DPA · v1.2.0 · fr-CH · SHA-256: 2136be0059e247968b2ccfb127da575d8aabdf387f5cccd26d37876fc18beeb3

    Contrat de sous-traitance des données (DPA) — v1.2.0

    Préambule — Considérants

    A. Welby (Hundred Technologies Sàrl/GmbH) exploite une plateforme SaaS pour les établissements non médicaux (instituts d'esthétique non médicale, spas, wellness, et similaires), qualifiée d'outil administratif et documentaire hors du champ de l'art. 2(1) MDR et de la MedDO suisse.

    B. Le Client (l'Institut) détermine les finalités et les moyens du Traitement des données à caractère personnel relatives à ses clients finaux (les Clients Finaux — ci-après les « Personnes concernées ») et agit donc en qualité de Responsable du traitement des données au sens de la nLPD / du RGPD. Welby agit en qualité de Sous-traitant sur instructions documentées du Responsable.

    C. Les Parties ont conclu un Contrat de service (les CGU v2 acceptées par le Client). Le présent DPA est intégré au Contrat de service et prévaut sur les questions de traitement des Données Clients conformément à l'Article 21 des CGU.

    D. Les Parties souhaitent énoncer leurs obligations respectives en matière de protection des données en conformité avec l'art. 9 nLPD / l'art. 28 RGPD, tout en reflétant la portée du marché de Welby restreinte à la Suisse.

    Article 1 — Définitions

    Les termes en majuscules non définis ici ont le sens qui leur est donné dans les CGU v2. En outre, aux fins du présent DPA :

    • « Données Clients » : données à caractère personnel relatives aux Personnes concernées (Clients Finaux) traitées par Welby pour le compte du Responsable au titre du Contrat de service.
    • « Données personnelles sensibles » / « Catégories particulières » : y compris les données de santé au sens de l'art. 5(c) nLPD / 9(1) RGPD.
    • « Traitement » : tel que défini à l'art. 5(d) nLPD / 4(2) RGPD.
    • « Sous-traitant ultérieur » : tout tiers engagé par Welby pour Traiter des Données Clients pour le compte du Responsable.
    • « Personne concernée » : la personne physique à laquelle se rapportent les Données Clients (typiquement le client final du Client — le Client Final).
    • « Violation de données à caractère personnel » : telle que définie à l'art. 5(h) nLPD / 4(12) RGPD.
    • « MTO » : Mesures Techniques et Organisationnelles (Annexe II).

    Article 2 — Objet, durée, instructions documentées

    2.1 Objet

    Le Sous-traitant traite les Données Clients pour le compte du Responsable uniquement aux fins de la fourniture du Service tel que défini dans les CGU v2 et détaillé en Annexe I.

    2.2 Durée

    Le présent DPA demeure en vigueur pendant la durée du Contrat de service et toute période subséquente de retour ou de suppression visée à l'Article 12.

    2.3 Instructions documentées

    Le Sous-traitant ne traite les Données Clients que sur instructions documentées du Responsable, y compris en matière de transferts, sauf si le droit suisse ou de l'UE auquel le Sous-traitant est soumis l'exige. Le Contrat de service, le présent DPA, les choix de configuration effectués par le Responsable dans le Service et toute instruction écrite émise ultérieurement par le Responsable constituent les instructions documentées. Le Sous-traitant informe sans délai le Responsable si, à son avis, une instruction enfreint le droit applicable en matière de protection des données.

    2.4 Conformité du Responsable

    Le Responsable garantit (i) qu'il dispose d'une base légale valable pour le Traitement au titre de l'art. 31 nLPD / 6 RGPD et, le cas échéant, de l'art. 9 RGPD / 6(7) nLPD, (ii) qu'il a fourni aux Personnes concernées les informations requises, et (iii) que son utilisation du Service est conforme aux représentations d'auto-certification de l'Article 6 des CGU.

    Article 3 — Personnel autorisé et confidentialité

    3.1 Moindre privilège

    L'accès aux Données Clients par le personnel de Welby est accordé sur la base du moindre privilège : uniquement le personnel dont le rôle l'exige, uniquement pour les opérations spécifiques requises et uniquement pour la durée requise.

    3.2 Confidentialité

    Tout le personnel de Welby ayant accès aux Données Clients est lié par des engagements écrits de confidentialité qui survivent à la fin de son engagement.

