Proton

Accord de traitement des données

Dernière modification : 23 septembre 2024

Le présent Accord de traitement des données (ci-après dénommé l'« Accord ») fait partie du Contrat de services dans le cadre des Conditions générales de Proton AG (ci-après, l'Accord principal ») entre Proton AG, sis Route de la Galaise 32, 1228 Plan-les-Ouates, Suisse, entreprise identifiée sous le numéro CHE-354.686.492 (dénommée le «Sous-traitant ») et l'Entreprise utilisant les services de Proton (dénommée l'« Entreprise »).

Le présent Accord régit les conditions spécifiques aux Lois sur la protection des données, dans la mesure où l'utilisation des Services Proton par l'Entreprise implique le traitement de Données à caractère personnel soumises auxdites lois.

Cet Accord complète notre Politique de confidentialité, laquelle constitue la référence de base de nos pratiques et mesures en matière de protection des données.

La durée du présent Accord correspond à celle de l'Accord principal. Les termes qui ne sont pas définis dans les présentes le sont dans l'Accord principal.


ATTENDU QUE

A) L'Entreprise agit en tant que Responsable du traitement des données (ci-après, le « Responsable du traitement »).

B) L'Entreprise souhaite sous-traiter certains Services (tels que définis ci-après) impliquant le traitement de Données à caractère personnel, à Proton AG, agissant en qualité de Sous-traitant des données (le « Sous-traitant »).

C) Les Parties souhaitent appliquer un accord de traitement des données répondant aux exigences du cadre juridique actuel en matière de traitement des données et conforme au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques concernant le traitement des Données à caractère personnel, et à la libre circulation de ces données, et annulant la Directive 95/46/EC (Règlement général sur la protection des données) et d'autres lois applicables en matière de protection des données.

D) Les Parties souhaitent définir leurs droits et leurs obligations.


IL EST CONVENU DE CE QUI SUIT :

1. Définitions et interprétation

Sauf mention contraire dans les présentes, les termes et expressions commençant par une majuscule utilisés dans cet Accord revêtent la signification suivante :

1.1) « Accord » : le présent Accord de traitement des données et toutes ces Annexes ;

1.2) « Données à caractère personnel de l'Entreprise » : données à caractère personnel relatives à l'Entreprise ou à ses clients ou employés, traitées dans le cadre de l'Accord principal ;

1.3) « Sous-traitant sous contrat » : désigne un Sous-traitant indirect ;

1.4) « Lois sur la protection des données » : lois sur la protection des données de l'UE et, dans la mesure où elles sont applicables, les lois sur la protection des données ou sur le respect de la vie privée de tout autre pays ;

1.5) « EEE » : acronyme d'Espace économique européen ;

1.6) « Lois sur la protection des données de l'UE » : renvoie à la Directive de l'UE 95/46/CE, telle qu'elle a été transposée dans la législation nationale de chacun de ses États membres, et amendée, remplacée ou supplantée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;

1.7) « RGPD » : acronyme de Règlement général sur la protection des données de l'UE 2016/679 ;

1.8) Le terme « Transfert des données » désigne :

  • 1.8.1) un transfert des Données à caractère personnel de l'Entreprise du Responsable du traitement au Sous-traitant ou à un Sous-traitant sous contrat ; ou
  • 1.8.2) un transfert ultérieur des Données à caractère personnel de l'Entreprise du Sous-traitant à un Sous-traitant indirect, ou entre deux établissements d'un Sous-traitant indirect ;

1.9) Les « Services » renvoient aux services sécurisés en ligne fournis par le Sous-traitant, tels que la messagerie électronique, le calendrier, le Drive et tout autre service développé par le Sous-traitant. Les détails et les tarifs des Services sont disponibles sur le site internet du Sous-traitant.

1.10) « Sous-traitant indirect » : désigne toute personne nommée par le Sous-traitant, ou agissant en son nom, en vue de traiter les Données à caractère personnel pour le compte du Responsable du traitement dans le cadre de l'Accord.

