Contrat de sous-traitance

Conformément à l’article 28 du RGPD et à l’article 9 de la Loi fédérale suisse sur la protection des données (LPD)

Version 2.0 | Dernière mise à jour : 10 juin 2026 | Remplace la version 1.0

Préambule

Le sous-traitant fournit au responsable du traitement des prestations conformément au contrat principal conclu séparément (contrat de licence ou contrat de partenariat). Dans le cadre de ces prestations, le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement. Le présent contrat concrétise les obligations des parties contractantes en matière de protection des données conformément à l’art. 28 RGPD et à l’art. 9 LPD (Suisse).

1 Objet, nature et finalité du traitement

(1)  L’objet du mandat est la génération automatisée de déclarations de protection des données, l’exploitation d’une solution de gestion du consentement ainsi que la création de mentions légales pour les sites web du responsable du traitement ou de ses clients finaux, dans le cadre de l’utilisation de la solution logicielle SaaS « PrivacyBee ».

(2)  La nature et la finalité du traitement résultent du contrat principal. Le traitement comprend la collecte, la conservation et le traitement des catégories de données mentionnées au § 2 aux fins de l’exécution de cette prestation.

(3)  Lieu de traitement et transferts vers des pays tiers. Le traitement a lieu principalement en Suisse et/ou dans l’Espace économique européen (EEE). Pour le transfert de données de l’EEE vers la Suisse, la décision d’adéquation de la Commission européenne s’applique.

Dans la mesure où le sous-traitant recourt, pour la fourniture de la prestation, à des sous-traitants ultérieurs qui traitent des données à caractère personnel dans des pays tiers dépourvus de décision d’adéquation, cela s’effectue exclusivement sur la base de garanties appropriées au sens de l’art. 46 RGPD (en particulier les clauses contractuelles types de l’UE, CCT 2021/914) ou d’une décision d’adéquation valable. Les sous-traitants ultérieurs employés, l’emplacement de leurs serveurs et les mécanismes de transfert applicables sont intégralement énumérés à l’annexe 2.

Pour le recours à OpenAI L.L.C. / OpenAI Ireland Ltd. (génération des mentions légales, Use Case B), une analyse d’impact relative au transfert (Transfer Impact Assessment, TIA) conforme aux exigences de l’arrêt Schrems II est disponible (document : TIA-2026-001-OpenAI, état au 22 mai 2026). Le risque résiduel de ce transfert est évalué comme moyen et accepté de manière documentée. Le TIA est disponible sur demande auprès du sous-traitant.

(4)  Régime d’application parallèle RGPD / LPD. Le présent contrat s’applique parallèlement au règlement (UE) 2016/679 (RGPD) et à la loi fédérale suisse sur la protection des données (LPD), y compris l’ordonnance sur la protection des données (OPDo). Les renvois à des dispositions particulières du RGPD doivent être compris, par analogie, comme des renvois aux dispositions correspondantes de la LPD, en particulier :

  • 4 ch. 7 RGPD (responsable du traitement) correspond à l’art. 5 let. j LPD ;
  • 28 RGPD (sous-traitance) correspond à l’art. 9 LPD ;
  • 32 RGPD (sécurité du traitement) correspond à l’art. 8 LPD en lien avec les art. 1 à 6 OPDo ;
  • 33 RGPD (notification des violations de données) correspond à l’art. 24 LPD ;
  • 35–36 RGPD (analyse d’impact relative à la protection des données) correspondent aux art. 22–23 LPD ;
  • 12–22 RGPD (droits des personnes concernées) correspondent aux art. 25–29 LPD.

2 Catégories de données et personnes concernées

(1)  Catégories de données traitées :

  • données de base des personnes (notamment nom, adresse, fonction) ;
  • données de communication (e-mail, téléphone) ;
  • données contractuelles et d’utilisation du logiciel ;
  • consentements recueillis auprès des visiteurs des sites web du responsable du traitement ;
  • identifiants techniques attestant le consentement (notamment adresse IP, horodatage, user-agent, informations sur l’appareil et le navigateur) ;
  • données de mentions légales accessibles publiquement des sites web du responsable du traitement ou de ses clients finaux (notamment nom / raison sociale, adresse, coordonnées des exploitants de sites web).

(2)  Catégories de personnes concernées :

  • clients commerciaux du responsable du traitement ;
  • collaborateurs et interlocuteurs du responsable du traitement ;
  • visiteuses et visiteurs des sites web du responsable du traitement ou de ses clients finaux ;
  • exploitants de sites web en tant que clients finaux du responsable du traitement (y compris entreprises individuelles et personnes physiques en qualité de titulaires).

3 Conclusion et durée

(1)  Conclusion automatique. Le présent contrat est conclu automatiquement dès que le responsable du traitement

  • active une licence payante pour le logiciel PrivacyBee (passage au statut « Active » selon le § 4.1a du contrat principal), ou
  • démarre une phase d’essai (Trial) pour le logiciel PrivacyBee,

et que des données à caractère personnel au sens du § 2 sont traitées à cette occasion. Aucune signature distincte du présent contrat par le responsable du traitement n’est nécessaire. L’activation de la licence ou de la phase d’essai vaut acceptation du présent contrat. Le responsable du traitement est informé du présent contrat lors de l’activation et en reçoit une copie.

