Accord de traitement des donnees (ATD) d'EduTime

Tim Ogi (entreprise individuelle), c/o Bildung Bern, Monbijoustrasse 36, 3011 Berne (ci-apres le « Prestataire » ou « Sous-traitant ») fournit au client (ci-apres le « Mandant » ou « Responsable du traitement ») des services SaaS relatifs a un logiciel SaaS.

Le present accord de traitement des donnees et ses annexes (l'« ATD ») sont integres aux conditions generales conclues entre le Prestataire et le Mandant et en font partie. Le present ATD reflete l'accord des parties concernant le traitement des donnees personnelles par le Prestataire en qualite de sous-traitant pour le compte du Mandant.

Les parties ont conclu une ou plusieurs conventions (le « Contrat » ou les « Contrats ») aux termes desquelles le Prestataire intervient en qualite de prestataire de services aupres du Mandant ou de ses clients. La fourniture des services selon le Contrat par le Prestataire peut constituer un traitement de donnees personnelles (ci-apres uniformement « donnees personnelles ») au sens du droit applicable en matiere de protection des donnees. Lorsque le Prestataire traite des donnees personnelles du Mandant ou de ses clients en qualite de sous-traitant ou de sous-traitant ulterieur dans le cadre de la collaboration (toute operation sur des donnees personnelles), le present accord de traitement des donnees (l'« ATD » ou l'« Accord ») complete le Contrat et precise les obligations des parties en matiere de protection des donnees. Le droit applicable en matiere de protection des donnees designe la loi federale suisse sur la protection des donnees et le reglement general sur la protection des donnees (RGPD) de l'UE, dans la mesure ou il est applicable (« droit applicable en matiere de protection des donnees »).

L'objet du mandat ainsi que la nature et la finalite du traitement resultent du Contrat, les dispositions du present ATD completant celles du Contrat. Le present Accord constitue une partie integrante du Contrat. Il entre en vigueur des son incorporation au Contrat, comme indique dans le Contrat, un bon de commande, les conditions generales ou un avenant signe au Contrat.

La duree du present Accord correspond a celle du Contrat (ou, en cas de plusieurs Contrats, du dernier Contrat actif) entre le Mandant et le Prestataire en vertu duquel le Prestataire traite des donnees personnelles pour le Mandant, sauf obligations plus longues prevues au present Accord. L'ATD prend egalement fin automatiquement des que le Prestataire ne detient plus ni ne traite de donnees personnelles pour le Mandant selon le Contrat, ou a la resiliation du (dernier) Contrat actif.

La possibilite de resiliation pour juste motif sans preavis reste reservee. Constituent notamment un juste motif des manquements repetes ou graves d'une partie aux dispositions du Contrat, du present ATD ou du droit applicable. Le droit de resiliation speciale selon la section 8 autorise egalement une resiliation sans preavis. La resiliation sans preavis du present Accord autorise egalement la resiliation sans preavis du Contrat.

Si la nature des donnees personnelles traitees, la nature et la finalite du traitement ainsi que les categories de personnes concernees ne figurent pas deja dans le Contrat respectif, elles sont enumerees a l'annexe 1 du present Accord.

Le Prestataire traite les donnees personnelles exclusivement a des fins determinees conformement au Contrat respectif, au present ATD ou aux instructions documentees du Mandant.

Les instructions sont en principe donnees sous forme textuelle (ecrit, fax, e-mail ou format electronique documente). Les instructions orales doivent etre confirmees sans delai sous forme textuelle ou electronique documentee. Le Mandant documente toutes les instructions sous forme textuelle.

Le Prestataire informe le Mandant sans delai s'il estime qu'une instruction viole le droit applicable. Il peut suspendre l'execution de l'instruction jusqu'a confirmation ou modification par le Mandant.

Les notifications aux autorites ou aux personnes concernees concernant des violations ne peuvent etre effectuees par le Prestataire qu'apres instruction prealable du Mandant. Les obligations imperatives du droit applicable (p.ex. ordres d'autorites competentes) restent reservees; le Mandant en est informe dans les delais, dans la mesure permise par la loi.

Le Prestataire met en oeuvre des mesures techniques et organisationnelles (MTO) appropriees selon l'annexe 2 pour organiser, verifier et adapter en permanence son organisation interne dans son domaine de responsabilite afin de garantir un niveau adequat de protection des donnees conforme au droit applicable et de proteger les donnees personnelles contre la destruction, la perte, la modification ou la divulgation accidentelles ou illegales, etc. Il tient compte de l'etat de la technique, des couts, de la nature, de l'etendue, des circonstances et des finalites du traitement ainsi que des risques pour les droits et libertes des personnes concernees.

