Accord sur le traitement des données (ATD)

Information: En cas d’inexactitudes et/ou de divergences entre les différentes versions linguistiques la version allemande prévaut. La traduction française n’est donnée qu’à titre d’information et n’a aucune valeur juridique. 
  1. Préambule et champ d’application 
Fairgate AG (« Fairgate » ou « preneur d’ordre ») et le client (« donneur d’ordre ») ont conclu un ou plusieurs accords (« contrat » ou « contrats », liste selon la page de réservation des modules Fairgate), dans lesquels le preneur d’ordre intervient en tant que fournisseur de prestations vis-à-vis du donneur d’ordre ou de ses clients et permet l’utilisation de logiciels (modules de base ou supplémentaires) pour l’administration de fédérations et d’associations via son propre serveur ou son propre espace serveur. Le preneur d’ordre et le donneur d’ordre sont appelés individuellement « partie » et collectivement « parties ».  La fourniture des services selon le contrat par le preneur d’ordre peut être qualifiée de traitement de données à caractère personnel au sens de la législation applicable en matière de protection des données. Dans la mesure où, dans le cadre de la collaboration, le preneur d’ordre traite en tant que sous-traitant ou sous-traitant secondaire des données personnelles du donneur d’ordre ou de ses clients (« données personnelles ») (toute manipulation de données personnelles), le présent Accord sur le traitement des données ( « ATD » ou « accord ») complète le contrat et concrétise les obligations des parties en matière de protection des données. Le droit applicable en matière de protection des données est la loi suisse sur la protection des données ainsi que le règlement général européen sur la protection des données (RGPD), si et dans la mesure où ce dernier est applicable (« droit applicable en matière de protection des données »). 
  1. Objet, durée, nature et but de la convention 
L’objet du mandat ainsi que la nature et la finalité du traitement sont définis dans le contrat auquel il est fait référence à l’annexe 1  Le prestataire met ce ATD à disposition sur la page de réservation du module pour la conclusion en rapport avec les services qui y sont mentionnés. Si le client accepte le ATD en activant le champ de confirmation prévu à cet effet, le ATD devient un élément contraignant des accords contractuels pour les parties contractantes.  Le présent ATD entre en vigueur dès sa signature mutuelle. Sa durée de validité est fonction de la durée du contrat (ou, en cas de plusieurs contrats, du dernier contrat actif) entre le mandant et le mandataire, en vertu duquel le mandataire traite des données personnelles pour le compte du mandant, pour autant que les dispositions du présent accord n’entraînent pas d’obligations allant au-delà. En outre, le ATD prend automatiquement fin dès que le preneur d’ordre ne possède et ne traite plus de données personnelles pour le donneur d’ordre conformément au contrat ou à la fin du (dernier) contrat actif.  La possibilité de résiliation sans préavis pour motif grave n’est pas affectée. Sont notamment considérés comme motifs graves les manquements répétés ou graves d’une partie aux dispositions du contrat, des présentes ATD ou à la législation applicable en matière de protection des données. Le droit de résiliation spécial selon le chiffre 10 donne droit à une résiliation sans préavis. Une résiliation sans préavis de la présente convention autorise également la résiliation sans préavis du contrat.  Dans la mesure où le type de données personnelles traitées, la nature et la finalité du traitement des données ainsi que les catégories de personnes concernées par le traitement ne ressortent pas déjà du contrat concerné, elles sont mentionnées dans une ou plusieurs annexes au présent accord.  
  1. Champ d’application et droit de donner des instructions 
Le preneur d’ordre traite les données personnelles exclusivement dans un but précis, conformément au contrat concerné, aux présentes ATD ou aux instructions documentées du donneur d’ordre.  En règle générale, les instructions doivent être données sous forme de texte (c’est-à-dire par écrit, par fax, par e-mail ou dans un format électronique documenté). Les instructions orales doivent être confirmées immédiatement par écrit ou dans un format électronique documenté. Le client documente toutes les instructions sous forme de texte.  Le preneur d’ordre est tenu d’informer immédiatement le donneur d’ordre s’il estime qu’une instruction enfreint la législation applicable en matière de protection des données. Le preneur d’ordre est en droit de suspendre l’exécution de la directive en question jusqu’à ce qu’elle soit confirmée ou modifiée par le donneur d’ordre.  Le contractant ne peut procéder lui-même à des notifications aux autorités ou aux personnes concernées concernant des violations ou des infractions à la protection des données qu’après avoir reçu des instructions préalables du client.  Les obligations divergentes découlant du droit applicable (par exemple les dispositions contraignantes des autorités compétentes) demeurent réservées et le client doit en être informé rapidement, dans la mesure où la loi le permet. 