(2)  Le présent contrat court aussi longtemps que le contrat principal existe ou aussi longtemps que le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement, le moment le plus tardif étant déterminant.

(3)  Le responsable du traitement peut résilier le présent contrat de manière extraordinaire si le sous-traitant viole gravement ses obligations, n’exécute pas une instruction légitime ou refuse les droits de contrôle en violation du contrat.

4 Responsabilité et instructions

(1)  Le responsable du traitement est le responsable au sens de l’art. 4 ch. 7 RGPD, respectivement de l’art. 5 let. j LPD, et assume la responsabilité, en matière de protection des données, de la licéité du traitement.

(2)  Le sous-traitant traite les données à caractère personnel exclusivement sur instruction documentée du responsable du traitement, sauf obligation légale. Dans ce dernier cas, le sous-traitant informe le responsable du traitement avant le traitement, à moins que le droit ne l’interdise.

(3)  Si le sous-traitant estime qu’une instruction est illicite, il en informe le responsable du traitement sans délai. Il peut suspendre l’exécution jusqu’à clarification.

(4)  Les instructions peuvent être données sous forme textuelle, y compris au moyen des possibilités de configuration prévues dans le contrat principal ou dans le logiciel.

5 Confidentialité

Le sous-traitant n’emploie, pour l’exécution du mandat, que des personnes qui se sont engagées à la confidentialité (art. 28 al. 3 let. b RGPD, respectivement art. 9 al. 1 LPD) et qui sont familiarisées avec les dispositions applicables en matière de protection des données.

6 Sécurité des données

(1)  Le sous-traitant prend les mesures techniques et organisationnelles nécessaires conformément à l’art. 32 RGPD, respectivement à l’art. 8 LPD en lien avec les art. 1 à 6 OPDo. Les mesures concrètes résultent de l’annexe 1.

(2)  Le sous-traitant peut mettre en œuvre des mesures alternatives, pour autant que le niveau de sécurité soit maintenu. Les modifications substantielles sont documentées et communiquées au responsable du traitement sous forme textuelle.

7 Sous-traitants ultérieurs

(1)  Le responsable du traitement autorise de manière générale le recours à des sous-traitants ultérieurs (art. 28 al. 2 phr. 2 RGPD, respectivement art. 9 al. 1 let. b LPD). Les sous-traitants ultérieurs employés au moment de la conclusion du contrat sont énumérés à l’annexe 2, y compris l’emplacement des serveurs et le mécanisme de transfert applicable.

(2)  Le sous-traitant annonce au responsable du traitement les modifications envisagées (ajout ou changement d’un sous-traitant ultérieur) au moins 30 jours avant leur entrée en vigueur, sous forme textuelle. Le responsable du traitement peut s’opposer à la modification, sous forme textuelle, dans un délai de 14 jours à compter de l’annonce, pour des motifs légitimes relevant de la protection des données.

(3)  En cas d’opposition justifiée, les parties contractantes s’efforcent de trouver une solution amiable. À défaut, le responsable du traitement dispose d’un droit de résiliation extraordinaire du contrat principal.

(4)  Le sous-traitant conclut avec chaque sous-traitant ultérieur un accord conforme aux exigences de l’art. 28 RGPD, respectivement de l’art. 9 LPD. Pour les sous-traitants ultérieurs situés dans des pays tiers dépourvus de décision d’adéquation, des garanties appropriées au sens de l’art. 46 RGPD (en particulier des CCT) sont en outre convenues.

(5)  Risque résiduel des transferts vers des pays tiers. Le responsable du traitement prend acte du fait que le sous-traitant recourt, pour certaines étapes de traitement, à des sous-traitants ultérieurs situés dans des pays tiers (en particulier OpenAI pour des services assistés par IA). Malgré des garanties appropriées (CCT, TIA), un risque résiduel subsiste du fait des lois américaines (FISA 702, CLOUD Act). Ce risque résiduel est documenté dans l’analyse d’impact relative au transfert TIA-2026-001-OpenAI et évalué comme acceptable par le sous-traitant. Le TIA est disponible sur demande. Le responsable du traitement confirme, par l’activation de la licence, avoir pris connaissance de cette information.

8 Droits des personnes concernées

(1)  Le sous-traitant assiste le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans l’exécution des droits des personnes concernées selon les art. 12 à 22 RGPD, respectivement les art. 25 à 29 LPD, en particulier pour les demandes d’accès, de rectification et d’effacement.

(2)  Si une personne concernée s’adresse directement au sous-traitant, celui-ci transmet la demande sans délai au responsable du traitement.

(3)  Les rectifications, effacements ou limitations n’ont lieu que sur instruction du responsable du traitement.

