Accord de Traitement des Données (DPA)

• Données à caractère personnel ou Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée), telle que définie à l’art. 4(1) RGPD et à l’art. 5 let. a LPD.
• Traitement : toute opération ou ensemble d’opérations effectuées sur des Données Personnelles.
• Violation de Données Personnelles : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des Données Personnelles transmises, conservées ou traitées.
• Sous-traitant ultérieur : tout sous-traitant engagé par Numezis pour réaliser une partie spécifique du traitement pour le compte du Client.
• Instructions documentées : les instructions écrites ou manifestement implicites découlant du contrat principal, des CGU, du présent DPA, de la configuration du Service et de la Documentation produit.

Objet. Le présent DPA régit le traitement par Numezis, en qualité de sous-traitant, des Données Personnelles que le Client, en qualité de responsable du traitement, transmet ou rend accessibles à Numezis dans le cadre de l’utilisation du Service.

Durée. Le DPA s’applique pendant toute la durée de la relation contractuelle entre les Parties, augmentée de la période nécessaire à la restitution ou à la suppression définitive des Données Personnelles conformément à la section Restitution et suppression.

Selon les usages du Service, les catégories de Données Personnelles traitées peuvent inclure notamment :

• Données d’identification & compte : nom, prénom, adresse e-mail professionnelle, fonction, identifiant interne.
• Données d’authentification & sécurité : adresse IP, empreinte navigateur, jetons d’authentification, logs MFA.
• Données de contact professionnel : téléphone professionnel, adresse postale de facturation.
• Données métier importées / générées : données contenues dans factures, écritures comptables, fiches salariés, contrats, etc.
• Métadonnées d’usage & télémétrie : horodatages, actions réalisées, erreurs applicatives.

Les catégories exactes dépendent des modules activés et des choix opérationnels du Client.

Les personnes concernées peuvent inclure notamment :

• les utilisateurs autorisés du Client ;
• les employés, prestataires, clients, fournisseurs et partenaires du Client ;
• toute personne dont les données sont traitées par le Client via le Service.

Numezis traite les Données Personnelles uniquement pour les finalités suivantes et dans la stricte mesure nécessaire :

• fourniture, configuration et maintenance du Service ;
• authentification et gestion des accès ;
• facturation et gestion des paiements (via Stripe) ;
• support technique et résolution d’incidents ;
• sécurité, détection des abus et prévention des fraudes ;
• sauvegarde, restauration et reprise après sinistre ;
• amélioration continue du Service (anonymisation / agrégation lorsque applicable) ;
• respect des obligations légales (ex. conservation et réponse aux autorités).

Numezis s’engage à :

• traiter les Données Personnelles exclusivement selon les instructions documentées du Client ;
• imposer une obligation de confidentialité à toute personne autorisée à traiter des Données Personnelles ;
• former et sensibiliser périodiquement le personnel concerné à la protection des données et à la cybersécurité ;
• appliquer une limitation des accès selon le principe du besoin d’en connaître (least privilege), avec contrôles d’accès, MFA lorsque applicable, journalisation et revues périodiques.

Liste. Les sous-traitants ultérieurs autorisés sont listés à l’Annexe 1.

Ajout de nouveaux sous-traitants. Numezis peut ajouter ou remplacer des sous-traitants ultérieurs sous réserve de :

• notifier le Client par e-mail ou via le centre de notifications au moins 30 jours calendaires à l’avance ;
• permettre au Client de s’opposer pour motif légitime dans les 15 jours suivant la notification.

Responsabilité. Numezis demeure responsable vis-à-vis du Client des actes et omissions de ses sous-traitants ultérieurs dans les limites prévues au contrat.

Numezis met en œuvre des mesures techniques et organisationnelles appropriées au risque, notamment :

• chiffrement en transit (TLS) et, lorsque applicable, au repos ;
• gestion des accès (principe du moindre privilège), MFA lorsque applicable ;
• séparation logique des environnements (prod / staging / dev) ;
• journalisation, monitoring et alerting ;
• sauvegardes et procédures de restauration ;
• gestion des vulnérabilités et mises à jour de sécurité ;
• plan de réponse aux incidents.

Localisation principale. Les services applicatifs sont exploités principalement en Suisse (notamment sur infrastructure cloud en région Zurich).

Transferts hors Suisse/EEE. Lorsque des transferts sont nécessaires, Numezis met en œuvre des garanties appropriées prévues par le droit applicable (par exemple Clauses Contractuelles Types 2021) et, lorsque requis, une évaluation d’impact (TIA) ainsi que des mesures complémentaires raisonnables.

Délai. Numezis notifie le Client sans retard injustifié et, lorsque applicable, au plus tard dans les 48 heures suivant la prise de connaissance d’une Violation de Données Personnelles susceptible d’affecter les droits et libertés des personnes concernées.

Contenu. Dans la mesure des informations disponibles : nature de la violation, catégories et volume approximatif de données, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises/envisagées.

Coopération. Numezis coopère avec le Client pour permettre le respect des obligations de notification aux autorités et aux personnes concernées.

Numezis assiste le Client, dans la mesure raisonnablement possible et en tenant compte de la nature du traitement, afin de répondre aux demandes d’exercice des droits (accès, rectification, effacement, limitation, opposition, portabilité).

À la fin du contrat. Sur instruction écrite du Client et dans les limites techniques du Service, Numezis :

• restitue les Données Personnelles dans un format structuré couramment utilisé (par exemple JSON, CSV) ;
• supprime définitivement les copies restantes.

Délai. La restitution ou suppression intervient dans les 30 jours suivant la résiliation effective, sauf obligation légale de conservation ou nécessité de preuve en cas de litige.

Droit d’audit. Le Client peut, une fois par année contractuelle et sur préavis de 30 jours, procéder ou faire procéder par un auditeur indépendant à un audit du respect du présent DPA.

Modalités. L’audit est réalisé pendant les heures ouvrables, sans perturbation significative du Service, et dans le respect de la confidentialité des autres clients. Les frais d’audit sont à la charge du Client, sauf si des manquements graves sont constatés.

Droit suisse.

Juridiction exclusive : tribunaux ordinaires du siège de Numezis SA (Lausanne).

Pour toute demande relative au DPA, à la conformité ou à la protection des données, contactez privacy@numezis.com (ou contact@numezis.com avec objet « Demande RGPD / LPD »).