Annexe Sous-traitance

Préambule
Faigle AG, Thurgauerstrasse 76, CH-8050 Zürich (désignée ci-après par «sous-traitant») et le client (désigné ci-après par «responsable») ont déjà conclu un contrat relatif à la numérisation de processus commerciaux, aux Managed Print Solutions (MPS) et/ou au Business Process Outsourcing (BPO) (désigné ci-après comme «contrat principal»). Par le présent contrat de sous-traitance (désigné ci-après par «CST»), les parties souhaitent régler la sous-traitance des données personnelles devant être traitées conformément au contrat principal. Ce CST est considéré comme annexe au contrat principal.
Ceci posé, les parties conviennent de ce qui suit:


1    Objet du contrat
1.1    Le présent CST qui complète le contrat principal conclu entre le sous-traitant et le responsable règle le traitement des données personnelles que le responsable fait traiter par le sous-traitant. La finalité du traitement des données découle du contrat principal et/ou de l’annexe 1. La liste des groupes de personnes et des types de données concernées figure à l’annexe 1 à ce CST.
1.2    Les dispositions de la Loi suisse sur la protection des données (LPD) et, dans la mesure où le traitement relève du champ d’application du Règlement général européen sur la protection des données (RGPD), les dispositions du RGPD s’appliquent à ce CST.
1.3    Ce CST règle notamment les mesures de protection des données au sens de l’article 9 de la LPD et de l’article 28 du RGPD ainsi que les droits et les obligations incombant au responsable et au sous-traitant pour satisfaire aux exigences de la LPD et du RGPD.


2    Droits et obligations du responsable
2.1    Le responsable est responsable des directives relatives à la sous-traitance de données personnelles dans le cadre du présent contrat. Lors de la collecte, de l’utilisation et du traitement ultérieur des données personnelles, il est responsable du contrôle de la légalité et du respect des dispositions applicables en matière de protection des données ainsi que de la préservation des droits des parties concernées.
2.2    Dans le cadre du contrat principal, le responsable a le droit de donner des instructions relatives à la nature du traitement des données, à son étendue et au processus utilisé. Ses droits de contrôle sont régis par le point 7 du présent contrat.
2.3    Tout changement des types de données traitées et tout changement de processus doivent être convenus d’un commun accord et être documentés.
2.4    Les instructions peuvent être données par le responsable d’une manière générale ou au cas par cas. Elles doivent être consignées par écrit. Des instructions individuelles peuvent aussi être données verbalement, mais elles doivent être immédiatement confirmées par écrit par le responsable. Le responsable désigne au sous-traitant les personnes étant habilitées à donner des instructions.


3    Obligations du sous-traitant
3.1    Le sous-traitant agit exclusivement dans le cadre des accords conclus et conformément aux instructions du responsable. Une utilisation des données personnelles traitées à d’autres fins, y compris aux propres fins du sous-traitant, est interdite.
3.2    Le sous-traitant assure qu’il remplit les conditions énumérées à l’article 9 de la LPD et/ou à l’article 28 du RGPD (Sous-traitance) et contrôle et documente le respect de ses obligations légales par des contrôles externes réguliers.
3.3    Le traitement des données est effectué uniquement sur le territoire de la Suisse, dans l’Espace économique européen (EEE) et en Grande-Bretagne (Royaume-Uni). Le traitement des données dans d’autres pays (appelés pays tiers) est autorisé après accord écrit préalable et si les conditions légales correspondantes sont remplies.
3.4    Après accord préalable, le sous-traitant s’engage à apporter son assistance lors les contrôles effectués sur place par le responsable, à mettre les documents et informations nécessaires à disposition et à fournir, dans un délai raisonnable, tous les renseignements nécessaires lors des contrôles de la protection des données et des contrôles relatifs à la protection des données effectués par les autorités de surveillance.
3.5    Le sous-traitant assiste le responsable en tenant compte de la nature du traitement et des informations dont il dispose lors de l’accomplissement des obligations selon l’article 8 et les articles 21 à 24 de la LPD et/ou 32 à 36 du RGPD (sécurité du traitement; notification de violations de la protection des données à l’autorité de surveillance; notification aux personnes concernées par les violations; analyse d’impact relative à la protection des données).
3.6    Si une instruction du responsable enfreint les dispositions applicables en matière de protection des données, le responsable doit en être informé par le sous-traitant. Le responsable reste cependant responsable de la légalité des instructions.
3.7    Le sous-traitant s’engage à informer le responsable de violations des dispositions en matière de protection des données, y compris:
a)    une description de la nature de la violation (en précisant si possible les catégories et le nombre approximatif de personnes concernées ainsi que le nombre approximatif d’ensembles de données concernés);
b)    les coordonnées d’un point de contact auprès duquel de plus amples informations sur la violation de la protection de données personnelles peuvent être demandées;
c)    les conséquences probables et les mesures prises ou proposées pour remédier à la violation de la protection des données personnelles, y compris les mesures visant à atténuer ses éventuels effets négatifs.
3.8    Si les données personnelles du responsable sont menacées par une saisie ou une confiscation chez le sous-traitant, par une procédure d’insolvabilité ou de concordat ou par d’autres évènements ou mesures prises par des tiers ou si elles doivent être communiquées à des tiers, notamment aux autorités, le sous-traitant est tenu d’en informer le responsable. Le sous-traitant informera immédiatement tous les responsables impliqués dans ce contexte que le responsable détient le pouvoir relatif aux données personnelles.
3.9    Les prestations selon les points 3.4 et 3.5 sont effectuées moyennant indemnisation aux taux horaires figurant dans le contrat principal (feuille de prix).


