Contrat de sous-traitance

Ofri Internet GmbH, Pfingstweidstrasse 6, 8005 Zurich (ci-après la «mandataire»)

  1. Objet et définitions

    1. Le présent contrat régit les droits et les devoirs du mandant et de la mandataire (ci-après les «parties») en relation avec le traitement du mandat ou la sous-traitance (ci-après uniformément «sous-traitance» ou «traitement») de données à caractère personnel ou de données personnelles (ci-après uniformément «données personnelles»).

    2. Ce contrat s’applique à toutes les activités pour lesquelles la mandataire traite ou fait traiter des données personnelles pour le compte du mandant, considéré comme le responsable en termes de droit de la protection des données. Ce contrat ne s’applique pas aux activités pour lesquelles la mandataire décide seule des moyens et des finalités du traitement des données personnelles, de sorte qu’il n’existe aucune sous-traitance.

    3. La mandataire traite les données personnelles conformément à un contrat existant ou à conclure en même temps que ce contrat de sous-traitance – en particulier sur la base des Conditions générales de vente (CGV) telles qu’elles sont publiées sur le site web de la mandataire – avec le mandant (ci-après le «contrat principal») et conformément à diverses conventions contractuelles entre les parties en relation avec la bourse aux artisans de la mandataire. Le traitement s’effectue sur une durée indéterminée jusqu’à la résiliation de ce contrat ou du contrat principal.

  2. Nature et finalité du traitement

    1. Le traitement inclut toute opération relative à des données personnelles, qu’il s’agisse des moyens et méthodes mis en œuvre, en particulier l’archivage, la conservation, la divulgation, l’obtention, le remaniement, la destruction et l’utilisation de données personnelles.

    2. Le traitement peut comprendre notamment les catégories de données personnelles suivantes: données d’offre de prix, données du mandat, données bancaires, données d’évaluation, données de contact, données de communication, données de journal, données de base, données contractuelles, données de gestion de contrat, données de paiement.

    3. Le traitement peut comprendre notamment les catégories de personnes concernées suivantes: interlocuteurs, clients et clients potentiels, partenaires commerciaux, prospects, fournisseurs, collaborateurs.

  3. Obligations de la mandataire

    1. La mandataire traite des données personnelles exclusivement comme convenu contractuellement avec le mandant ou ordonné par ce dernier, à moins que la mandataire ne soit tenue par la loi d’effectuer un traitement spécifique. De surcroît, la mandataire ne fait pas usage des données personnelles dont le traitement lui est confié à d’autres fins, en particulier pour des finalités propres.

    2. La mandataire confirme que les directives sur la protection des données applicables en Suisse lui sont connues. La mandataire observe notamment les principes généraux relevant du droit de la protection des données, pour le traitement des données personnelles suivant les articles 4, 5 et 7 de la LPD [Loi fédérale sur la protection des données].4

    3. La mandataire s’engage à respecter le principe de confidentialité lors du traitement. Les personnes qui peuvent prendre connaissance des données personnelles traitées dans le cadre du mandat doivent s’engager à observer les règles de confidentialité, si elles ne sont pas déjà soumises légalement à un devoir de discrétion y afférent.

    4. La mandataire assure que les directives sur la protection des données applicables et les dispositions déterminantes de ce contrat ont été communiquées avant le début du traitement aux personnes que la mandataire a recrutées en vue du traitement. La mandataire veille à ce que les personnes recrutées pour la sous-traitance soient instruites et surveillées de manière adéquate au regard du respect des directives sur la protection des données applicables.

    5. Dans le cadre du traitement qui lui est confié, la mandataire doit aider le mandant dans la mesure nécessaire à établir et à mettre à jour un répertoire éventuellement utile des activités de traitement ainsi qu’à procéder dans la mesure nécessaire à une analyse d'impact relative à la protection des données personnelles. Le mandant supporte les coûts correspondants de la mandataire pour l’aide fournie.

    6. Si le mandant est soumis à un contrôle par des autorités de surveillance ou d’autres services compétents ou si des personnes concernées font valoir envers le mandant des revendications relatives à la protection des données, la mandataire s’engage à soutenir le mandant dans la mesure nécessaire, dès lors que la sous-traitance est concernée. Le mandant supporte les coûts correspondants de la mandataire pour l’aide fournie.

    7. Ce n’est qu’après avoir reçu du mandant un consentement préalable que la mandataire peut renseigner des autorités, des personnes concernées ou des tiers. Les renseignements qui doivent être communiqués par le mandant sur la base du droit contraignant, sans consentement préalable du mandant, restent réservés. Les demandes directement adressées à la mandataire concernant la sous-traitance sont redirigées directement vers le mandant dans les meilleurs délais.

