Il est conclu en application de l'article 9 de la nouvelle Loi fédérale suisse sur la protection des données (nLPD, entrée en vigueur le 1er septembre 2023).
1. Parties au contrat
| Rôle | Partie |
|---|---|
| Responsable du traitement (« le Client ») |
L'abonné à FacturApp — vous, en tant qu'entreprise ou indépendant |
| Sous-traitant (« SIAJ ») |
SIAJ — Alain Jordan, Rue de la Gare 25, 1865 Les Diablerets, Suisse |
Le Client agit en qualité de responsable du traitement des données de ses propres clients. SIAJ agit en qualité de sous-traitant qui traite ces données uniquement pour le compte et selon les instructions du Client.
2. Objet et description du traitement
| Aspect | Description |
|---|---|
| Nature du traitement | Stockage, consultation, modification, affichage, transmission (par email au destinataire choisi par le Client), suppression |
| Finalité | Permettre au Client d'émettre, envoyer, suivre et archiver ses factures via FacturApp |
| Catégories de personnes concernées | Les clients (personnes physiques ou représentants d'entreprises) du Client |
| Catégories de données | Nom, prénom, raison sociale, adresse postale, email, téléphone, IBAN, objet des prestations, montants facturés, dates de paiement |
| Durée | Durée de l'abonnement + 30 jours de rétention post-résiliation |
SIAJ ne traite pas de données sensibles au sens de l'art. 5 lit. c nLPD (données de santé, opinions politiques ou religieuses, données biométriques, etc.) dans le cadre de FacturApp.
3. Obligations de SIAJ (sous-traitant)
SIAJ s'engage à :
- Traiter les données uniquement sur instruction documentée du Client. L'utilisation normale de FacturApp par le Client vaut instruction. SIAJ informe le Client si une instruction lui semble contraire à la nLPD.
- Garantir la confidentialité des données auxquelles les personnes autorisées ont accès et s'assurer qu'elles s'engagent à respecter cette confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité approprié (voir art. 8 nLPD et section 5 ci-dessous).
- Ne pas recourir à un sous-sous-traitant sans l'accord écrit préalable du Client (voir section 4).
- Assister le Client dans le respect de ses propres obligations légales (réponse aux demandes des personnes concernées, notifications de violation, analyses d'impact éventuelles).
- Notifier au Client toute violation de données dans un délai maximum de 72 heures après en avoir eu connaissance (art. 24 nLPD).
- Au choix du Client, restituer ou supprimer toutes les données à la fin de la prestation, sous 30 jours.
- Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des présentes obligations.
4. Sous-traitance ultérieure (autorisation générale)
Par la conclusion du présent DPA, le Client autorise SIAJ à recourir aux sous-sous-traitants suivants :
| Sous-sous-traitant | Prestation | Localisation |
|---|---|---|
| Infomaniak Network SA Rue Eugène-Marziano 25 1227 Les Acacias, Genève |
Hébergement web, base de données MySQL, sauvegardes chiffrées, SMTP transactionnel | 🇨🇭 Suisse (Genève) |
Infomaniak est certifié ISO 27001 (management de la sécurité de l'information) et signataire d'un contrat de sous-traitance conforme à la nLPD.
SIAJ informera le Client par email au moins 30 jours à l'avance de tout changement de sous-sous-traitant. Le Client dispose d'un droit d'opposition motivé dans ce délai.
5. Mesures techniques et organisationnelles
SIAJ met en œuvre les mesures suivantes :
Sécurité technique
- Connexions chiffrées HTTPS / TLS 1.2 minimum
- Mots de passe hashés avec bcrypt (facteur de coût 12)
- Authentification à deux facteurs (2FA / TOTP) obligatoire
- Protection contre les injections SQL (requêtes préparées PDO)
- Protection XSS (échappement systématique des sorties HTML)
- Protection CSRF (jetons uniques par session)
- Headers de sécurité HTTP (CSP, HSTS, X-Frame-Options, etc.)
- Sauvegardes quotidiennes automatiques chiffrées, rétention 30 jours
- Audit trimestriel des dépendances logicielles (mises à jour de sécurité)
Sécurité organisationnelle
- Accès administrateur restreint à Alain Jordan uniquement
- Journalisation des accès et opérations sensibles
- Séparation stricte des installations : une base de données par Client
- Aucun accès aux données par des sous-traitants tiers (hors Infomaniak)
- Politique de mots de passe forts pour tous les comptes techniques
6. Assistance aux demandes des personnes concernées
Si un client final du Client exerce un droit d'accès, de rectification, d'effacement ou d'opposition, SIAJ met à disposition du Client les outils et informations nécessaires pour y répondre — notamment :
- Export complet des données concernées au format CSV / JSON sous 5 jours ouvrables
- Suppression ciblée d'un enregistrement à la demande du Client
- Assistance technique pour toute question relative aux données stockées
7. Violation de données
En cas de violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles, SIAJ :
- Notifie le Client par email dans un délai maximum de 72 heures
- Fournit une description de la nature de la violation, des catégories et volumes de données concernées, des conséquences probables et des mesures prises ou proposées
- Coopère avec le Client pour toute notification auprès du PFPDT ou des personnes concernées
- Documente la violation dans un registre interne
8. Audit et contrôle
Le Client dispose d'un droit d'audit sur les mesures de sécurité mises en place par SIAJ. Ce droit s'exerce :
- Par la remise d'un rapport écrit de SIAJ sur simple demande (gratuit)
- Par une visite sur site coordonnée (frais à la charge du Client)
- Au maximum une fois par an, sauf en cas de suspicion de violation
9. Fin du traitement
À l'issue de l'abonnement (résiliation ou non-reconduction) :
- Le Client dispose de 30 jours pour récupérer l'intégralité de ses données (export CSV natif + dump SQL sur demande)
- Passé ce délai, SIAJ procède à la suppression définitive de toutes les données du Client, y compris des sauvegardes, dans un délai maximum de 90 jours supplémentaires (rotation des sauvegardes)
- SIAJ confirme la suppression par écrit au Client sur simple demande
10. Responsabilité
En cas de manquement de SIAJ aux obligations du présent DPA, la responsabilité de SIAJ est engagée dans les limites prévues à l'article 9 des CGV (limitation au montant annuel versé par le Client).
Le Client garantit que les traitements qu'il fait effectuer via FacturApp sont conformes à la nLPD et qu'il dispose du fondement légal nécessaire (contrat, consentement, intérêt légitime, etc.). Le Client garantit SIAJ contre toute réclamation de tiers résultant d'un traitement illicite ordonné par le Client.
11. Droit applicable et for
Le présent DPA est régi par le droit suisse. Le for est fixé aux tribunaux de l'arrondissement de l'Est vaudois (canton de Vaud, Suisse), sans préjudice du droit d'action des personnes concernées auprès du PFPDT.