4    Mesures techniques et organisationnelles en matière de sécurité des données
4.1    Le sous-traitant est tenu de respecter les principes d’un traitement correct des données et de veiller à leur respect.
4.2    Le sous-traitant garantit la mise en œuvre et le maintien des mesures nécessaires et appropriées en matière de protection des données conformément à l’article 8 de la LPD et à l’article 32 du RGPD (Sécurité des données). Les mesures techniques et organisationnelles contraignantes figurent à l’annexe 2 et font partie intégrante du présent contrat.


5    Droits des personnes concernées
5.1    Si une personne concernée fait valoir des droits en matière de protection des données (par exemple le droit à l’information), le sous-traitant apporte son soutien au responsable pour garantir les droits.
5.2    Si une personne concernée s’adresse directement au sous-traitant pour faire valoir ses droits (notamment chapitre 4 de la LPD et chapitre III du RGPD (Droits de la personne concernée)), celui-ci transmettra immédiatement la demande au responsable.


6    Sous-contractant
6.1    Le sous-traitant peut faire appel à des sous-contractants pour traiter les données; actuellement, il s’agit des sous-contractants selon l’annexe 1. Le sous-traitant informe le responsable avant toute modification envisagée. Le responsable peut refuser un sous-contractant sans devoir se justifier. Toutefois, un refus donne au sous-traitant droit à la résiliation exceptionnelle du contrat.
6.2    Le sous-traitant choisit le sous-contractant avec soin et ne mandate que les tiers qui répondent à un niveau de sécurité approprié pour accomplir la tâche. Les accords contractuels avec le sous-contractant doivent être conçus de manière à ce qu’ils respectent les dispositions du présent contrat en matière de protection des données, notamment par des garanties suffisantes quant à la mise en place de mesures techniques et organisationnelles appropriées afin de garantir que le traitement est effectué en conformité avec les dispositions légales.
6.3    La relation avec le sous-contractant est conclue par écrit conformément à l’article 9 de la LPD et/ou à l’article 28 du RGPD, un droit de visite et de contrôle étant également accordé au responsable. Le responsable supporte les coûts éventuels en résultant. Sur demande, le sous-traitant met une copie du contrat avec le sous-contractant ainsi que toutes les informations nécessaires à disposition.
6.4    Ne sont pas considérées comme relations avec des sous-contractants au sens de ce règlement les prestations de tiers utilisées par des sous-traitants pour les assister lors de l’exécution de la commande, par exemple les services de télécommunication ou la maintenance.


7    Droits de contrôle du responsable
7.1    Le sous-traitant fournit au responsable toutes les informations nécessaires pour prouver le respect des obligations définies dans le présent CST.
7.2    Le responsable est en droit d’exiger des renseignements écrits et des preuves des mesures prises en matière de protection des données ainsi que de leur mise en œuvre technique et organisationnelle.
7.3    Après accord préalable, le responsable peut s’assurer sur place avant le début de la sous-traitance, puis à des intervalles réguliers, auprès du sous-traitant de l’adéquation des mesures visant au respect des exigences techniques et organisationnelles en matière de protection des données. Le sous-traitant facilite ces contrôles, fournit les informations nécessaires et propose le soutien nécessaire.
7.4    Les contrôles doivent être exécutés sans perturbation évitable des activités commerciales du sous-traitant. Sans indication contraire pour des raisons d’urgence devant être documentées par le responsable, les contrôles sont effectués après un préavis raisonnable et pendant les heures d’ouverture de l’entreprise du sous-traitant.
7.5    Les prestations fournies par le sous-traitant selon le présent paragraphe 7 doivent être rémunérées aux taux horaires indiqués dans le contrat principal.