    8. Si et dans la mesure où la loi l’exige, la mandataire désigne une personne compétente et fiable pour occuper la fonction de délégué(e) à la protection des données. Il faut s’assurer de l’absence de conflits d’intérêts pour le ou la délégué(e) à la protection des données. En cas de doute, le mandant peut s’adresser directement à un(e) éventuel(le) délégué(e) à la protection des données. La mandataire communique au mandant les coordonnées de contact d’un(e) éventuel(le) délégué(e) à la protection des données. Tous changements importants au niveau de la personne ou des attributions du/de la délégué(e) à la protection des données sont transmis immédiatement au mandant par la mandataire. Si la mandataire n’a désigné aucun(e) délégué(e) à la protection des données, elle communiquera au mandant les coordonnées de contact d’une interlocutrice ou d’un interlocuteur relativement à la sous-traitance.

    9. La sous-traitance s’effectue en Suisse et dans d’autres Etats ou territoires suivants: au Liechtenstein. Tout traitement dans d’autres Etats ne peut être réalisé qu’avec l’accord du mandant et particulièrement dans les conditions visées à l’art. 6 LPD et dans le respect du présent contrat.

  4. Mesures techniques et organisationnelles

    1. La mandataire protège les données personnelles par des mesures techniques et organisationnelles appropriées, notamment selon l’art. 7 LPD et l’art. 8 ss de l’OLPD [Ordonnance relative à la loi fédérale sur la protection des données]. Les mesures doivent être adaptées en permanence aux évolutions techniques et organisationnelles. Pour maintenir la sécurité des données, la mandataire doit mettre en œuvre dans les meilleurs délais les mesures nécessaires.

    2. La mandataire garantit que les données personnelles traitées dans le cadre du mandat sont séparées d’autres bases de données.

    3. Aucune copie n’est établie sans que le mandant en ait connaissance. Sont exclues les reproductions techniquement indispensables, pour des raisons légales ou règlementaires, suivant ce contrat ou pour l’exécution du contrat entre les parties, dans la mesure où ces copies ne portent pas préjudice à la sécurité des données.

    4. La mandataire apporte la preuve du respect de ses devoirs relatifs à la protection des données, notamment sur la protection des données personnelles par des mesures techniques et organisationnelles appropriées selon l’art. 7 LPD et l’art. 8 ss OLPD.

  5. Rectification, effacement et blocage des données personnelles

    1. Dans le cadre de la sous-traitance, la mandataire ne rectifiera, n’effacera et ne bloquera des données personnelles que conformément aux accords contractuels conclus ou sur instruction du mandant.

    2. La mandataire suivra à tout moment les consignes correspondantes du mandant, y compris après l’expiration de ce contrat. Le mandant supporte les coûts correspondants, y compris après l’expiration de ce contrat.

  6. Sous-sous-traitantes

    1. Le mandant accepte en général que la mandataire fasse appel à des sous-sous-traitantes pour le traitement. La mandataire sélectionne soigneusement ces sous-sous-traitantes en tenant compte de l’adéquation des mesures techniques et organisationnelles prises par la sous-sous-traitante respective chargée du traitement.

    2. La mandataire informe préalablement le mandant de son projet de faire appel à ou de remplacer des sous-sous-traitantes. Le mandant peut s’opposer pour motif important au projet d’y faire appel ou de les remplacer, dans un délai raisonnable fixé le cas échéant par la mandataire. En cas d’absence d’opposition sous ce délai, le projet d’y faire appel ou de les remplacer est réputé accepté. S’il existe un motif important selon le droit de la protection des données et en cas d’impossibilité de règlement à l’amiable entre les parties, le mandant se voit accorder le droit de résilier ce contrat avec effet immédiat.

    3. Si et dans la mesure où le mandataire fait appel à des sous-sous-traitantes, il lui incombe de soumettre la sous-sous-traitante concernée à ses devoirs en matière de protection des données découlant de ce contrat.

    4. Le mandant consent à ce que la mandataire fasse appel à des sous-sous-traitantes suivant la liste publiée ci-dessous et renonce à toute opposition: https://ofri.ch/fr/data_processors

  7. Devoirs d’informer

    1. La mandataire informe le mandant des violations de la protection de données personnelles immédiatement après en avoir pris connaissance. Les cas suspects fondés aussi doivent être communiqués. L’information doit comprend toutes les données utiles.

    2. La mandataire informe immédiatement le mandant, dans la mesure admissible, des contrôles ou de diverses mesures d’autorités de surveillance ou de tiers, si ceux-ci ont un rapport avec la sous-traitance.

