Accord relatif au traitement de données pour le eAccess Cloud

Version 07/2021

Contexte

Le présent contrat de sous-traitance (CST) est intégré à la commande (confirmation de commande) et fait partie intégrante du contrat écrit conclu entre Glutz et le client (même s’il a été conclu sous forme électronique). Le présent CST s’applique aux données à caractère personnel traitées par Glutz et ses sous-traitants dans le cadre du eAccess Cloud.

Les Annexes 1 et 2 font partie intégrante du présent CST. Elles définissent l’objet convenu, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées et les mesures techniques et organisationnelles applicables.

Glutz et le client conviennent qu’il est de la responsabilité de chacune des parties d’examiner et d’adopter les exigences imposées aux responsables du traitement et aux sous-traitants par la loi fédérale sur la protection des données (LPD) et/ou par le Règlement général sur la protection des données 2016/679 (RGPD), si et dans la mesure où ces exigences sont applicables aux données à caractère personnel du client/du responsable du traitement traitées dans le cadre de la fourniture de la prestation.

Glutz agit en tant que sous-traitant et le client, ainsi que les personnes morales auxquelles le client permet d’utiliser le eAccess Cloud, agissent en tant que responsables du traitement dans le cadre du présent CST. Le client est le seul point de contact et sera seul responsable de l’obtention de l’ensemble des autorisations, approbations et consentements nécessaires pour le traitement des données à caractère personnel conformément au présent CST ainsi que, le cas échéant, de l’obtention du consentement du responsable du traitement à l’utilisation du eAccess Cloud en tant que sous-traitant. Dans la mesure où le client fournit des autorisations, des approbations, des instructions ou des consentements, ils ne sont pas uniquement fournis au nom du client mais aussi au nom d’autres responsables du traitement utilisant le eAccess Cloud. Si Glutz fournit des informations au client ou lui transmet des messages, ces informations ou ces messages sont réputés avoir été reçus par les responsables du traitement auxquels le client permet d’utiliser le eAccess Cloud. Il incombe au client de transmettre ces informations et messages aux responsables du traitement concernés.

 

1. Nature et finalité du traitement, lieu du traitement, type de données, catégories de personnes concernées

La nature et la finalité du traitement des données à caractère personnel, les catégories de données et les catégories de personnes concernées sont listées à l’Annexe 1 du présent CST.
 

2. Champ d’application territorial

Le traitement des données a lieu exclusivement en Suisse, au sein de l’Union européenne (UE) ou dans un autre État signataire de l’accord sur l’Espace économique européen (EEE).

Un traitement dans d’autres États est uniquement autorisé avec le consentement écrit préalable du client et uniquement dans la mesure où il existe une décision d’adéquation de la Commission européenne ou si le niveau de protection des données est garanti par d’autres garanties appropriées.

3. Responsabilité des données et instructions

Glutz traite exclusivement des données à caractère personnel dans le cadre des accords passés et/ou dans le respect des éventuelles instructions complémentaires fournies par le client, sauf dispositions légales imposant le cas échéant à Glutz de procéder à un autre traitement. Dans un tel cas, Glutz notifiera au client ces exigences légales avant le traitement dans la mesure où le droit concerné n’interdit pas une telle notification en raison d’un intérêt public essentiel. Dans les autres cas, la finalité, la nature et l’étendue du traitement des données dépendent exclusivement du présent CST et/ou des instructions du client.

Glutz informera immédiatement le responsable du traitement s’il estime qu’une instruction contrevient à des dispositions légales. Glutz est autorisé à interrompre l’exécution de l’instruction concernée tant que celle-ci n’a pas été confirmée ou modifiée par le client.

Glutz agira uniquement au nom de et dans l’intérêt du client. Le client reste le seul responsable du traitement en ce qui concerne les données du client et garantit que les données mises à la disposition de Glutz sont traitées de manière licite (par ex. licéité de la collecte, respect de l’obligation d’information), que les droits des personnes concernées sont respectés et que les données du client peuvent être traitées par Glutz.
 