8    Confidentialité
8.1    Les parties s’engagent à traiter de manière confidentielle tous les documents et toutes les données mis à leur disposition dans le contexte de l’exécution de la commande ainsi que les résultats du travail et notamment, à ne pas les rendre accessibles à des personnes non autorisées.
8.2    Il est interdit aux personnes impliquées dans le traitement des données de traiter des données personnelles sans autorisation. Cette interdiction restera valable même après la fin de l’activité. Les personnes concernées doivent s'engager par écrit à respecter la confidentialité des données.
8.3    Ces obligations resteront valables même après la fin du contrat.


9    Durée et fin du contrat
9.1    La durée du présent contrat de sous-traitance est déterminée par le contrat principal.
9.2    Si le sous-traitant ne s’acquitte pas des obligations qui lui incombent en vertu de ce CST, le responsable peut lui ordonner de suspendre le traitement de données personnelles jusqu’à ce qu’il se conforme à ces clauses ou jusqu’à la fin de ce CST. Le sous-traitant informe le responsable immédiatement s’il n’est pas en mesure de respecter le présent CST, quels qu’en soient les motifs.
9.3    Le responsable est en droit de résilier ce CST dans la mesure où cela concerne le traitement de données personnelles selon le présent point 9 si:
a)    le responsable a suspendu le traitement de données personnelles par le sous-traitant et si le respect du présent contrat n’a pas été restauré dans un délai raisonnable, en tout cas dans un délai d’un mois après la suspension;
b)    le sous-traitant enfreint de manière significative ou continue les présentes clauses ou ne satisfait pas aux obligations qui lui incombent en vertu du droit applicable;
c)    le sous-traitant ne respecte pas une décision contraignante d’un tribunal compétent ou de l’autorité / des autorités de surveillance compétente(s) qui définit ses obligations selon le présent CST ou le droit applicable.
9.4    Le sous-traitant est en droit de résilier le présent CST dans la mesure où cela concerne le traitement de données personnelles selon le présent CST dans le cas où le responsable exige que ses instructions soient exécutées après avoir été informé par le sous-traitant conformément au point 3.6 du fait que ses instructions enfreignent des exigences légales applicables.
9.5    À l’issue du présent contrat, le sous-traitant est tenu de restituer au responsable à sa demande tous les supports de données et toutes les données (y compris les copies ou duplicatas créés) ou sur instruction du responsable, de les effacer ou de les détruire de manière sécurisée, à moins qu’il n’existe une obligation légale de conserver les données personnelles. Cette obligation s’applique dans la même mesure aux éventuels sous-contractants.


10    Dispositions finales
10.1    Sauf disposition divergente dans le présent CST, aucune des parties n’est autorisée à céder ses droits découlant du CST ou à les transférer à des tiers ou à déléguer ses obligations découlant du présent CST sans l’accord écrit préalable de l’autre partie.
10.2    Toute modification du présent contrat doit être formulée par écrit et signée par des représentants autorisés des parties.
10.3    Si certaines dispositions de ce contrat s’avéraient invalides ou inefficaces ou si leur accomplissement devenait impossible, l’efficacité des autres parties du contrat n’en serait pas affectée. Pour ce cas, les parties s’engagent à remplacer immédiatement la disposition invalide, inefficace ou inapplicable par un accord licite, efficace et applicable qui, par son contenu, se rapproche le plus possible de l’intention première. La même chose s’applique dans le cas d’une lacune dans le contrat.
10.4    Dans la mesure où la loi le permet et sauf disposition contraire dans ce CST, le présent CST est soumis au droit suisse sans tenir compte du droit international privé.
10.5    Dans la mesure où la loi le permet, les litiges découlant de ce CST ou en rapport avec celui-ci relèvent exclusivement de la compétence du tribunal compétent de la ville de Zurich.


******* 


Annexe 1 – Informations sur le traitement de données personnelles


1    Nature et finalité du traitement
Le traitement est effectué par des activités dans le cadre:
- de la numérisation de processus commerciaux:
- Numérisation de documents
- Numérisation de processus
- des Managed Print Solutions (MPS)
- Printing @ Customer
- Scanning @ Customer
- du Business Process Outsourcing (BPO):
- Post-Outsourcing (impression/envoi, que ce soit par voie analogique ou numérique)
- Courrier entrant @ Faigle (numérisation, tri, saisie, catégorisation et envoi)
- Numérisation des archives
Le traitement sert à l’exécution du contrat principal.