Les termes « Commission », « Responsable du traitement », « Personne concernée », « État membre », « Données à caractère personnel », « Violation de données à caractère personnel », « Traitement » et « Autorité de contrôle » revêtent la signification qui leur est donnée dans le RGPD ou toute autre Loi sur la protection des données applicable, et leurs termes apparentés doivent être interprétés en conséquence.

2. Traitement des données à caractère personnel de l'Entreprise

Le Sous-traitant s'engage :

2.1) à respecter toutes les Lois sur la protection des données applicables lors du Traitement des Données à caractère personnel de l'Entreprise ;

2.2) à ne pas traiter les Données à caractère personnel de l'Entreprise autrement que dans le strict respect des instructions du Responsable du traitement documentées à la section 2.

Le Responsable du traitement demande au Sous-traitant de traiter les Données à caractère personnel de l'Entreprise aux fins suivantes :

2.3) fournir les Services et le support technique associé ;

2.4) remplir les obligations légales ou résoudre les conflits ;

2.5) réaliser toute tâche interne destinée à optimiser la sécurité, le respect de la vie privée, la confidentialité et les fonctionnalités des Services ;

2.6) procéder aux activités de reporting interne, de reporting financier et de toute autre tâche interne similaire.

3. Personnel du Sous-traitant

Le Sous-traitant s’engage à prendre toutes les mesures raisonnables permettant de garantir la fiabilité de tout employé, agent ou entrepreneur d’un Sous-traitant sous contrat susceptible d’avoir accès aux Données à caractère personnel de l’Entreprise, en s’assurant à chaque fois que l’accès est strictement réservé aux seules personnes qui ont besoin de connaître les Données à caractère personnel de l’Entreprise ou d’y accéder, dans la mesure où cela est strictement nécessaire aux fins de l’Accord principal, et/ou pour se conformer aux Lois sur la protection des données et toute autre législation pertinente dans le cadre des responsabilités de cette personne envers le Sous-traitant sous contrat, en veillant à ce que ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou réglementaires de confidentialité.

4. Sécurité

Conformément à l’Article 32 (1) du RGPD, le Sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en prenant en compte les avancées technologiques, les coûts de mise en œuvre ainsi que la nature, le champ d'application, le contexte et les finalités du traitement. Ces mesures sont conçues pour protéger les droits et les libertés des personnes physiques, en tenant compte des risques de probabilité et de gravité variables, y compris celui d’une Violation de données à caractère personnel.

Le Sous-traitant s’engage également à évaluer les risques associés aux activités de traitement et à appliquer toute mesure conforme aux exigences stipulées à l’Article 32 (1) du RGPD, en garantissant à tout moment la sécurité des Données à caractère personnel de l’Entreprise.

5. Sous-traitance indirecte

Sous réserve des conditions du présent Accord, l'Entreprise accorde au Sous-traitant l’autorisation d'engager des Sous-traitants indirects et de leur divulguer ou de leur transférer les Données à caractère personnel de l'Entreprise. L'Entreprise reconnaît et approuve la liste des Sous-traitants indirects décrite dans la Politique de confidentialité du Sous-traitant, étant entendu que cette liste pourra faire l'objet de mises à jour régulières par le Sous-traitant, auquel cas l'Entreprise en sera informée par ce dernier conformément au processus de notification de la Politique de confidentialité. L’Entreprise autorise par ailleurs le Sous-traitant à divulguer et à transférer les Données à caractère personnel à toute entreprise de son groupe.

Le Sous-traitant conclut avec les Sous-traitants indirects un accord qui n'est pas moins restrictif et protecteur que le présent Accord relatif à la protection des Données à caractère personnel de l'Entreprise, dans la limite applicable à la nature des services fournis par le Sous-traitant indirect.

6. Droits des personnes concernées

Étant donné la nature du traitement, le Sous-traitant s'engage à aider raisonnablement l'Entreprise à remplir ses obligations d'honorer les demandes des Personnes concernées à exercer leurs droits en vertu des Lois sur la protection des données.