    3.3 Limitation de l'accès opérationnel

    L'accès opérationnel du personnel de Welby aux Données Clients d'un Responsable (par exemple, à des fins de support) est exceptionnel, limité dans le temps et journalisé dans le registre d'audit immuable. Un tel accès requiert un besoin opérationnel documenté et, lorsque cela est raisonnablement possible, une notification préalable ou contemporaine au Responsable.

    Article 4 — Mesures techniques et organisationnelles

    Le Sous-traitant met en œuvre et maintient les MTO décrites en détail à l'Annexe II. Les MTO sont révisées au moins annuellement et mises à jour pour maintenir un niveau de sécurité approprié au risque, en particulier à la suite de l'ajout de fonctionnalités importantes ou de l'identification de nouvelles menaces.

    Article 5 — Sous-traitants ultérieurs

    5.1 Autorisation générale

    Le Responsable accorde une autorisation générale pour les Sous-traitants ultérieurs énumérés à l'Annexe III à la date d'entrée en vigueur du présent DPA.

    5.2 Notification, opposition, résiliation gratuite

    Le Sous-traitant notifie au Responsable tout ajout ou remplacement envisagé d'un Sous-traitant ultérieur avec un préavis d'au moins 14 jours. Le Responsable peut s'y opposer pour des motifs raisonnables liés à la protection des données dans ce délai ; à défaut d'opposition, l'ajout est réputé accepté. Lorsqu'une opposition est soulevée et que les Parties ne parviennent pas à un accord dans un délai raisonnable, le Responsable peut résilier la partie concernée du Contrat de service sans indemnité pour le reste de la période prépayée.

    5.3 Cascade contractuelle

    Le Sous-traitant impose à chaque Sous-traitant ultérieur, par contrat écrit, des obligations de protection des données substantiellement équivalentes à celles énoncées dans le présent DPA, y compris les obligations relatives aux MTO, à la confidentialité, à la notification des violations et à l'assistance pour les droits des Personnes concernées.

    5.4 Responsabilité pour les Sous-traitants ultérieurs

    Le Sous-traitant demeure pleinement responsable envers le Responsable de l'exécution des obligations de chaque Sous-traitant ultérieur.

    Article 6 — Transferts internationaux

    6.1 Principe : Suisse exclusive — adéquation avec l'UE

    Les Données Clients sont hébergées exclusivement en Suisse. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, garantissant que les Personnes concernées résidant dans l'UE dont les données sont traitées en Suisse au titre du présent DPA bénéficient d'un niveau de protection jugé substantiellement équivalent à celui en vigueur dans l'UE.

    6.2 Garanties spécifiques des Sous-traitants ultérieurs

    Lorsqu'un Sous-traitant ultérieur figurant à l'Annexe III opère depuis un pays tiers et traite des données entrant dans le champ des règles de transfert transfrontalier du RGPD ou de la nLPD, des garanties appropriées (Clauses contractuelles types, décision d'adéquation ou équivalent) sont en place.

    6.3 Portée des données des Sous-traitants ultérieurs opérationnels

    Le contenu opérationnel du locataire configuré par le Client (par exemple, descriptions de procédures, lignes de listes de prix) traité par les Sous-traitants ultérieurs situés hors de Suisse n'inclut pas de Données Clients (pas d'anamnèse, pas de photographies, pas d'identification de Personne concernée, pas de notes de séance).

    Article 7 — Droits des Personnes concernées

    7.1 Assistance

    Le Sous-traitant assiste le Responsable, compte tenu de la nature du Traitement, dans l'exécution de ses obligations de répondre aux demandes des Personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).

    7.2 Outillage

    Le Service fournit des outils d'export, de rectification et d'effacement accessibles aux utilisateurs autorisés du Responsable, ce qui constitue le mécanisme principal d'assistance.

    7.3 Demandes directes

    Si le Sous-traitant reçoit une demande d'une Personne concernée qui lui est directement adressée, le Sous-traitant ne répond pas au fond de la demande et transmet sans délai la demande au Responsable pour traitement.

    Article 8 — Notification de violation de données à caractère personnel

    8.1 Délai

    Le Sous-traitant notifie au Responsable toute Violation de données à caractère personnel affectant les Données Clients sans retard injustifié et en tout état de cause dans les quarante-huit (48) heures après en avoir pris connaissance.

    8.2 Contenu

    La notification inclut, dans la mesure connue à ce moment :

    • la nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements affectés ;
    • les conséquences probables ;
    • les mesures techniques et organisationnelles prises ou proposées pour faire face à la violation et atténuer les effets négatifs ;
    • un point de contact pour des informations complémentaires.

