Accord de traitement des données

1. Introduction, champ d'application, définitions

Cet accord régit les droits et obligations du Responsable du traitement et du Sous-traitant dans le cadre du traitement de données personnelles sur mandat.

2. Objet et durée du traitement

Le Sous-traitant effectue le traitement suivant : Traitement de données personnelles provenant de l'utilisateur et avec lesquelles Triventa entre en contact.

Le traitement est basé sur la fourniture de l'application web «Triventa» comme service via Internet en tant que Software as a Service.

3. Type, objectif et personnes concernées du traitement des données

3.1 Type de traitement

Le Sous-traitant traite les données personnelles dans le cadre de l'exploitation de l'application web «Triventa» en tant que solution Software-as-a-Service basée sur le cloud.

Le traitement comprend notamment :

• Stockage, structuration, évaluation et gestion des données saisies par le Responsable du traitement
• Gestion des utilisateurs incl. authentification et contrôle d'accès basé sur les rôles
• Gestion des rendez-vous et des réunions incl. coordination externe des rendez-vous
• Envoi d'e-mails pertinents pour le système
• Traitement temporaire des données de calendrier dans le cadre de la coordination des rendez-vous

3.2 Objectif du traitement

Le traitement des données personnelles est effectué exclusivement aux fins suivantes :

• Organisation et gestion numériques des organisations (entreprises)
• Gestion des utilisateurs, des rôles et des responsabilités organisationnelles
• Planification, coordination et confirmation des rendez-vous et des réunions
• Intégration de services de calendrier externes (Google Calendar, Microsoft Outlook)
• Exploitation, maintenance, dépannage et développement de l'application web «Triventa»

3.3 Type de données

Dans le cadre de Triventa, les catégories suivantes de données personnelles sont traitées :

• Données de base (nom, prénom, organisation)
• Données de contact (adresse e-mail, numéro de téléphone optionnel)
• Données organisationnelles et d'utilisation
• Données d'authentification et de sécurité
• Données liées au calendrier (créneaux horaires et disponibilités)
• Données de communication
• Métadonnées techniques

4. Obligations du Sous-traitant

Le Sous-traitant traite les données personnelles exclusivement comme convenu contractuellement ou comme indiqué par le Responsable du traitement.

Le Sous-traitant s'engage à maintenir strictement la confidentialité lors du traitement.

Le traitement des données a lieu exclusivement en Suisse, dans l'UE ou dans l'EEE.

5. Sécurité du traitement

Les mesures de sécurité des données décrites dans les dispositions séparées sur la protection des données sont établies comme contraignantes.

Le Sous-traitant garantit que les données traitées sur mandat sont strictement séparées des autres stocks de données.

6. Réglementations pour la correction, la suppression et le blocage des données

Le Sous-traitant ne corrigera, supprimera ou bloquera les données traitées dans le cadre du contrat que conformément à l'accord contractuel conclu ou selon les instructions du Responsable du traitement.

7. Relations de sous-traitance

Le Responsable du traitement accepte que le Sous-traitant engage des sous-traitants pour fournir le service.

Triventa s'assure que des obligations de protection des données comparables à celles convenues dans cet accord ont été imposées contractuellement au sous-traitant.

8. Droits et obligations du Responsable du traitement

Le Responsable du traitement est seul responsable de l'évaluation de la licéité du traitement commandé et de la sauvegarde des droits des personnes concernées.

9. Obligations de notification

Le Sous-traitant informe immédiatement le Responsable du traitement des violations de la protection des données personnelles traitées sur mandat.

10. Instructions

Le Responsable du traitement se réserve un droit d'instruction complet en ce qui concerne le traitement sur mandat.

11. Fin du contrat

Après la fin du contrat selon les CG, toutes les données personnelles seront supprimées au plus tard 3 mois après ou sur demande de l'utilisateur dans le rôle d'administrateur.

12. Responsabilité

Pour l'indemnisation des dommages qu'une personne subit en raison d'un traitement de données inadmissible ou incorrect dans le cadre de la relation contractuelle, le Responsable du traitement et le Sous-traitant sont responsables solidairement.

Annexe 1 – Mesures techniques et organisationnelles

Confidentialité

• Contrôle d'accès : Aucun stockage de données chez Triventa. Les logiciels et les données sont entièrement hébergés dans des centres de données externes.
• Contrôle de connexion : Mots de passe sécurisés, authentification JWT
• Contrôle d'accès : Triventa offre différents rôles d'accès
• Contrôle de séparation : Séparation des systèmes de test et de production

Intégrité

• Contrôle de transfert : Connexion sécurisée via HTTPS

Disponibilité et résilience

• Contrôle de disponibilité : Protection contre les dommages accidentels
• Récupérabilité : Stockage des données dans des magasins de données redondants, sauvegardes régulières

Annexe 2 – Sous-traitants approuvés

Remarque : Google et Microsoft sont utilisés exclusivement pour le traitement temporaire des disponibilités du calendrier.