Les mesures evoluent avec le progres technique. Des mesures alternatives ou supplementaires peuvent etre mises en oeuvre si le niveau de protection des mesures definies n'est pas diminue.

Le Prestataire s'engage a traiter de maniere confidentielle les donnees personnelles recues en vertu du Contrat ou du present ATD et a n'y donner acces qu'aux personnes qui en ont besoin pour remplir leurs obligations envers le Prestataire. Il veille a ce que les personnes autorisees a traiter les donnees s'engagent a la confidentialite, sauf obligation legale de secret. Les collaborateurs et autres personnes agissant pour le Prestataire ne peuvent pas traiter ces donnees en dehors du Contrat et du present ATD. L'obligation de confidentialite subsiste cinq ans apres la fin du present ATD.

Si une personne concernee s'adresse directement au Prestataire pour rectification, effacement, acces ou autres droits relatifs aux donnees personnelles, le Prestataire la renvoie sans delai au Mandant lorsque l'attribution au Mandant est possible selon les informations fournies.

Le Prestataire assiste le Mandant, compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriees pour repondre aux demandes des personnes concernees exercant leurs droits selon le droit applicable.

Le Prestataire informe le Mandant sans delai si :

• une violation de donnees est constatee ou suspectee par le Prestataire ou un sous-traitant. Les informations requises par le droit applicable (notamment nature, etendue et gravite) doivent etre fournies pour permettre au Mandant de satisfaire a ses obligations de notification;
• des donnees personnelles doivent etre communiquees a une autorite competente;
• une demande, convocation ou requete d'inspection par une autorite competente est recue, sauf si la notification au Mandant est interdite par la loi.

En cas de violation chez le Prestataire ou un sous-traitant, le Prestataire prend a ses frais les mesures raisonnablement attendues pour en determiner la cause et proteger les donnees et attenuer les consequences pour les personnes concernees.

Les obligations d'assistance du Prestataire envers le Mandant selon la presente section sont gratuites. Des prestations supplementaires peuvent faire l'objet d'un accord de remuneration entre les parties.

Sur premiere instruction du Mandant, le Prestataire restitue sans delai toutes les donnees, supports et autres materiels. Il ne conserve les donnees que le temps necessaire a l'execution de ses obligations selon le Contrat, sauf obligation legale de conservation.

A la fin du Contrat, les donnees personnelles recues doivent etre restituees ou supprimees selon le Contrat; a defaut, au choix du Mandant, restitution et suppression des copies, ou suppression, sauf obligation legale de conservation. Jusqu'a la suppression ou la restitution, le Prestataire assure le respect du present ATD.

Aux fins du present Accord, « sous-traitant ulterieur » designe tout prestataire mandate par le Prestataire (ou par un autre sous-traitant du Prestataire) dans le cadre du present ATD pour traiter des donnees personnelles.

Le Prestataire recoit par les presentes une autorisation generale prealable ecrite de recourir a des sous-traitants. S'ils ne figurent pas deja au Contrat, ils sont listes a l'annexe 3. La liste doit etre tenue a jour.

L'ajout ou le remplacement de sous-traitants releve du Prestataire. Le Mandant est informe a l'avance avec un delai raisonnable des modifications prevues. Si le Mandant dispose d'un motif objectivement imperieux selon le droit applicable, il peut s'opposer dans les vingt jours suivant la notification. A defaut d'opposition, le nouveau sous-traitant est repute approuve. En cas de motif imperieux et d'absence de solution amiable, le Mandant dispose d'un droit de resiliation speciale (sans preavis).

Le Prestataire conclut les accords necessaires pour que les sous-traitants soient soumis aux memes obligations que le Prestataire selon le present ATD et le Contrat. Sur demande, il fournit des informations sur le contenu contractuel essentiel et la mise en oeuvre des obligations par le sous-traitant.

Si un sous-traitant ne respecte pas ses obligations, le Prestataire est responsable envers le Mandant des manquements du sous-traitant selon le present ATD.

Chaque partie est responsable de ses obligations de documentation, notamment la tenue du registre des activites de traitement lorsque le droit applicable l'exige. Chaque partie assiste l'autre de maniere appropriee, y compris en fournissant les informations demandees sous une forme raisonnable (p.ex. systeme electronique), afin que l'autre partie puisse satisfaire a ses obligations de registre.

Si le Mandant est tenu selon le droit applicable de realiser une analyse d'impact ou une consultation prealable d'une autorite de controle, le Prestataire met gratuitement a disposition, sur demande, les documents generalement disponibles pour les services du Contrat (p.ex. le present ATD, le Contrat, rapports d'audit ou certifications). Toute assistance supplementaire est convenue entre les parties.