    8.3 Informations ultérieures

    Lorsque toutes les informations ne sont pas disponibles dans la notification initiale, les informations sont fournies par phases au fur et à mesure de leur disponibilité.

    8.4 Coopération

    Le Sous-traitant coopère avec le Responsable dans l'exécution des obligations de notification du Responsable vis-à-vis de l'autorité de contrôle (PFPDT en Suisse, l'autorité de contrôle chef de file lorsque le RGPD s'applique) et, le cas échéant, des Personnes concernées.

    La procédure interne de notification des violations du Sous-traitant est tenue à docs/compliance/breach-notification-sop.md.

    Article 9 — Assistance pour l'AIPD

    Le Sous-traitant assiste le Responsable, compte tenu de la nature du Traitement et des informations dont dispose le Sous-traitant, dans la réalisation d'analyses d'impact relatives à la protection des données et, le cas échéant, des consultations préalables auprès de l'autorité de contrôle compétente.

    Article 10 — Audit

    10.1 Droit d'audit

    Le Responsable a le droit de vérifier la conformité du Sous-traitant avec le présent DPA.

    10.2 Modalités

    Les modalités d'audit sont les suivantes :

    • Fréquence : pas plus d'une fois par douze (12) mois, sauf en cas de survenue d'une Violation de données à caractère personnel ou si une autorité compétente l'exige.
    • Préavis : au moins 30 jours de préavis écrit, sauf en cas de violation suspectée.
    • Méthode préférée : le Responsable accepte d'abord les réponses à des questionnaires standardisés reconnus (par exemple, CAIQ Lite, SIG Lite) et les copies de rapports / certifications d'audit tiers que le Sous-traitant peut détenir.
    • Audit sur site : uniquement en dernier recours, lorsque la méthode des questionnaires et rapports est manifestement insuffisante. Les audits sur site sont menés pendant les heures ouvrées, par un personnel dûment qualifié tenu à la confidentialité, et d'une manière qui n'interfère pas de manière déraisonnable avec les opérations du Sous-traitant ni ne compromet la sécurité des données d'autres Responsables.
    • Coûts : à la charge du Responsable, sauf si l'audit révèle une violation substantielle par le Sous-traitant, auquel cas le Sous-traitant supporte les coûts raisonnables.

    10.3 Pas d'audit destructif

    Les tests d'intrusion, la revue de code source ou toute activité d'audit susceptible de dégrader la disponibilité, l'intégrité ou la confidentialité du Service sont exclus au titre de la présente clause et ne peuvent être réalisés que dans le cadre d'un périmètre séparé et préalablement convenu.

    Article 11 — Responsabilité

    La responsabilité globale du Sous-traitant au titre du présent DPA ne dépasse pas le plafond de responsabilité global du Contrat de service (Article 12.2 des CGU — douze (12) mois de redevances), sans préjudice des exceptions de l'Article 12.3 des CGU (dol, faute grave, atteinte à l'intégrité corporelle) et de toute responsabilité ne pouvant être exclue en vertu du droit applicable.

    Article 12 — Retour ou suppression

    12.1 Choix du Responsable

    À la résiliation ou à l'expiration du Contrat de service, le Sous-traitant, au choix du Responsable, retourne ou supprime toutes les Données Clients, sauf si la conservation est légalement requise (par exemple, à des fins comptables au titre de l'art. 962 CO).

    12.2 Suppression par défaut

    À défaut d'instruction explicite du Responsable dans la fenêtre d'export de 30 jours prévue à l'Article 17.1 des CGU, le Sous-traitant supprime les Données Clients dans les quatre-vingt-dix (90) jours suivant la résiliation, sous réserve des obligations légales de conservation.

    12.3 Certificat de suppression

    Le Sous-traitant fournit confirmation écrite de la suppression (un « certificat de suppression ») sur demande écrite du Responsable.

    Article 13 — Contacts

    13.1 Sous-traitant

    Hundred Technologies Sàrl/GmbH Rue du Dauphiné 11, 1203 Genève, Suisse IDE : CH-486.714.259 DPO : dpo@welby.ch Contact général : legal@welby.ch Incidents de sécurité : security@welby.ch

    13.2 Responsable

    Le Responsable est le Client identifié par l'enregistrement de locataire Welby de la personne physique acceptant le présent DPA en son nom. L'utilisateur acceptant garantit avoir le pouvoir d'engager le Responsable. La raison sociale, l'adresse du siège, le contact du gérant et tout contact de protection des données fournis dans les paramètres du locataire constituent l'identification du Responsable aux fins du présent DPA. Les demandes des Personnes concernées adressées au Sous-traitant sont transmises au contact figurant au dossier (Article 7.3).