4. Mesures techniques et organisationnelles

Dans son domaine de responsabilité, Glutz prendra toutes les mesures techniques et organisationnelles nécessaires pour garantir une protection appropriée des données du client afin de protéger les données contre une destruction accidentelle ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisés, de sorte qu’un niveau approprié de sécurité des données soit garanti compte tenu des risques du traitement des données et du type des données traitées (des détails sont disponibles à l’Annexe 2 qui fait partie intégrante du présent CST).

À tout moment et sans notification préalable, Glutz peut modifier les mesures listées à l’Annexe 2 dans la mesure où les nouvelles mesures assurent un niveau de sécurité comparable ou supérieur. Des mesures individuelles peuvent être remplacées par de nouvelles mesures servant un même objectif sans compromettre le niveau de sécurité de la protection des données à caractère personnel.
 

5. Collaboration

Les parties s’informeront mutuellement et immédiatement si elles ont connaissance de perturbations dans le traitement commandé et/ou de manquements aux dispositions légales et/ou au présent CST.

Conformément aux instructions du client, Glutz prendra des mesures raisonnables afin d’exclure toute divulgation illicite à des tiers et/ou d’éviter que les personnes concernées ne subissent davantage de dommages. Jusqu’à réception d’instructions du client, Glutz prendra toutes les mesures nécessaires pour sauvegarder les données et réduire le dommage à un minimum.

Sur demande du client et aux frais de ce dernier, Glutz fournira au client des informations sur le traitement commandé dans les plus brefs délais. Chacune des parties devra d’autre part respecter ses obligations légales d’information.

Dans la mesure du possible, Glutz aidera le client, aux frais de ce dernier, à respecter ses obligations légales, notamment les obligations relatives à la sécurité des données à caractère personnel, les obligations de notification en cas de violation des données, les obligations d’information vis-à-vis des personnes concernées et des autorités de contrôle, les analyses d’impact relatives à la protection des données et les consultations préalables.
 

6. Documentations et contrôles

Glutz exécutera et contrôlera régulièrement le traitement commandé, en particulier les mesures techniques et organisationnelles convenues (et les modifications de ces mesures autorisées), de manière professionnelle et établira sur demande et aux frais du client une documentation écrite résumant toutes les mesures prises.

Par écrit ou dans un format électronique documenté, Glutz informera immédiatement le client des contrôles et des mesures effectués par les autorités de contrôle sur le traitement commandé, y compris sur les informations fournies.

En ce qui concerne le traitement des données fournies par le client, ce dernier est en droit d’inspecter et de contrôler le traitement des données. Le client doit respecter un délai de notification de 10 jours ouvrables. Glutz s’engage à mettre à disposition du client, aux frais de ce dernier, toute information nécessaire au contrôle du respect des obligations mentionnées dans le présent accord. Si le client mandate un tiers pour exécuter le contrôle, le client devra imposer par écrit au tiers de respecter le secret et la confidentialité des données. Sur demande de Glutz, le client devra présenter à Glutz l’accord passé avec le tiers. Le client n’est pas autorisé à mandater des concurrents de Glutz pour réaliser le contrôle.
 

7. Sous-traitance à des sous-traitants indirects

Les dispositions suivantes s’appliquent aussi bien aux relations de sous-traitance avec des sous-traitants indirects se rapportant directement à la fourniture de la prestation principale qu’aux relations dans lesquelles un accès à des données à caractère personnel ne peut pas être exclu, par ex. dans le cadre de la maintenance et du service client.

Glutz peut faire appel à des sous-traitants indirects. Il en informe le client par écrit au préalable (un e-mail est suffisant). Si le client ne s’y oppose pas dans un délai de 14 jours, son consentement est réputé acquis. Si le client s’oppose à la sous-traitance et si les parties ne parviennent pas à trouver un accord mutuel, le client se verra accorder un droit de résiliation extraordinaire en ce qui concerne la prestation concernée. Le transfert des données à caractère personnel du client au sous-traitant indirect ainsi que sa première intervention et ses interventions futures ne sont autorisés que si les conditions suivantes sont satisfaites de façon cumulative :

- Le client ne s’est pas opposé au recours au sous-traitant indirect.

