Accord de Traitement des Données (DPA)

• Données à caractère personnel ou Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée), telle que définie à l’art. 4(1) RGPD et à l’art. 5 let. A LPD.
• Traitement : toute opération ou ensemble d’opérations effectuées sur des Données Personnelles.
• Violation de Données Personnelles : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des Données Personnelles transmises, conservées ou traitées.
• Sous-traitant ultérieur : tout sous-traitant engagé par Numezis pour réaliser une partie spécifique du traitement pour le compte du Client.
• Instructions documentées : les instructions écrites ou manifestement implicites découlant du contrat principal, des CGU, du présent DPA, de la configuration du Service et de la Documentation produit.

Le présent DPA s'applique à toutes les activités de traitement réalisées par Numezis pour le compte du Client dans le cadre du Service pendant la Période d'abonnement ainsi que pendant toute période convenue de transition, support, sauvegarde ou suppression qui suivrait.

L'objet du traitement est la fourniture du Service hébergé ainsi que les fonctions connexes de support, sécurité, maintenance, stockage, transmission, troubleshooting, export et administration de compte demandées par le Client. La durée du traitement correspond à la période pendant laquelle Numezis est instruite ou autrement tenue de traiter les données personnelles concernées dans le cadre de la relation client.

Selon les usages du Service, les catégories de Données Personnelles traitées peuvent inclure notamment :

• Données d’identification & compte : nom, prénom, adresse e-mail professionnelle, fonction, identifiant interne.
• Données d’authentification & sécurité : adresse IP, empreinte navigateur, jetons d’authentification, logs MFA.
• Données de contact professionnel : téléphone professionnel, adresse postale de facturation.
• Données métier importées / générées : données contenues dans factures, écritures comptables, fiches salariés, contrats, etc.
• Métadonnées d’usage & télémétrie : horodatages, actions réalisées, erreurs applicatives.

Les catégories exactes dépendent des modules activés et des choix opérationnels du Client.

Les personnes concernées peuvent inclure notamment :

• les utilisateurs autorisés du Client ;
• les employés, prestataires, clients, fournisseurs et partenaires du Client ;
• toute personne dont les données sont traitées par le Client via le Service.

Numezis traite les données personnelles uniquement dans la mesure nécessaire pour fournir le Service ainsi que les fonctions de support, hébergement, stockage, transmission, export, sauvegarde, sécurité, troubleshooting, monitoring et administration de compte demandées par le Client. Les opérations de traitement peuvent inclure la collecte, l'enregistrement, l'organisation, la structuration, la conservation, la consultation, l'utilisation, la communication par transmission, l'alignement, la restriction, la suppression ou la destruction, selon la configuration choisie par le Client et ses instructions.

Les instructions documentées du Client peuvent résulter de l'Accord, des paramètres de compte, des permissions utilisateurs, des appels API, des tickets support, des workflows d'implémentation, de demandes écrites ou d'autres usages documentés du Service initiés ou autorisés par le Client.

Numezis s’engage à :

• traiter les Données Personnelles exclusivement selon les instructions documentées du Client ;
• imposer une obligation de confidentialité à toute personne autorisée à traiter des Données Personnelles ;
• former et sensibiliser périodiquement le personnel concerné à la protection des données et à la cybersécurité ;
• appliquer une limitation des accès selon le principe du besoin d’en connaître (least privilege), avec contrôles d’accès, MFA lorsque applicable, journalisation et revues périodiques.

Liste. Les sous-traitants ultérieurs autorisés sont listés à l’Annexe 1.

Ajout de nouveaux sous-traitants. Numezis peut ajouter ou remplacer des sous-traitants ultérieurs sous réserve de :

• notifier le Client par e-mail ou via le centre de notifications au moins 30 jours calendaires à l’avance ;
• permettre au Client de s’opposer pour motif légitime dans les 15 jours suivant la notification.

Responsabilité. Numezis demeure responsable vis-à-vis du Client des actes et omissions de ses sous-traitants ultérieurs dans les limites prévues au contrat.

Numezis met en œuvre des mesures techniques et organisationnelles appropriées au risque, notamment :

• chiffrement en transit (TLS) et, lorsque applicable, au repos ;
• gestion des accès (principe du moindre privilège), MFA lorsque applicable ;
• séparation logique des environnements (prod / staging / dev) ;
• journalisation, monitoring et alerting ;
• sauvegardes et procédures de restauration ;
• gestion des vulnérabilités et mises à jour de sécurité ;
• plan de réponse aux incidents.

Localisation principale. Les services applicatifs sont exploités principalement en Suisse (notamment sur infrastructure cloud en région Zurich).

Transferts hors Suisse/EEE. Lorsque des transferts sont nécessaires, Numezis met en œuvre des garanties appropriées prévues par le droit applicable (par exemple Clauses Contractuelles Types 2021) et, lorsque requis, une évaluation d’impact (TIA) ainsi que des mesures complémentaires raisonnables.

Délai. Numezis notifie le Client sans retard injustifié et, lorsque applicable, au plus tard dans les 48 heures suivant la prise de connaissance d’une Violation de Données Personnelles susceptible d’affecter les droits et libertés des personnes concernées.

Contenu. Dans la mesure des informations disponibles : nature de la violation, catégories et volume approximatif de données, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises/envisagées.

Coopération. Numezis coopère avec le Client pour permettre le respect des obligations de notification aux autorités et aux personnes concernées.

Compte tenu de la nature du traitement et des informations dont dispose Numezis, Numezis fournira une assistance raisonnable au Client pour répondre aux demandes licites des personnes concernées et pour soutenir le Client dans le respect de ses obligations relatives à la sécurité, à la gestion des violations, aux analyses d'impact et aux consultations avec les autorités compétentes, lorsque le Service est pertinent pour ces obligations.

Si une demande implique un effort disproportionné, du développement spécifique, une revue juridique importante ou des services allant au-delà des capacités standard du Service, Numezis pourra facturer des frais raisonnables, sous réserve de les annoncer à l'avance lorsque cela est commercialement possible.

À la fin du contrat. Sur instruction écrite du Client et dans les limites techniques du Service, Numezis :

• restitue les Données Personnelles dans un format structuré couramment utilisé (par exemple JSON, CSV) ;
• supprime définitivement les copies restantes.

Délai. La restitution ou suppression intervient dans les 30 jours suivant la résiliation effective, sauf obligation légale de conservation ou nécessité de preuve en cas de litige.

Droit d’audit. Le Client peut, une fois par année contractuelle et sur préavis de 30 jours, procéder ou faire procéder par un auditeur indépendant à un audit du respect du présent DPA.

Modalités. L’audit est réalisé pendant les heures ouvrables, sans perturbation significative du Service, et dans le respect de la confidentialité des autres clients. Les frais d’audit sont à la charge du Client, sauf si des manquements graves sont constatés.

Le présent DPA est régi par le droit et les règles de règlement des litiges prévues par le contrat client sous-jacent, sauf dans la mesure où le droit applicable en matière de protection des données impose des règles impératives prévalentes. Si une stipulation du présent DPA devait être jugée invalide ou inapplicable, le reste demeure valable dans toute la mesure permise par la loi.

Pour toute demande relative au DPA, à la conformité ou à la protection des données, contactez privacy@numezis.com (ou contact@numezis.com avec objet « Demande RGPD / LPD »).