    13.3 Représentant UE (art. 27 RGPD) — non désigné

    Welby ne désigne pas de représentant au sens de l'art. 27 RGPD. Le Service est restreint aux Clients établis en Suisse (Article 3.5 des CGU). Si la portée du marché de Welby devait évoluer pour inclure des Clients non suisses d'une manière déclenchant l'art. 27 RGPD, Welby procéderait à une telle désignation et mettrait à jour le présent DPA en conséquence.

    Article 14 — Exécution

    Le présent DPA est conclu par acceptation électronique (click-wrap) de la personne physique identifiée à la Section 13.2, qui garantit avoir le pouvoir d'engager le Responsable. L'acceptation constitue une signature électronique simple au sens de l'article 2(a) de la loi fédérale sur la signature électronique (SCSE, RS 943.03) et de l'article 3(10) eIDAS (Règlement (UE) 910/2014), dont la force probante est laissée à l'appréciation du juge. Le Sous-traitant conserve un registre d'acceptation immuable et infalsifiable (horodatage, adresse IP, user-agent, version du document, empreinte SHA-256 du corps accepté, chaîne d'événements par locataire) satisfaisant à l'exigence « par écrit, y compris sous forme électronique » de l'art. 28(9) RGPD / art. 9 nLPD. Une version contre-signée en PDF demeure disponible sur demande écrite du Responsable via la plateforme suisse de signature électronique qualifiée Skribble.

    Article 15 — Hiérarchie

    Le présent DPA prévaut sur toutes les questions relatives au Traitement des Données Clients par le Sous-traitant en sa qualité de sous-traitant (Article 21 des CGU). Pour toutes les autres questions, les CGU v2 prévalent.

    Article 16 — Droit applicable et juridiction

    Le présent DPA est régi exclusivement par le droit suisse, à l'exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises (CISG). Les tribunaux du Canton de Genève ont compétence exclusive, sous réserve des règles impératives en matière de protection des consommateurs.

    Annexe I — Description du Traitement

    A. Catégories de Personnes concernées

    Les clients finaux du Client (Clients Finaux) — personnes physiques recevant les prestations non médicales du Client.

    B. Catégories de données à caractère personnel

    • Données d'identification : nom, prénom, date de naissance, genre, coordonnées (email, téléphone, adresse).
    • Données relatives à la santé (sensibles au titre de l'art. 5(c) nLPD / 9(1) RGPD) : réponses d'anamnèse auto-déclarées, allergies déclarées, contre-indications déclarées, médicaments déclarés, historique pertinent pour les actes non médicaux du Client.
    • Imagerie : photographies des zones traitées (avant/après) téléversées par le praticien.
    • Signatures électroniques : signatures SES sur les formulaires de consentement avec horodatages et empreintes de documents.
    • Données de séance : notes du praticien, produits utilisés, dates, historique des rendez-vous, paramètres de séance saisis manuellement.

    C. Finalités

    • Archivage des questionnaires d'accueil et des formulaires de consentement signés.
    • Affichage des photographies avant/après sans interprétation automatisée.
    • Saisie manuelle et stockage des paramètres de séance et notes en texte libre.
    • Génération de modèles opérationnels (formulaires, listes de prix) — sans Données Clients — via l'assistance IA d'onboarding.
    • Support de la conformité du Responsable aux droits des Personnes concernées (export, rectification, effacement).

    D. Conservation

    • Pendant le Contrat de service + 90 jours après résiliation pour la fenêtre de retour ou de suppression (Article 12).
    • 10 ans pour les documents comptables au titre de l'art. 962 du Code des obligations suisse — il ne s'agit pas de Données Clients en tant que telles mais qui peuvent référencer incidemment des Personnes concernées dans les factures.
    • Durées plus longues uniquement lorsque cela est mandaté par le droit suisse et notifié par le Responsable.

    E. Nature des opérations

    Stockage, organisation, structuration, extraction, consultation, divulgation aux utilisateurs autorisés du Responsable, effacement ou limitation sur instruction du Responsable.

    F. Localisation

    Suisse (Genève / Zurich) pour toutes les Données Clients. Voir l'Annexe III pour les Sous-traitants ultérieurs limités situés hors de Suisse et la portée des données qu'ils reçoivent.

    G. Responsable / Sous-traitant

    • Responsable : l'Institut nommé à la Section 13.2.
    • Sous-traitant : Hundred Technologies Sàrl/GmbH (Welby).