- Glutz doit imposer par écrit au sous-traitant indirect de respecter les dispositions du présent CST avant de lui transmettre les données du client.

- Glutz doit régulièrement contrôler le respect des obligations contractuelles par le sous-traitant indirect.

- Si le sous-traitant indirect fournit la prestation convenue depuis un pays en dehors de l’UE/de l’EEE, Glutz veillera à la licéité de cette prestation au regard du droit relatif à la protection des données par des mesures correspondantes.
 

8. Mandatement

Au début de la relation de sous-traitance, le client approuve le mandatement des sous-traitants indirects listés à l’Annexe 3.

Glutz aura veillé contractuellement à ce que les dispositions convenues ici entre le client et Glutz soient également applicables aux sous-traitants indirects listés à l’Annexe 3.
 

9. Confidentialité

Dans l’exécution de ses tâches, Glutz ne fera intervenir que des collaborateurs tenus à la confidentialité et ayant été préalablement familiarisés avec les dispositions relatives à la protection des données qui les concernent. Glutz et les collaborateurs pourront uniquement traiter les données du client conformément au présent contrat et aux instructions du responsable du traitement, à moins qu’ils ne soient légalement tenus au traitement.

Glutz gardera strictement confidentiels les informations et les documents reçus dans le cadre du traitement commandé, en particulier les données du client. Les obligations de secret/confidentialité continuent de s’appliquer de façon illimitée après la fin du présent CST.

L’obligation de confidentialité ne s’applique pas ou expire lorsque les informations et les documents étaient déjà connus du public ou de Glutz à la conclusion du CST ou deviennent connus du public après la conclusion du présent CST sans que Glutz ne soit responsable de cette situation ou si Glutz prend connaissance de ces documents et informations via un tiers, sous réserve que ce tiers ne contrevienne pas à une obligation de confidentialité personnelle en transmettant ces informations.
 

10. Fin du contrat

Une fois les prestations de traitement fournies, Glutz devra, à la discrétion du client, effacer toutes les données à caractère personnel ou les restituer et supprimer les copies réalisées s’il n’existe aucune obligation de conservation des données à caractère personnel.
 

 

Annexe 1 : Objet du contrat

Exportateur de données

L’exportateur de données est le client utilisant le eAccess Cloud, qui permet aux utilisateurs autorisés de saisir, modifier, utiliser, supprimer ou traiter de toute autre manière les données à caractère personnel. Lorsque le client autorise d’autres responsables du traitement à également utiliser le eAccess Cloud, ces autres responsables du traitement tiennent également lieu d’exportateurs des données.
 

Importateur de données

Glutz et ses sous-traitants indirects fournissent le service eAccess Cloud qui comprend l’assistance suivante :

  • La surveillance du eAccess Cloud
  • La sauvegarde et la restauration des données du client enregistrées dans le eAccess Cloud
  • La publication et le développement de correctifs et de mises à jour pour le eAccess Cloud
  • La surveillance, le dépannage et la gestion de l’infrastructure et de la base de données sur lesquelles le service eAccess Cloud est basé
  • Le contrôle de la sécurité

Les données sont situées sur le serveur de Glutz en Suisse et / ou chez un sous-traitant indirect en Suisse.
 