Le Prestataire prouve au Mandant le respect des obligations du present ATD par des moyens appropries (p.ex. certificats).

Le Mandant a le droit de verifier le respect des obligations legales ou contractuelles concernant le traitement des donnees personnelles lui-meme ou par des auditeurs mandates, soumis a une stricte confidentialite et n'etant pas en concurrence directe avec le Prestataire, par inspections ou audits, lorsque :

• le Prestataire ne fournit pas de preuve suffisante (certificats, rapports d'audit) du respect des MTO protegeant les systemes et processus utilises;
• une violation de la protection des donnees personnelles s'est produite;
• un audit est officiellement exige par une autorite de controle du Mandant; ou
• le Mandant dispose d'un droit d'audit direct selon le droit applicable imperatif.

Le Prestataire coopere de maniere appropriee. Les parties conviennent a l'avance du moment, de la duree et de l'objet des audits ainsi que des regles de securite et de confidentialite, sauf si un audit sans preavis est necessaire pour ne pas compromettre son objet. L'audit ne doit pas perturber excessivement les operations du Prestataire. Les audits du Mandant sont en principe limites a trois jours ouvrables par an.

Chaque partie supporte ses propres frais. Pour un effort depassant trois jours ouvrables, le Prestataire peut exiger une remuneration pour l'assistance a un audit mandate par le Mandant.

En cas de manquements materiels constates apres presentation de preuves ou dans le cadre d'un audit, le Prestataire met en oeuvre sans delai et gratuitement des mesures correctives appropriees.

Le traitement a lieu exclusivement en Suisse, dans un Etat membre de l'UE, dans un autre Etat contractant de l'EEE ou dans un pays disposant d'un niveau de protection adequat selon une decision de la Commission europeenne ou du PFPDT. Le traitement en dehors de cette zone n'est permis qu'apres information du Mandant et conformement au droit applicable. En cas de communication vers un Etat sans protection adequate, le Prestataire s'engage notamment a conclure des accords complementaires bases sur les clauses contractuelles types actuelles de l'UE (adaptees a la Suisse si necessaire) et a prendre des mesures juridiques, techniques ou organisationnelles supplementaires.

Le Prestataire peut transferer des donnees personnelles aux Etats-Unis pour l'execution du Contrat. Lorsque des donnees soumises au droit suisse ou europeen sont traitees aux Etats-Unis, elles le sont selon le Swiss-U.S. Data Privacy Framework et l'EU-U.S. Data Privacy Framework (ensemble le « cadre de confidentialite »).

Le Prestataire est responsable des fautes de ses sous-traitants comme de ses propres actes. L'etendue de la responsabilite des parties selon le present ATD est regie par les dispositions et limitations de responsabilite du Contrat ou, en cas de plusieurs Contrats, du Contrat concerne. Les autres recours legaux restent reserves.

Contenu de l accord. Le present ATD et ses annexes regissent exclusivement les relations des parties concernant le traitement des donnees personnelles et remplacent les negociations et correspondances anterieures. En cas de contradiction entre le Contrat et le present ATD, le present ATD prevaut lorsque le traitement des donnees par le Prestataire dans le cadre du Contrat concerne est en jeu. En cas de contradiction, une annexe prevaut; en cas de plusieurs annexes contradictoires, les dispositions des annexes les plus recentes prevaut sur les conditions plus anciennes.

Les termes de protection des donnees tels que « donnees personnelles », « traiter », « responsable du traitement », « sous-traitant », « analyse d impact », etc. ont le sens qui leur est attribue par la loi suisse ou, selon le contexte, le RGPD. « Traiter » est utilise comme synonyme de « traiter » au sens suisse. « Violation de donnees » designe une « violation de la securite des donnees a caractere personnel ».

Modifications.Le Prestataire se reserve le droit de modifier ou completer l'ATD. En cas de modifications pouvant nuire au Mandant, le Prestataire l'informe par ecrit, e-mail ou portail client. Le nouvel ATD devient partie du Contrat sauf opposition du Mandant dans les 14 jours suivant la prise de connaissance.

Notifications. Sauf disposition contraire, les notifications pour exercer droits et obligations doivent etre faites par ecrit, courrier ou e-mail aux adresses indiquees au Contrat.

Divisibilite.Si une disposition est nulle ou inapplicable, la validite du reste n'est pas affectee. Les parties adapteront l'Accord pour atteindre autant que possible l'objet de la disposition invalide.

Reglement des differends.Les parties s'engagent a rechercher de bonne foi un reglement amiable en cas de desaccord.

Droit applicable et for.En l'absence d'accord amiable, le litige est regi selon les dispositions du Contrat respectif (droit applicable et for).