Le Sous-traitant s'engage :

6.1) à notifier l'Entreprise sans délai s'il reçoit une demande d'une Personne concernée dans le cadre d'une Loi sur la protection des données en rapport avec les Données à caractère personnel de l'Entreprise ; et

6.2) à ne répondre à ladite demande que si elle rentre dans le cadre des instructions documentées du Responsable du traitement ou des lois applicables auxquelles le Sous-traitant est soumis, auquel cas le Sous-traitant doit, dans la mesure permise par les lois applicables, informer le Responsable du traitement de cette exigence légale avant que le Sous-traitant sous contrat ne réponde à la demande.

7. Violation de données à caractère personnel

Le Sous-traitant gère toute Violation de données à caractère personnel conformément aux Lois sur la protection des données applicables et à ses procédures internes. Dans l'éventualité où une Violation de données à caractère personnel viendrait à affecter les données à caractère personnel de l'Entreprise, le Sous-traitant s'engage à en informer l'Entreprise sans délai, en lui communiquant des informations suffisamment détaillées pour lui permettre de s'acquitter de ses obligations en vertu des Lois sur la protection des données, y compris celle d'informer les Personnes concernées le cas échéant. Lorsque cela se produit, le Sous-traitant doit fournir à l'Entreprise les informations suffisantes pour lui permettre de s'acquitter de ses obligations de signalement ou d'information auprès des Personnes concernées, conformément aux Lois sur la protection des données.

Le Sous-traitant coopère avec l'Entreprise et prend les mesures commerciales raisonnables, sur les instructions de l'Entreprise, afin de l'aider à examiner, atténuer et résoudre le problème de Violation de données à caractère personnel.

Chaque partie devra supporter les coûts de l'examen, de l'atténuation et de la résolution, et tous les autres coûts associés, dans la mesure où elle est responsable de la Violation de données.

Chacune des parties s'engage à supporter les coûts des amendes, sanctions, dommages ou tout autre montant associé imposé par un organisme réglementaire autorisé, une agence gouvernementale ou un tribunal compétent dès lors qu'ils découlent du non-respect par une telle partie de ses obligations en vertu du présent Accord.

8. Analyse d'impact relative à la protection des données et consultation préalable

Le Sous-traitant apporte à l'Entreprise une assistance raisonnable relative aux analyses d'impact sur la protection des données et les consultations préalables avec les Autorités de contrôle ou toute autre autorité compétente dans le domaine de la confidentialité des données, qu'il considère raisonnablement être nécessaire en vertu de l'Article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre Loi sur la protection des données, uniquement en lien avec le Traitement des données à caractère personnel de l'Entreprise par les Sous-traitants sous contrat, selon la nature du Traitement et des informations disponibles pour ces derniers.

9. Suppression ou restitution des données à caractère personnel de l'Entreprise

En cas d'arrêt des Services nécessitant le Traitement des Données à caractère personnel de l'Entreprise, le Sous-traitant s'engage à supprimer toutes les Données à caractère personnel de l'Entreprise, dans la mesure permise par les lois applicables et conformément à ses Conditions générales et à sa Politique de confidentialité. Dans les cas où l'Entreprise aurait besoin d'une copie de ses données, elle doit en faire la demande avant la suppression de son compte. Les demandes transmises une fois le compte supprimé ne pourront être honorées.