2    Type de données personnelles traitées
Toutes les données personnelles pouvant exister dans la relation commerciale du client (responsable avec ses partenaires commerciaux) sont traitées, par exemple:
- Prénom
- Nom
- Numéro de téléphone
- Numéro de téléphone portable
- Adresse électronique
- Département
Si, pendant la durée de l’accord, des modifications de volume ou de nature des données personnelles traitées surviennent, le responsable en informera le sous-traitant par écrit.


3    Catégories de personnes concernées
Toutes les personnes pouvant exister dans la relation commerciale du client (responsable avec ses partenaires commerciaux) sont concernées par le traitement, par exemple:
- Clients du responsable (par exemple donneurs d’ordre / acheteurs / preneurs de licence / clients / patients)
- Fournisseurs du responsable
- Collaborateurs du responsable
- Contacts issus de la prospection commerciale
Si, pendant la durée de l’accord, des modifications de volume ou de nature des catégories de personnes concernées surviennent, le responsable en informera le sous-traitant par écrit.


4    Sous-contractant
Le sous-traitant peut faire appel aux sous-contractants suivants:

Propre infrastructure
- Adobe, avec CST: https://www.adobe.com/content/dam/cc/en/legal/terms/enterprise/pdfs/DPT-WW.pdf 
- DocuSign, avec CST: https://www.docusign.com/legal/terms-and-conditions/data-protection-attachment 
- EveryWare, avec CST conformément au contrat de maintenance
- Microsoft, avec CST: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA 
- SAP, avec CST ici: https://www.sap.com/germany/about/trust-center/agreements/cloud/cloud-services.html?sort=latest_desc&search=Data%20Processing 
- Skribble: avec CST ici: https://www.skribble.com/de-ch/datenschutz/ 
- SysPrint: contrat de groupe interne

Applications clients en tant que revendeurs
- PaperCut/Hive, avec conformité au RGPD: https://www.papercut.com/kb/Main/GDPR/ 
- Printfleet, avec CST: https://www.ecisolutions.com/legal/privacy-policy/ 
- RICOH, avec CST: https://www.ricoh-europe.com/about-us/our-company/edw/data-processing-agreement/ 
- Parashift, avec CST: https://parashift.io/privacy-policy/ 
-SysPrint: contrat de groupe interne
- UMANGO, avec CST: https://www.umango.com/index_US.asp# 

Le sous-traitant a conclu avec ces sous-contractants des contrats et, si nécessaire, des clauses standard de protection des données préalablement approuvées par le PFPDT.
 

*******

Annexe 2: mesures techniques et organisationnelles en matière de sécurité des données

 1. Contrôle d’accès

Mesures appropriées pour interdire à des personnes non autorisées l’accès à des installations de traitement des données avec lesquelles des données personnelles sont traitées ou utilisées.

Oui

Commentaire

Réglementation relative aux clés (remise des clés, etc.)

x

 

Système de fermeture à carte à puce/transpondeur

x

 

Système de fermeture manuel

x

 

Serrures de sécurité

x

 

 

2. Contrôle des accès

Mesures appropriées pour empêcher que des systèmes de traitement de données puissent être utilisés par des personnes non autorisées.

Oui

Commentaire

Attribution de droits d’utilisateur

x

Active Directory

Attribution de mots de passe

x

 

Authentification avec nom d’utilisateur / mot de passe

x

MFA

Verrouillage de boîtiers

x

 

Réglementation relative aux clés (remise des clés, etc.)

x

 

Utilisation de systèmes de détection de l’intrusion

x

 

Utilisation de logiciels antivirus

x

 

Utilisation d’un pare-feu matériel

x

 

Création de profils d’utilisateurs

x

 

Attribution de profils d’utilisateurs aux systèmes informatiques

x

 

Utilisation de la technologie VPN

x

 

Serrures de sécurité

x

 

Utilisation d’un pare-feu logiciel

x

 

 

3. Contrôle des accès

Mesures garantissant que les personnes autorisées à utiliser un système de traitement des données n’aient accès qu’aux données soumises à leur autorisation d’accès.

Oui

Commentaire

Création d’un concept d’autorisations

x

 

Nombre d’administrateurs réduit «au strict nécessaire»

x

 

Établissement d’un protocole des accès à des applications, notamment lors de la saisie, de la modification et de la suppression de données

x

Application

Effacement physique de supports de données avant leur réutilisation

x

 

Utilisation de destructeurs de documents ou appel à des prestataires (si possible avec label de qualité pour la protection des données)

x

 

Administration des droits par l’administrateur du système

x

 

Directive concernant les mots de passe y compris longueur du mot de passe, changement de mot de passe

x

 

Conservation sécurisée des supports de données

x

 

Destruction en bonne et due forme des supports de données (DIN 32757)

x

Via EveryWare

Établissement d’un protocole de la destruction

x

Via EveryWare

 

4.       Contrôle de la séparation

Mesures garantissant que les données soient séparées les unes des autres en fonction de la personne concernée, de la finalité et de la nature du traitement.