    3. La mandataire informe immédiatement le mandat, dans la mesure admissible, des demandes d’autorités comprenant une publication ou une transmission de données personnelles si celles-ci ont un rapport avec la sous-traitance. Si cette information n’est pas permise ou provisoirement interdite du fait de lois impératives, la mandataire prendra des mesures de protection appropriées dans l’intérêt du mandant et dans le cadre de ce contrat.

    4. La mandataire informe le mandant dans les meilleurs délais de dysfonctionnements substantiels de la sous-traitance et de violations, par la mandataire ou par les personnes qu’elle emploie, de règles sur la protection des données ou de ce contrat.

    5. La mandataire informe le mandant dès lors qu’elle considère qu’une instruction enfreint le droit de la protection des données applicable. La mandataire est autorisée à suspendre l’exécution de cette instruction jusqu’à ce qu’elle soit confirmée ou modifiée formellement et sous forme écrite par le mandant.

    6. La mandataire assure qu’elle soutiendra dans la mesure nécessaire le mandant dans son devoir d’informer relevant du droit de la protection des données. Le mandant supporte les coûts correspondants de la mandataire pour un tel soutien.

  8. Droits et obligations du mandant

    1. Le mandant est seul responsable de l’évaluation de la fiabilité du contrat de sous-traitance et de la sauvegarde des droits de la personne concernée.

    2. Concernant la sous-traitance, le mandant se réserve le droit global de délivrer des instructions. Le mandant émet tous les mandats, les mandats partiels et les instructions sous une forme documentée dont la preuve peut être établie sous forme de texte. En cas d’urgence, des instructions peuvent être communiquées verbalement. Le mandant confirmera celles-ci sans attendre sous une forme documentée.

    3. Le mandant informe la mandataire dans les meilleurs délais en cas de constat d’erreurs ou d’irrégularités au niveau de la sous-traitance.

    4. Le mandant est autorisé à contrôler lui-même ou par l’intermédiaire de tiers l’observation des directives sur la protection des données et de ce contrat auprès de la mandataire, dans une mesure raisonnable, notamment en obtenant des renseignements et en consultant les données personnelles stockées et les logiciels de traitement, ainsi que par divers contrôles sur place. Les contrôles doivent être annoncés en dû temps par le mandant. Il convient que la personne chargée du contrôle se voit accorder par la mandataire, dans la mesure nécessaire, l’accès et la possibilité de consultation. La mandataire est tenue de fournir les renseignements utiles, de faire une démonstration des procédures et d’apporter les preuves de la nécessité d’un contrôle. Le mandant supporte les coûts de la mandataire pour ces contrôles.

  9. Responsabilité et réparation du préjudice

    1. La mandataire est responsable exclusivement des dommages qu’elle a causés pour ne pas avoir rempli ses obligations légales de mandataire, ne pas s’être conformée aux instructions qui ont pu lui être données légalement par le mandant ou pour avoir agir contrairement aux instructions de ce dernier. La mandataire n’assume aucune responsabilité dès lors qu’elle parvient à prouver qu’elle n’est pas responsable de la situation ayant conduit à l’apparition d’un tel préjudice.

    2. S’appliquent par ailleurs d’éventuelles conventions sur la responsabilité et la réparation du préjudice figurant au contrat principal et dans d’autres accords contractuels, y compris pour la sous-traitance.

  10. Expiration

    1. Le présent contrat est conclu pour une durée indéterminée. Il prend fin avec le contrat principal ou peut être résilié moyennant un délai d’un mois en fin de mois. Les parties ont le droit de résilier ce contrat avec effet immédiat en présence d’un motif important, comme notamment une grave violation du droit de la protection des données ou de ce contrat.

    2. A l’expiration de ce contrat ou du contrat principal et à tout moment à la demande du mandant, la mandataire doit, au choix du mandant, soit détruire les données personnelles traitées dans le cadre du mandat, copies incluses, ou les remettre au mandant, à moins que la mandataire n’ait l’obligation légale ou règlementaire de les conserver.

    3. La mandataire est tenue, à l’expiration de ce contrat, de faire effacer ou de restituer immédiatement les données personnelles, y compris auprès des sous-sous-traitantes, à moins que celles-ci n’aient l’obligation légale ou règlementaire de les conserver.

    4. La documentation servant à prouver le traitement en bonne et due forme doit être conservée pendant au moins cinq ans par la mandataire conformément aux délais de conservation respectifs, y compris après l’expiration de ce contrat. La mandataire peut la transmettre à tout moment au mandant pour s’en décharger.

Infos au sujet d'Ofri

Infos au sujet d'Ofri