
  • 8304 Wallisellen
Contacter maintenant
Chatter via Whatsapp

Bereiche

Rond et vos services

Liens

25 ans
Badge ISO
cloud verified
Zéro carbone
Acronis
swiss hosting
heyData trusted logo
Logo Netstream blanc
Geschäftskunden
Partenaire
Entreprise
Envoyer un message
Chatter via Whatsapp

Haben Sie Fragen zu unseren Dienstleistungen oder benötigen Informationen? Kontaktieren Sie uns gerne via Formular oder direkt an hello(at)netstream.ch

Nutzen Sie alternativ auch unseren LiveChat unten rechts oder rufen Sie uns an unter 058 058 40 00.

Logo Netstream blanc
Entreprise