Personnes concernées

Sauf indication contraire par l’exportateur des données, les données à caractère personnel transmises appartiennent généralement à l’une des catégories de personnes concernées suivantes :

  • Résidents
  • Locataires
  • Clients d’hôtels
  • Collaborateurs
  • Sous-traitants
  • Partenaires commerciaux
  • Autres personnes dont les données à caractère personnel sont enregistrées sur le eAccess Cloud
     

Catégories de données

Les données à caractère personnel transmises concernent les catégories de données suivantes : Le client définit les catégories de données dans le eAccess Cloud. Le client peut configurer les champs de données pendant l’implémentation du eAccess Cloud ou de toute autre façon autorisée dans le eAccess Cloud. Les données à caractère personnel transmises appartiennent généralement à l’une des catégories de données suivantes :

  • Coordonnées (en particulier nom, prénom, adresse, numéro de téléphone, adresse e-mail)
  • Données de mobilité (enregistrement des accès/tentatives d’accès)
  • Données d’accès au système/d’utilisation du système/de correction du système
  • Données spécifiques à l’utilisation saisies dans le eAccess Cloud par les utilisateurs autorisés du client
  • Identification du smartphone, code Pin
     

Catégories particulières de données (si applicable)

Aucune catégorie de données particulière n’est collectée.
 

Finalités de la transmission et du traitement des données

La nature et la finalité de la transmission des données à caractère personnel sont les suivantes :

  • L’utilisation des données à caractère personnel afin de configurer, d’exploiter, de surveiller et de mettre à disposition le eAccess Cloud (incluant l’assistance opérationnelle et technique)
  • La communication avec les utilisateurs autorisés
  • Le chargement des correctifs ou des mises à jour
  • La création de copies de sauvegarde
  • Le traitement assisté par ordinateur des données à caractère personnel, y compris le transfert des données, la consultation des données, l’accès aux données
  • L’accès au réseau afin de permettre le transfert des données à caractère personnel
  • L’exécution des instructions du client conformément à l’accord
     

Destinataires

Les données à caractère personnel transmises peuvent uniquement être divulguées aux destinataires ou aux catégories de destinataires suivants :

  • Parties au contrat
  • Prestataires externes

 

 

 

Annexe 2 : Mesures techniques et organisationnelles

Les mesures techniques et organisationnelles actuellement mises en place par Glutz sont définies ci-après. Glutz peut à tout moment modifier ces mesures sans notification préalable dans la mesure où un niveau de sécurité similaire ou supérieur est assuré. Les mesures individuelles peuvent être remplacées par de nouvelles mesures servant le même objectif sans réduire le niveau de sécurité de la protection des données à caractère personnel.
 

Contrôle des entrées

Les personnes non autorisées se voient refuser l’accès physique aux installations, bâtiments et locaux dans lesquels se trouvent des systèmes de traitement des données qui traitent ou utilisent des données à caractère personnel.

Mesures techniques :

  • Sécurisation des portes avec des verrous de sécurité et/ou un système de badge
  • Enregistrement des accès
     

Mesures organisationnelles :

  • Politiques et directives – accès uniquement pour les personnes autorisées
  • Concept de zones avec différents niveaux de sécurité et différentes autorisations d’accès
     

Contrôle d’accès :

Les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement des données.

Mesures techniques :

  • Accès uniquement avec un compte utilisateur et un mot de passe et, le cas échéant, un deuxième facteur
  • Enregistrement de tous les accès
     

Mesures organisationnelles :

  • Politiques et directives – accès uniquement pour les personnes autorisées, nombre minimal d’administrateurs
  • Comptes utilisateur personnalisés
     

Contrôle de l’accès aux données

Les personnes autorisées à utiliser les systèmes de traitement des données reçoivent uniquement l’accès aux données à caractère personnel pour lesquelles ils disposent de droits d’accès et les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées de façon non autorisée pendant le traitement, l’utilisation ou l’enregistrement. Les systèmes de traitement des données sont protégés contre une utilisation non autorisée.

Mesures techniques :

  • Enregistrement des accès avec identification sur l’application
     

Mesures organisationnelles :

  • Contrôle des autorisations
  • Nombre minimal d’administrateurs
  • Gestion des droits utilisateurs par les administrateurs
     

Contrôle du transfert des données

Le contrôle du transfert des données doit garantir que les données à caractère personnel ne sont pas lues, copiées, modifiées ou effacées de façon illicite lors du transfert électronique, de leur transport ou de leur enregistrement sur des supports de données et doit permettre de vérifier et de constater pour quels organismes un transfert des données à caractère personnel est prévu par des dispositifs de transfert des données.