  1. Sécurité des données 
Le contractant prend les mesures techniques et organisationnelles (TOM) appropriées pour concevoir, vérifier et adapter en permanence l’organisation interne dans son domaine de responsabilité, afin de pouvoir garantir en permanence un niveau de protection des données adéquat conformément au droit applicable en matière de protection des données, y compris – si applicable – l’article 32 du RGPD, pour protéger les données personnelles contre la destruction, la perte, l’altération, la divulgation, etc. accidentelles ou illicites. Le sous-traitant tient compte de l’état de la technique, des coûts de mise en œuvre ainsi que de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que des différentes probabilités de survenance et de la gravité du risque pour les droits et libertés des personnes concernées.  Les mesures sont soumises au progrès technique et à l’évolution. Des mesures alternatives ou supplémentaires peuvent être mises en œuvre si le niveau de protection des mesures définies n’est pas inférieur. 
  1. Confidentialité 
Le preneur d’ordre s’engage à traiter de manière confidentielle les données personnelles obtenues dans le cadre du contrat ou du présent ATD et à ne les rendre accessibles qu’aux personnes qui ont besoin d’accéder aux données personnelles pour remplir leurs obligations envers le preneur d’ordre. Le preneur d’ordre s’assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité/le secret, dans la mesure où elles ne sont pas soumises à une obligation légale de garder le secret. Il est interdit aux collaborateurs chargés du traitement des données personnelles pertinentes et aux autres personnes travaillant pour le preneur d’ordre de traiter les données personnelles pertinentes en dehors du contrat et des présentes ATD. L’obligation de confidentialité/de secret professionnel subsiste également après la fin des présentes ATD pour une durée de cinq ans. 
  1. Droits des personnes concernées 
Si une personne concernée s’adresse directement au preneur d’ordre pour demander la rectification, l’effacement, l’information ou d’autres droits concernant des données personnelles, le preneur d’ordre renverra sans délai la personne concernée au donneur d’ordre, dans la mesure où une attribution au donneur d’ordre est possible selon les indications de la personne concernée.   Compte tenu de la nature du traitement, le prestataire aide le client, par des mesures techniques et organisationnelles appropriées, à remplir son obligation de répondre aux demandes des personnes concernées concernant leurs droits conformément au droit applicable en matière de protection des données.  Les obligations d’assistance du preneur d’ordre envers le donneur d’ordre selon ce chiffre 7 sont effectuées gratuitement. Les parties peuvent convenir d’une rémunération pour les prestations d’assistance plus étendues. 
  1. Violation de la protection des données  
Le preneur d’ordre informe immédiatement le donneur d’ordre si :   (i) une violation de la protection des données est constatée ou présumée par le contractant ou un sous-traitant. Dans ce cas, les informations requises par la législation applicable en matière de protection des données (notamment la nature, l’étendue et la portée de la violation) doivent être fournies afin de permettre au client de satisfaire à une éventuelle obligation de notification à l’autorité compétente en matière de protection des données et/ou aux personnes concernées conformément à la législation applicable en matière de protection des données ;   (ii) les données personnelles doivent être transmises à une autorité compétente ;   (iii) une demande, une assignation ou une demande d’inspection ou d’examen du traitement par une autorité compétente est reçue, sauf si la communication au client est interdite par la loi.  En cas de violation de la protection des données par le contractant ou un sous-traitant, le contractant prend, à ses propres frais, les mesures raisonnablement exigibles pour déterminer la cause de la violation de la protection des données et pour assurer la protection des données personnelles et atténuer les éventuelles conséquences négatives pour les personnes concernées.  Les obligations d’assistance du preneur d’ordre envers le donneur d’ordre selon ce chiffre 8 sont effectuées gratuitement. Les parties peuvent convenir d’une rémunération pour les prestations d’assistance plus étendues. 
  1. Restitution et effacement des données personnelles 