10. Droits d'audit

Sous réserve des conditions de cette section 10, le Sous-traitant s'engage à mettre à la disposition de l'Entreprise, à sa demande, toutes les informations permettant de prouver sa conformité au présent Accord, et à consentir et à participer aux audits, y compris aux inspections, réalisés par l'Entreprise ou un auditeur mandaté par cette dernière en lien avec le Traitement des Données à caractère personnel de l'Entreprise par les Sous-traitants sous contrat. L'Entreprise ne peut pas exercer ses droits en matière d'audit plus d'une fois par année civile, sauf en cas de Violation de données à caractère personnel ou de demande express émise par une autorité de réglementation. L'Entreprise s'engage à informer le Sous-traitant par écrit au moins soixante (60) jours à l'avance de son intention de réaliser un audit en vertu du présent Accord. L'audit doit être réalisé durant les heures de travail du Sous-traitant, de manière à ne pas perturber ses activités, et doit garantir la protection des Données à caractère personnel de l'Entreprise, du Sous-traitant et de toute autre Personne concernée. Le Sous-traitant et l'Entreprise s'accordent à l'avance sur la date, le champ d'application et la durée, ainsi que sur les contrôles de sécurité et de confidentialité requis lors de l'audit. L'Entreprise reconnaît que la signature d'un accord de non-divulgation pourra être requise par le Responsable du traitement avant la réalisation de l'audit.

Les droits relatifs à l'information et à l'audit de l'Entreprise ne peuvent découler que de la section 10, dans la mesure où l'Accord ne lui octroie pas, par ailleurs, des droits à l'information et à l'audit répondant aux exigences des Lois sur la protection des données.

11. Transfert des données

Dans la mesure du possible, le Sous-traitant s'engage à ne transférer les données ou à n'accorder leur transfert, que dans les pays de l'UE, en Suisse et/ou dans les pays relevant d'une décision d'adéquation, conformément à l'art. 45 du RGPD et à l'art. 16 du FADP suisse. Si les Données à caractère personnel traitées dans le cadre du présent Accord sont transférées depuis la Suisse ou tout pays de l’UE, ou depuis tout pays relevant d’une décision d’adéquation vers un pays exclu de ce champ d’application, les Parties s’engagent à ce qu'elles fassent l'objet d'une protection adéquate. À cette fin, les Parties transfèrent les Données à caractère personnel en s'appuyant, sauf accord contraire, sur les clauses contractuelles types approuvées par la Suisse, l’UE et/ou le Royaume-Uni alors en vigueur, ou toute autre méthode de transfert prévue par les Lois sur la protection des données. Le Sous-traitant est autorisé à procéder à de tels transferts vers les Sous-traitants indirects, sous réserve que des mesures de protection adéquates aient été mises en œuvre quant à la nature du transfert.

12. Conditions générales

Conformité aux Lois applicables. Le Sous-traitant traitera les Données à caractère personnel de l'Entreprise conformément au présent Accord et aux Lois sur la protection des données applicables à son rôle dans le cadre du présent Accord. Le Sous-traitant n'est pas responsable du respect des Lois sur la protection des données qui s'appliqueraient uniquement à l'Entreprise du fait de son activité ou de son secteur d'activité.

Confidentialité. Chaque partie s'engage à garder confidentielles les informations qu’elle reçoit sur l’autre partie et son activité en lien avec le présent Accord (les « Informations confidentielles ») et à ne pas les utiliser ni les divulguer sans avoir obtenu au préalable le consentement écrit de l'autre partie, sauf dans les cas suivants :

(a) ladite divulgation est requise par la loi ;

(b) les informations en question sont déjà tombées dans le domaine public sans que les Parties en soient responsables.

Avis. L'ensemble des avis et des communications échangés dans le cadre du présent Accord doivent l'être par écrit et par e-mail. Le Responsable du traitement est informé par le biais d'un e-mail envoyé à l'adresse associée à l'utilisation des Services en vertu de l'Accord principal. Le Sous-traitant doit être notifié par le biais d’un e-mail envoyé à l’adresse suivante : legal@proton.me.

Loi applicable et juridiction compétente. Le présent Accord est régi par la loi Suisse, indépendamment du choix ou des conflits de dispositions légales de toute juridiction contraires, et les litiges, actions, réclamations ou causes d'action découlant directement ou indirectement du présent Accord, d'un bon de commande, d'un document référencé, de la technologie Proton ou des Services sont soumis à la juridiction exclusive de Genève, en Suisse.