Mesures techniques :

  • Connexion chiffrée (https)
  • Accès au serveur via un VPN
     

Mesures organisationnelles :

  • À tout moment, les accès sont uniquement possibles aux endroits autorisés (gestion des installations)
     

Contrôle de la saisie

Il est possible d’enquêter et de déterminer rétrospectivement si, par qui et quand des données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données.

Mesures techniques :

  • Les accès aux pare-feu et à l’application sont consignés dans des fichiers journaux
     

Mesures organisationnelles :

  • Attribution de rôles et de droits sur la base d’un concept d’autorisation
  • Saisie des données (par ex. commentaires), traçable grâce à un nom d’utilisateur individuel et personnel (pas de groupes d’utilisateurs)
  • Compétences claires pour la gestion des rôles (création et suppression des utilisateurs)
  • L’autorisation d'accès aux données personnelles peut être paramétrée. Seules les personnes désignées peuvent accéder aux données personnelles et les modifier. Disponibilité et intégrité
     

Contrôle de la sous-traitance

Les données à caractère personnel traitées en sous-traitance sont traitées exclusivement dans le cadre du présent contrat et des instructions correspondantes de l’exportateur des données.

Mesures :

  • Contrats formulés sans ambiguïté
  • Transmission des exigences propres en matière de protection et de sécurité des données au sous-traitant
  • Mandatement formel
  • Critères de sélection du sous-traitant (en particulier les critères en matière de protection des données)
  • Le cas échéant, conclusion de clauses contractuelles types de l’UE
  • Assurance que le sous-traitant a nommé un délégué à la protection des données (si cette nomination est obligatoire)
  • Mise en place de droits de contrôle efficaces
  • Obligation des collaborateurs à la confidentialité et à la préservation du secret des données
  • Surveillance continue de l’exécution du contrat conformément aux instructions (contrôle du travail)
  • Assurance que l’ensemble des données sont définitivement supprimées par le sous-traitant à la fin de la relation contractuelle
  • Disposition sur le recours à des sous-traitants supplémentaires
     

Contrôle de la disponibilité

Les données à caractère personnel sont protégées contre une destruction ou une perte accidentelle ou non autorisée.

Mesures techniques :

  • Système de détection et de protection contre les incendies
  • Climatisation
  • ASI
  • Systèmes de sauvegarde RAID
  • Sauvegardes
     

Mesures organisationnelles :

  • Maintenance régulière des infrastructures et des systèmes
  • Contrôles périodiques
     

Contrôle de la séparation

Les données à caractère personnel collectées à des fins différentes peuvent être traitées de manière séparée.

Mesures techniques :

  • Séparation physique (systèmes / bases de données / supports de données)
  • Architecture multi-tenant des applications pertinentes grâce à une base de données orientée objet
  • Utilisation d’une base de données orientée objet avec séparation des clients par une hiérarchisation. La hiérarchisation est directement liée au traversement de répertoire dans l’URL.
  • Les documents sont enregistrés par client dans une structure de dossiers distincte.
     

Mesures organisationnelles :

  • Commande via un concept d’autorisation
  • Fixation de droits concernant les bases de données
     

Pseudonymisation

Mesures techniques :

  • Anonymisation des données et utilisation anonyme à des fins statistiques

 

 

 

Annexe 3 : Sous-traitants indirects autorisés

 

Nom : Xelon SA

Adresse : Poststrasse 15, 6300 Zoug

Contenu du contrat : hébergement de serveur

 

 

Votre accès aux conseils

Contacter le service de conseils de notre partenaire Glutz

Notre partenaire Glutz est là pour vous assister et vous conseiller.

Contact

Contacter le service de conseils Glutz

Nous sommes là pour vous assister et vous conseiller.

Contact