Le preneur d’ordre restitue immédiatement toutes les données, supports de données ainsi que tout autre matériel au donneur d’ordre sur première instruction de ce dernier. Le preneur d’ordre ne peut pas conserver les données plus longtemps que nécessaire pour remplir ses obligations conformément au contrat, pour autant qu’aucune obligation légale de conservation ne s’y oppose.   A la fin du contrat, les données personnelles obtenues dans le cadre du contrat ou des présentes ATD doivent, conformément aux dispositions contractuelles, soit être restituées au mandant, soit être effacées ; en l’absence d’une telle disposition, les données personnelles doivent, au choix du mandant, soit être restituées au mandant et les copies existantes effacées, soit être effacées, à moins que le mandataire ne soit tenu par la loi de conserver ou d’enregistrer les données personnelles. Jusqu’à l’effacement ou la restitution, le mandataire continue à garantir le respect des présentes ATD. 
  1. Recours à des sous-traitants 
Le contractant obtient par la présente une autorisation écrite générale préalable de faire appel à des sous-traitants pour le traitement des données personnelles. Si les sous-traitants autorisés ne ressortent pas déjà du contrat, ils doivent être énumérés à l‘annexe 1. La liste des sous-traitants doit être tenue à jour en permanence.  L’ajout et le remplacement de sous-traitants par le preneur d’ordre sont laissés à la discrétion de ce dernier. Le donneur d’ordre est informé à l’avance, avec un préavis raisonnable, de la modification prévue de la liste des sous-traitants. Si le donneur d’ordre a un motif objectivement impérieux conformément à la législation applicable en matière de protection des données, il est en droit de s’opposer au traitement des données personnelles par un nouveau sous-traitant dans un délai de vingt jours à compter de la notification du preneur d’ordre. En l’absence d’objection dans ce délai, le nouveau sous-traitant est réputé approuvé par le client. En présence d’une raison objectivement impérieuse relevant de la législation sur la protection des données et dans la mesure où il n’est pas possible de trouver une solution à l’amiable entre les parties, le sous-traitant se voit accorder un droit de résiliation spécial (droit de résiliation sans préavis).  Le contractant est tenu de conclure les accords nécessaires avec le sous-traitant afin de garantir que le sous-traitant est soumis aux mêmes obligations que celles qui incombent au contractant en vertu du présent ATD et du contrat concerné. Le sous-traitant est tenu de fournir au client, à sa demande, des informations sur le contenu essentiel du contrat et sur la mise en œuvre des obligations relatives à la protection des données par le sous-traitant.  Si le sous-traitant ne respecte pas ses obligations en matière de protection des données, le contractant est responsable vis-à-vis du client des éventuelles infractions commises par le sous-traitant conformément aux dispositions du présent ATD. 
  1. Documentation, registre de traitement 
Chaque partie est responsable du respect de ses obligations en matière de documentation, notamment de la tenue de registres de traitement, dans la mesure requise par la législation applicable en matière de protection des données. Chaque partie apporte une aide raisonnable à l’autre partie pour remplir ses obligations en matière de documentation, y compris en fournissant les informations dont l’autre partie a besoin de sa part sous une forme raisonnablement demandée par l’autre partie (par ex. 
  1. Analyse d’impact sur la protection des données 
Si, conformément à la législation applicable en matière de protection des données, le client est tenu de procéder à une analyse d’impact relative à la protection des données ou à une consultation préalable avec une autorité de contrôle, le prestataire fournira gratuitement, à la demande du client, les documents qui sont généralement disponibles pour les services du contrat concerné (par exemple, les présentes ATD, le contrat, les rapports d’audit ou les certifications). Toute assistance supplémentaire sera convenue d’un commun accord entre les parties. 
  1. Obligations de preuve et droit d’audit 
Le contractant prouve au client le respect des obligations fixées dans le présent ATD par des moyens appropriés (p. ex. certificats).  Le donneur d’ordre a le droit de vérifier le respect des obligations légales ou contractuelles relatives au traitement des données personnelles lui-même ou par le biais de contrôleurs qu’il a mandatés et qui, pour protéger le preneur d’ordre, sont soumis à une stricte confidentialité et n’ont pas de relation de concurrence directe avec le preneur d’ordre, au moyen d’inspections ou d’audits, lorsque   (i) le contractant n’apporte pas de preuve suffisante (entre autres certificat, rapport d’audit) du respect des mesures techniques et organisationnelles relatives à la protection des systèmes et des processus de traitement mis en œuvre ;  (ii) il y a eu violation de la protection des données personnelles ;  (iii) si une vérification est officiellement demandée par une autorité de contrôle du pouvoir adjudicateur ; ou  (iv) si la personne concernée a été informée de l’existence d’un tel droit. le client dispose d’un droit d’audit direct conformément au droit impératif applicable en matière de protection des données.  