(4)  Restrictions en cas de sous-traitants ultérieurs situés dans des pays tiers. Dans la mesure où l’exercice de droits des personnes concernées (en particulier l’art. 17 RGPD, droit à l’effacement) porte sur des données traitées chez des sous-traitants ultérieurs situés dans des pays tiers, le sous-traitant transmet la demande sans délai et informe le responsable du traitement d’éventuels obstacles juridiques (par ex. obligations de conservation de droit américain). Le sous-traitant ne peut, dans de tels cas, garantir une exécution sans restriction du droit à l’effacement à l’égard du sous-traitant ultérieur.

9 Obligations de notification et assistance

(1)  Le sous-traitant désigne un interlocuteur central pour les questions de protection des données. Dans la mesure où il existe une obligation légale de désigner un délégué à la protection des données ou un conseiller à la protection des données (art. 10 LPD), il en communique les coordonnées.

(2)  Le sous-traitant notifie au responsable du traitement, sans délai et au plus tard dans les 48 heures suivant la prise de connaissance, toute violation de la protection des données à caractère personnel portée à sa connaissance. La notification contient les informations requises par l’art. 33 al. 3 RGPD, respectivement l’art. 24 al. 2 LPD, dans la mesure où elles sont connues du sous-traitant.

(3)  Le sous-traitant prend sans délai, en concertation avec le responsable du traitement, les mesures appropriées de sécurisation des données et de réduction du dommage.

(4)  Le sous-traitant assiste le responsable du traitement, dans la mesure nécessaire, lors des analyses d’impact relatives à la protection des données (art. 35 RGPD, respectivement art. 22 LPD) et des consultations préalables (art. 36 RGPD, respectivement art. 23 LPD).

(5)  Le sous-traitant informe le responsable du traitement des mesures des autorités de surveillance, dans la mesure où elles concernent le présent mandat.

10 Fin du contrat

(1)  À la fin du mandat, le sous-traitant efface toutes les données à caractère personnel ou les restitue au choix du responsable du traitement, à moins qu’une obligation légale de conservation n’existe.

(2)  L’effacement est confirmé au responsable du traitement sur demande, sous forme textuelle.

(3)  Le sous-traitant peut continuer à conserver les documents probants relatifs au traitement régulier des données conformément aux délais légaux de conservation.

11 Droits de contrôle

(1)  Le sous-traitant démontre le respect du présent contrat en premier lieu au moyen de justificatifs appropriés. Le sous-traitant met ces justificatifs à la disposition du responsable du traitement sur demande.

(2)  Si les justificatifs selon l’al. 1 ne suffisent pas dans un cas particulier justifié, le responsable du traitement peut, moyennant un préavis d’au moins 30 jours, procéder à une inspection sur place pendant les heures d’ouverture habituelles, au maximum une fois par an. Le responsable du traitement supporte les coûts qui en résultent pour lui.

(3)  L’inspection doit être menée de manière à perturber le moins possible l’exploitation du sous-traitant. Les auditeurs mandatés par le responsable du traitement ne doivent pas être des concurrents du sous-traitant et doivent être astreints à la confidentialité.

12 Responsabilité

(1)  La responsabilité des parties contractantes est régie par l’art. 82 RGPD ainsi que par les dispositions applicables du Code des obligations suisse (CO). Dans le rapport interne, les parties contractantes répondent selon leur part respective de responsabilité.

(2)  Les parties contractantes s’assistent mutuellement avec toutes les informations disponibles lorsqu’une partie est confrontée, du fait de la sous-traitance, à des prétentions de tiers, à des procédures administratives ou à des procédures d’amende.

(3)  Limitation de responsabilité – transferts vers des pays tiers. Le sous-traitant ne répond pas des dommages résultant du fait qu’un sous-traitant ultérieur situé dans un pays tiers est contraint, en vertu de dispositions légales étrangères impératives (en particulier l’US CLOUD Act, le FISA 702), de divulguer ou de conserver des données, pour autant que le sous-traitant ait mis en œuvre les mesures de protection contractuellement convenues (CCT, TIA, minimisation des données) et qu’il informe le responsable du traitement dans la mesure des possibilités juridiques.

13 Droit applicable et for

(1)  Le présent contrat est soumis au droit suisse, à l’exclusion de la Convention de Vienne sur les contrats de vente internationale de marchandises (CVIM) et des règles de conflit de la LDIP. Les dispositions impératives du RGPD et de la LPD demeurent réservées.

(2)  Le for exclusif pour les litiges découlant du présent contrat est Berne, Suisse.

14 Dispositions finales

(1)  Si certaines dispositions devaient être sans effet, la validité du reste du contrat n’en serait pas affectée. La disposition sans effet doit être remplacée par une réglementation qui se rapproche le plus possible, sur les plans économique et de la protection des données, de la disposition initiale.

(2)  En cas de contradictions entre le contrat principal et le présent contrat, les réglementations relatives à la protection des données du présent contrat prévalent.

(3)  Les prestations du sous-traitant au titre du présent contrat sont rémunérées par la rémunération prévue au contrat principal. Les frais des inspections sur place selon le § 11 al. 2 sont à la charge du responsable du traitement.

(4)  Font partie du présent contrat :

Signature

Le présent contrat est conclu automatiquement, conformément au § 3 al. 1, avec l’activation de la licence ou de la phase d’essai.

Sécuriser le site web
Sécuriser le site web