Les annexes suivantes font partie integrante de l'Accord :

• Annexe 1 : Dispositions d'execution
• Annexe 2 : Mesures techniques et organisationnelles
• Annexe 3 : Liste des sous-traitants

Version 1.0 du 3 mars 2025

Liste des parties

Exportateur de donnees
Nom : Le Mandant selon le Contrat
Adresse : L'adresse du Mandant selon le Contrat
Nom, fonction et coordonnees du contact : Coordonnees du Mandant selon le Contrat et/ou le profil client
Activites pertinentes : Traitement de donnees personnelles lie a l'utilisation du service SaaS par le Mandant selon les conditions contractuelles
Role : Responsable du traitement (en qualite de responsable, sous-traitant ou pour le compte d'un autre responsable)

Importateur de donnees
Nom : Le Prestataire selon le Contrat
Adresse : L'adresse du Prestataire selon le Contrat
Coordonnees du contact : Selon le Contrat ou la politique de confidentialite du Prestataire
Activites pertinentes : Traitement de donnees personnelles lie a l'utilisation du service SaaS
Role : Sous-traitant

Description du transfert

Categories de personnes concernees
Lors de l'utilisation du service SaaS, le Mandant peut transferer des donnees personnelles dont il determine l'etendue. Les donnees peuvent concerner notamment : contacts du Mandant et autres utilisateurs finaux, employes, contractants, personnel et clients du Mandant.

Categories de donnees personnelles transferees
Le Mandant peut transferer des coordonnees (selon le Contrat) et toute autre donnee personnelle transmise via le service SaaS (notamment donnees de suivi du temps).

Transfert de categories particulieres de donnees
En principe, aucune categorie particuliere n'est transferee. Si le Mandant le souhaite neanmoins, un accord separe doit etre conclu avec restrictions et mesures de protection convenues.

Frequence du transfert
En continu

Nature du traitement
Stockage et autres traitements necessaires a la fourniture, maintenance et amelioration du service SaaS; et/ou divulgation selon le Contrat (y compris le present ATD) et/ou la loi applicable.

Finalite du transfert et traitements ulterieurs
Le Prestataire traite les donnees dans la mesure necessaire a la fourniture du service SaaS selon le Contrat et les instructions du Mandant.

Duree de conservation
Sous reserve de la section 7.4 de l'ATD, le Prestataire traite les donnees pendant la duree de l'Accord sauf accord ecrit contraire.

Version 1.0 du 3 mars 2025

Description des mesures techniques et organisationnelles du Prestataire en lien avec le traitement des donnees personnelles et l'execution de ses obligations, art. 8 LPD en lien avec art. 2 ss. OPDo et, le cas echeant, art. 32 RGPD :

Confidentialite— Mesures incluant controle d'acces, d'utilisation et d'utilisateurs.

Controle d'acces (physique) — Les installations de traitement ne sont pas accessibles aux personnes non autorisees. Presence enregistree dans les zones securisees. Personnes non autorisees accompagnees.

Controle utilisateur (acces numerique) — Les systemes ne peuvent etre utilises par des personnes non autorisees.

Controle d'utilisation— Chiffrement et autres mesures garantissent l'acces autorise uniquement aux donnees pertinentes.

Controle de separation — Donnees collectees a des fins differentes traitees separement.

Pseudonymisation — Fichiers de correspondance stockes separement, chiffres, acces limite. Anonymisation/pseudonymisation lorsque possible.

Disponibilite et integrite— Mesures de disponibilite et d'integrite contre interruptions et traitements illegaux.

Controle du transport — Protection lors des transmissions electroniques et sur supports.

Reprise — Restauration rapide apres incident physique ou technique.

Controle de disponibilite — Protection contre destruction ou perte accidentelle.

Securite des systemes — Mises a jour regulieres et correction rapide des vulnerabilites.

Tracabilite — Traitement tracable, acces non autorises identifiables.

Controle des saisies — Journalisation via fichiers logs automatiques.

Detection et remediation des violations — Detection rapide et mesures correctives.

Mesures de protection des donnees— Politiques accessibles, formations, AIPD au besoin, processus pour demandes d'acces.

Gestion des incidents — Incidents journalises et signales; information immediate des superieurs.

Privacy by design / by default — Collecte limite aux donnees necessaires.

Controle des sous-traitants — Pas de traitement sans instruction; selection et suivi rigoureux.

Adaptations — Modifications possibles sans diminuer le niveau de protection convenu.

Version 1.0 du 3 mars 2025

Pour l'execution du ou des Contrat(s), le Prestataire peut, selon la section 8 de l'ATD, recourir aux sous-traitants designes ci-dessous pour les prestations indiquees :