Le contractant est tenu de coopérer de manière appropriée à un audit. Les parties se mettent d’accord au préalable sur le moment, la durée et l’objet des audits ainsi que sur les dispositions applicables en matière de sécurité et de confidentialité, à moins qu’un audit sans notification préalable ne semble nécessaire, faute de quoi l’objectif de l’audit serait compromis. L’audit doit être réalisé de manière à ne pas perturber outre mesure le fonctionnement de l’entreprise du mandataire. Les audits et inspections du mandant sont en principe limités à trois jours ouvrables par an.  Chaque partie supporte les frais et dépenses qu’elle encourt dans le cadre de l’audit ou de l’inspection. En cas de dépenses dépassant trois jours ouvrables, le contractant peut demander au client une rémunération pour l’aide apportée à la réalisation d’une inspection ou d’un audit à l’initiative du client.   Si, après présentation de preuves ou de rapports ou dans le cadre d’un audit, des violations importantes du présent ATD ou des manquements dans la mise en œuvre des obligations du contractant sont constatés, le contractant doit mettre en œuvre immédiatement et gratuitement des mesures correctives appropriées. 
  1. Traitement des données dans les pays tiers 
Le traitement des données a lieu exclusivement en Suisse, dans un État membre de l’Union européenne (UE), dans un autre État partie à l’accord sur l’Espace économique européen (EEE) ou dans un pays qui, selon la décision d’adéquation de la Commission européenne ou du Préposé fédéral à la protection des données, dispose d’un niveau de protection adéquat. Le traitement de données en dehors de ce territoire n’est autorisé qu’après information écrite au client et conformément aux dispositions légales applicables. En cas de communication de données dans un pays ne disposant pas d’un niveau de protection adéquat, le mandataire s’engage notamment à conclure avec les destinataires des données un contrat complémentaire sur la base des clauses contractuelles standard actuelles de l’UE (adaptées si nécessaire à la Suisse) et à prendre en outre des mesures juridiques, techniques ou organisationnelles appropriées.  
  1. Responsabilité 
Le contractant est responsable vis-à-vis du client de toute violation fautive des présentes ATD. Le contractant est responsable des fautes de ses sous-traitants comme de ses propres actes. L’étendue de la responsabilité des parties dans le cadre du présent ATD est déterminée par les dispositions et limitations de responsabilité figurant dans le contrat ou, en cas de plusieurs contrats, dans le contrat concerné. D’autres droits de responsabilité légaux restent réservés.  
  1. Dispositions finales 
  1. Contenu de l’accord 
Les présentes ATD et leurs annexes règlent de manière exhaustive les relations entre les parties en ce qui concerne le traitement des données personnelles et remplacent les négociations et correspondances antérieures à la conclusion des présentes ATD.   En cas de contradiction entre le contrat et la présente ATD, la ATD prévaut sur les dispositions du contrat si et dans la mesure où le traitement de données personnelles par le contractant dans le cadre du contrat concerné est concerné.  En cas de conflit, une annexe du présent accord prévaut ; en cas de pluralité d’annexes, les dernières dispositions valables des annexes prévalent sur les conditions contradictoires figurant dans une annexe antérieure. 
  1. Modifications 
Si l’une des parties devait arriver à la conclusion que la présente ATD ne satisfait plus aux exigences de la législation sur la protection des données, elles adapteront la présente ATD d’un commun accord et en toute bonne foi. 
  1. Nullité partielle 
Si certaines dispositions ou parties de la présente convention ou d’une annexe devaient s’avérer nulles ou inefficaces, la validité du reste de la convention n’en serait pas affectée. Dans un tel cas, les parties adapteront l’accord de manière à atteindre, dans la mesure du possible, l’objectif visé par la partie devenue nulle ou inefficace. 
  1. Cession et transfert 
La présente convention ne peut être cédée ou transférée à des tiers qu’avec l’accord écrit préalable de l’autre partie, lequel ne peut être refusé que pour de justes motifs. 
  1. Règlement des litiges 
Les deux parties s’engagent à rechercher de bonne foi un règlement à l’amiable en cas de divergence d’opinion en rapport avec la présente convention. 
  1. Droit applicable et juridiction compétente 
Si, malgré les efforts des parties, aucun accord n’est trouvé à l’amiable, un litige juridique sera mené conformément aux dispositions du contrat concerné (droit applicable et tribunal compétent). 

