Accord de Traitement des Données (DPA)

• « Données personnelles » : Toute information relative à une personne physique identifiée ou identifiable. • « Traitement » : Toute opération effectuée sur des données personnelles (collecte, enregistrement, stockage, modification, consultation, transmission, effacement). • « Responsable du traitement » (Controller) : Le Client qui détermine les finalités et les moyens du traitement des données personnelles. • « Sous-traitant » (Processor) : Numezis SA qui traite les données personnelles pour le compte du Responsable. • « Sous-traitant ultérieur » (Sub-processor) : Tout prestataire engagé par Numezis pour traiter des données personnelles. • « Violation de données » : Toute violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles.

2.1 Objet Le présent DPA régit le traitement des données personnelles effectué par Numezis dans le cadre de la fourniture des services SaaS décrits dans les CGV. 2.2 Nature du traitement Le traitement consiste en la collecte, le stockage, l'organisation, la structuration, l'extraction, la consultation, l'utilisation et l'effacement des données personnelles nécessaires à la fourniture des services. 2.3 Durée Le traitement dure aussi longtemps que le contrat de service est en vigueur. À l'issue du contrat, les données sont traitées conformément à la section 10 du présent DPA.

Les catégories de données personnelles traitées peuvent inclure : • Données d'identification : Nom, prénom, fonction, coordonnées professionnelles • Données de connexion : Adresse email, identifiants chiffrés, journaux d'accès • Données financières : Informations contenues dans les factures, relevés bancaires, notes de frais • Données RH : Informations relatives aux employés du Client (si le module RH est utilisé) • Données techniques : Adresses IP, métadonnées de navigation, logs d'utilisation Le Client est responsable de s'assurer qu'aucune donnée sensible (origine raciale, opinions politiques, données de santé, etc.) n'est traitée via la plateforme sans accord préalable explicite de Numezis.

Les personnes concernées par le traitement peuvent inclure : • Les utilisateurs de la plateforme (employés du Client) • Les clients et prospects du Client • Les fournisseurs et partenaires du Client • Les employés du Client (si le module RH est utilisé) • Toute autre personne dont les données sont téléchargées sur la plateforme par le Client

Numezis s'engage à : 5.1 Instructions documentées Traiter les données personnelles uniquement sur instruction documentée du Responsable, y compris en ce qui concerne les transferts vers des pays tiers. 5.2 Confidentialité S'assurer que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité contractuelle ou légale. 5.3 Sécurité Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (voir section 7). 5.4 Sous-traitance ultérieure Ne pas faire appel à un autre sous-traitant sans l'autorisation préalable générale ou spécifique du Responsable (voir section 6). 5.5 Assistance Aider le Responsable à garantir le respect de ses obligations (demandes d'exercice de droits, notification de violations, analyses d'impact). 5.6 Suppression ou restitution À la fin du contrat, supprimer ou restituer toutes les données personnelles selon le choix du Responsable (voir section 10). 5.7 Audit Mettre à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits (voir section 9).

6.1 Autorisation générale Le Responsable donne son autorisation générale à Numezis pour engager des sous-traitants ultérieurs. La liste actualisée des sous-traitants est disponible sur demande à dpa@numezis.ch. 6.2 Obligations des sous-traitants Numezis impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles énoncées dans le présent DPA. 6.3 Notification de changement Numezis informera le Responsable de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants, en laissant au Responsable la possibilité de s'y opposer. En cas d'opposition justifiée, les parties rechercheront une solution de bonne foi. 6.4 Liste actuelle des sous-traitants Les principaux sous-traitants incluent : • Hébergement cloud (Suisse) • Services d'envoi d'emails transactionnels • Monitoring et diagnostics • Services de paiement (Stripe) Une liste détaillée est fournie sur demande.

Numezis met en œuvre les mesures techniques et organisationnelles suivantes : 7.1 Contrôle d'accès physique • Centres de données certifiés ISO 27001 et Tier IV • Accès biométrique et surveillance 24/7 • Localisation exclusive en Suisse 7.2 Contrôle d'accès logique • Authentification forte (MFA obligatoire pour les administrateurs) • Principe du moindre privilège • Gestion centralisée des identités 7.3 Chiffrement • Chiffrement TLS 1.3 pour les données en transit • Chiffrement AES-256 pour les données au repos • Gestion sécurisée des clés de chiffrement 7.4 Isolation des données • Architecture multi-tenants avec cloisonnement strict • Séparation logique et physique des données clients 7.5 Journalisation et surveillance • Journaux d'accès et d'activité • Détection d'intrusion en temps réel • Conservation des logs pendant 12 mois 7.6 Continuité d'activité • Sauvegardes quotidiennes chiffrées • Réplication géographique (Suisse uniquement) • Plan de reprise d'activité testé annuellement

8.1 Localisation des données Toutes les données personnelles sont stockées et traitées exclusivement en Suisse. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne. 8.2 Transferts vers des pays tiers Numezis ne transfère pas de données personnelles vers des pays situés hors de la Suisse et de l'Espace Économique Européen (EEE), sauf : • Avec l'accord explicite du Responsable • Vers un pays bénéficiant d'une décision d'adéquation • Avec des garanties appropriées (clauses contractuelles types, BCR) 8.3 Sous-traitants hors Suisse/EEE Si un sous-traitant ultérieur est situé hors Suisse/EEE, Numezis s'assure que des garanties appropriées sont en place et en informe le Responsable.

9.1 Accès aux informations Numezis met à disposition du Responsable les informations nécessaires pour démontrer le respect des obligations du présent DPA, notamment : • Attestations de conformité (SOC 2, ISO 27001) • Rapports de tests de pénétration (version synthétique) • Documentation des mesures de sécurité 9.2 Audits sur site Le Responsable peut, moyennant un préavis raisonnable de 30 jours et aux heures ouvrables normales, effectuer ou faire effectuer un audit pour vérifier le respect des obligations. L'audit ne doit pas perturber les activités de Numezis ni compromettre la confidentialité des autres clients. 9.3 Coûts Les coûts de l'audit sont à la charge du Responsable, sauf si l'audit révèle un manquement significatif de Numezis à ses obligations.

10.1 Délai de notification En cas de violation de données personnelles, Numezis en informera le Responsable dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance de la violation. 10.2 Contenu de la notification La notification inclura : • La nature de la violation et les catégories de données concernées • Le nombre approximatif de personnes concernées • Les conséquences probables de la violation • Les mesures prises ou proposées pour remédier à la violation 10.3 Assistance Numezis assistera le Responsable dans ses obligations de notification aux autorités de contrôle et, le cas échéant, aux personnes concernées.

11.1 À la fin du contrat À l'expiration ou à la résiliation du contrat de service, le Responsable dispose d'un délai de 30 jours pour exporter ses données via les fonctionnalités standard de la plateforme. 11.2 Suppression Passé ce délai, Numezis procédera à la suppression sécurisée de toutes les données personnelles du Responsable, sauf obligation légale de conservation. 11.3 Certificat de destruction Sur demande du Responsable, Numezis fournira une attestation de suppression des données.

Pour toute question relative au présent DPA ou à la protection des données : Numezis SA Délégué à la protection des données Genève, Suisse Email : dpa@numezis.ch Email alternatif : privacy@numezis.ch Le Responsable s'engage à désigner un point de contact pour les questions relatives à la protection des données et à communiquer ses coordonnées à Numezis.