Oui

Commentaire

Création d’un concept d’autorisations

x

 

Attribution d’attributs de finalité/de champs de données aux ensembles de données

x

Sur M-Files

Définition des droits relatifs à la base de données

x

 

Séparation logique des mandants (côté logiciel)

x

 

Séparation du système de production et du système de test

x

 

 

5. Anonymisation & cryptage

Mesures utilisées en cas d’anonymisation ou de cryptage de données.

Oui

Commentaire

Séparation des données d’attribution et conservation dans des systèmes séparés et sécurisés

x

 

Stockage crypté des données d’attribution

x

 

 

 

 

 

6. Contrôle de la saisie

Mesures appropriées pour empêcher que des systèmes de traitement de données puissent être utilisés par des personnes non autorisées.

Oui

Commentaire

Traçabilité de la saisie, de la modification et de la suppression de données grâce à des noms d’utilisateur individuels (pas des groupes d’utilisateurs)

x

 

Attribution de droits pour la saisie, la modification et la suppression de données sur la base d’un concept d’autorisations

x

 

 

7.       Contrôle de la transmission

Mesures empêchant la lecture, la copie, la modification ou la suppression non autorisée pendant le transfert électronique ou le transport

Oui

Commentaire

Installation de lignes dédiées et/ou de tunnels VPN

x

 

 

8.       Disponibilité et résistance

Mesures garantissant que des données personnelles soient protégées contre la destruction ou la perte accidentelles

Oui

Commentaire

Systèmes de détection d’incendie et de fumée dans tous les locaux informatiques

x

Outsourcing complet

Alimentation électrique sans interruption y compris alimentation de secours

x

 

Surveillance de la température et de l’humidité dans les salles de serveurs centrales

x

 

Redondance possible dans différentes salles de serveurs (serveurs, stockage)

x

 

Redondance existant dans le stockage des données (matériel, RAID)

x

 

Concept de sauvegarde formalisé et surveillé

x

 

Surveillance de la disponibilité des systèmes et des applications

x

 

Protection contre l’accès non autorisé au système depuis l’extérieur (pare-feu)

x

 

Plans d’urgence existant pour les sinistres informatiques

x

 

 

9.       Gestion d’un incident lié à la protection des données

Mesures à prendre en cas d’incident lié à la protection des données.

Oui

Commentaire

Utilisation d’un système de détection des intrusions ou de prévention (IDS/IPS)

x

 

Processus de détection et de notification d’incidents liés à la sécurité ou de violations de données (documentées)

x

 

Processus à appliquer après des incidents liés à la sécurité et de violations de données

x

 

Procédure de notification à appliquer en cas d’incidents liés à la sécurité et de violations de données

x

 

Implication du délégué à la protection des données en cas d’incidents liés à la sécurité et de violations de données

x

 

Identification systémique des points faibles en matière de sécurité

x

 

 

11.   Paramètres par défaut favorables à la protection des données (Privacy by Default)

Mesures sur le site web.

Oui

Commentaire

Nous utilisons les paramètres de configuration disponibles pour améliorer la protection des données et la sécurité informatique.

x

SoSafe

 

12.     Sécurité des données

Mesures prises pour sécuriser les données.

Oui

Commentaire

Nous utilisons des mesures de protection actuelles contre les codes malveillants, les virus et les logiciels malveillants.

x

SoSafe

Les connexions qui mènent à nos systèmes sont protégées par des procédés de cryptage et des mécanismes d’authentification appropriés.

x

 

Nous maintenons tous nos autres systèmes et les logiciels correspondants à jour et appliquons les mises à jour et mises à niveau de sécurité pertinentes.

x

 

Procédure de notification à appliquer en cas d’incidents liés à la sécurité et de violations de données

x

 

Dans la mesure où nous avons connaissance de failles dans la sécurité informatique, le prestataire externe respectif peut fournir des solutions pour y remédier dans un délai raisonnable.

x

 

 

13. TOM spécifique aux domaines

En raison du fait que Faigle SA est un domaine soumis à la législation de l'Autorité fédérale de surveillance des marchés financiers FINMA. Il existe pour ce domaine un TOM 2.1.309 TOM_BPO_Uster élargi.