Anhang 1 zur Auftragsbearbeitungsvereinbarung

Ausführungsbestimmungen

1. Vertragliche Grundlage der Auftragsverarbeitung (AVV)

Gemäss Ziffer 1 AVV haben die Parteien eine oder mehrere Vereinbarungen geschlossen, in denen der Auftragnehmer als Leistungserbringer gegenüber dem Auftraggeber oder dessen Kunden auftritt. Dabei handelt es sich um folgende Vereinbarungen:

Der/die aktive(n) Vertrag/Verträge ergeben sich aus der Auflistung auf der Modul-Buchungsseite des Kunden im Kunden-internen Bereich auf mein.fairgate.ch

2. Umfang der Verarbeitung gemäss Ziffer 2 AVV

a) Gegenstand, Art und Zweck der Datenverarbeitung:

  • Entwicklung und Vertrieb von eigener Software
  • Hosting und Betrieb der Software inkl. Wartungs- und Supportleistungen

b) Datenkategorien

Die betroffenen Datenkategorien umfassen:

  • Personenstammdaten / pers. Identifikationsdaten (z. B. Name, Anschrift, Geburtsdatum, Familienstand, Berufsbezeichnung, Firmenzugehörigkeit, Online-Kennung, Qualifikationen)
  • Elektronische Identifikationsdaten (wie IP-Adresse, Verbindungs-/Protokolldaten, Cookies)
  • Sozialdaten (d.h. alle Personendaten, die bspw. von Sozialleistungsträger sowie deren Verbände)
  • Kommunikationsdaten (z.B. Telefon, E-Mail, PIN, Passwort, Ports, Login)
  • Vertragsstammdaten (z.B. Vertragsbeziehung)
  • Bilder (Fotografien, Filme, etc.) / Tonaufzeichnungen
  • Vertragsabrechnungs- und Zahlungsdaten (z.B. Bank, Kontoverbindung, Kreditkartendaten)
  • Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
  • Weitere Daten, die spezifisch aufgrund des Vereinszwecks vom Verein beschafft und vom Verein in die Software eingearbeitet werden.

c) Kategorien betroffener Personen

  • Mitglieder (Aktiv-, Passiv-, etc.)
  • Arbeitnehmer
  • Praktikanten
  • Bewerber
  • Abonnenten (z. B. Informationsschriften, Newsletter)
  • Lieferanten
  • Interessenten (z. B. Aktionäre, Werbungsempfänger)
  • Dienstleister (z. B. externe Berater, externe Beauftragte)

3. Aufstellung der Unterauftragsverarbeiter gemäss Ziffer 10 AVV

Zum Zweck der Erfüllung des Vertrages darf der Auftragnehmer gemäss Ziffer 10 AVV Unterauftragsverarbeiter einsetzen. Soweit sich die zulässigen Unterauftragsverarbeiter nicht bereits aus dem Vertrag ergeben, stimmt der Auftraggeber dem Beizug nachstehender Unternehmen als Unterauftragsverarbeiter zu:

  • Hosting:
    1. Nine Internet Solutions AG, Badenerstrasse 47, 8004 Zürich, Schweiz mit Datenverarbeitung in der Schweiz
    2. Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany mit Datenverarbeitung in Deutschland
  • Software Support und Entwicklung:
    1. Pit-Solutions AG, Holzwiesstrasse 35, 8645 Rapperswil-Jona, Kontakt über Fairgate, Datenverarbeitung in der Schweiz sowie in Indien über Mitarbeiter der Pit-Solutions AG in Indien