    Annexe II — Mesures Techniques et Organisationnelles

    Le Sous-traitant met en œuvre et maintient les mesures suivantes.

    1. Confidentialité

    • Chiffrement AES-256 au repos sur tous les volumes de données (y compris les sauvegardes).
    • Chiffrement TLS 1.2+ en transit.
    • Contrôle d'accès basé sur les rôles suivant le moindre privilège.
    • Authentification multifacteur pour tous les comptes du personnel ayant accès aux systèmes de production.
    • Revue trimestrielle des droits d'accès ; révocation immédiate en cas de changement de rôle ou de départ.

    2. Intégrité

    • Journalisation d'audit immuable des accès aux Données Clients (horodatage, identifiant utilisateur, action, ressource).
    • Liaison d'empreinte de document pour les consentements signés (SHA-256).
    • Contraintes d'intégrité de base de données et revue de code avant déploiement.

    3. Disponibilité

    • Sauvegardes automatisées quotidiennes, conservées 30 jours.
    • Procédures de restauration testées au moins annuellement.
    • Hébergement de niveau équivalent Tier-III en Suisse.
    • Surveillance des systèmes de production avec alertes sur anomalies.

    4. Résilience

    • Procédures documentées de réponse aux incidents.
    • Procédures documentées de continuité d'activité.
    • Exercices périodiques de simulation de la procédure de notification de violation.

    5. Mesures organisationnelles

    • Politique de sécurité de l'information documentée.
    • Politique d'intégration des Sous-traitants ultérieurs documentée.
    • Politique de classification des données documentée distinguant les Données Clients du contenu opérationnel du locataire.
    • Revue annuelle des MTO.

    6. Sécurité du personnel

    • Engagements écrits de confidentialité pour tout le personnel.
    • Formation à la sensibilisation à la sécurité à l'intégration et annuellement par la suite.
    • Vérifications des antécédents pour le personnel ayant accès aux systèmes de production, lorsque la loi le permet.

    7. Suppression

    • Procédures de suppression documentées (Article 12).
    • Suppression sur le stockage primaire, les sauvegardes (dans les cycles de conservation des sauvegardes) et les systèmes des Sous-traitants ultérieurs.
    • Certificat de suppression disponible sur demande.

    8. Notification de violation

    • Notification des Responsables sous 48 heures (Article 8).
    • Procédure de notification de violation documentée (docs/compliance/breach-notification-sop.md).
    • Coordination avec le PFPDT et, le cas échéant, les autorités de contrôle chefs de file UE.

    Annexe III — Sous-traitants ultérieurs

    Le Responsable autorise les Sous-traitants ultérieurs suivants. La liste publique est tenue à /legal/subprocessors et à docs/compliance/subprocessors.md.

    Sous-traitant ultérieurService fourniCatégories de donnéesLocalisationGaranties
    Infomaniak Network SAHébergement cloud (calcul, stockage, sauvegarde) et acheminement des e-mails transactionnels (invitations, rappels, notifications)Toutes les données de la plateforme, y compris les Données Clients ; pour l'e-mail, adresse du destinataire + contenu du message (peut inclure le nom d'un Client Final, des informations de rendez-vous, un lien d'invitation)Suisse (Genève / Zurich)DPA en vigueur
    Anthropic PBCAssistance IA d'onboarding : traduction du contenu locataire, structuration des listes de prix, génération de modèlesContenu opérationnel locataire uniquement — pas de Données ClientsÉtats-Unis (CCT 2021/914 module 2 via le DPA Anthropic)DPA Anthropic accepté
    Stripe Payments Europe LtdTraitement des paiements d'abonnementDonnées de facturation du Client (pas de Données Clients)Irlande ; transferts vers les USA sous CCT + DPF le cas échéantDPA Stripe accepté
    Brevo SASAutomatisation des e-mails de cycle de vie destinés aux professionnels du Client (onboarding, rappels d'essai)Données de contact professionnelles + événements de service au niveau du locataire — pas de Données ClientsFrance (UE)DPA Brevo accepté

    Tout ajout ou remplacement de sous-traitant suit le processus de notification à 14 jours de l'Article 5.2. La liste publique de référence est tenue à /legal/subprocessors.

    Note — Représentant UE art. 27 RGPD non désigné. Le marché de Welby est restreint aux Clients établis en Suisse. Si cela devait changer d'une manière déclenchant l'art. 27 RGPD, Welby désignera un représentant et mettra à jour la présente Annexe en conséquence.