Contrat de traitement des données
Contrat de traitement des données
Digitales Zeugs UG
Le présent contrat de traitement des commandes (ci-après « CAT ») concrétise les obligations concernant
protection des données qui découlent de la relation contractuelle entre Digitales Zeugs UG (ci-après « le fournisseur ») et le client.
et leurs clientes et clients (ci-après « mandants »). Base pour le
Les conditions générales de vente (ci-après « CGV ») constituent la base de la relation contractuelle entre les parties.
la déclaration de protection des données (ci-après « DSE ») et celles-ci font donc partie intégrante du CUU.
Le CUU s’applique à toutes les activités découlant de la relation contractuelle entre les parties.
et pour lesquels les collaborateurs du fournisseur d’accès ou des tiers mandatés par le fournisseur d’accès
traitent des données à caractère personnel (ci-après « données ») du donneur d’ordre. Pour tous les
le client peut contacter le responsable de la protection des données du fournisseur pour toute question relative à la protection des données.
datenschutz@TCMASSIST.org atteindre.
- Objet, durée et spécification du traitement des données à caractère personnel
1.1. L’objet et la durée de la mission ainsi que la nature et la finalité du traitement résultent
Les conditions générales de vente s’appliquent en principe, sauf si les dispositions suivantes
des obligations supplémentaires.
1.2. L’annexe A du CUU décrit l’objet, le type et la finalité du traitement des données à caractère personnel.
est spécifiée.
- Champ d’application et responsabilité
2.1. Le fournisseur d’accès traite des données à caractère personnel pour le compte du client. Ceci
comprend des activités qui sont décrites dans les CG, le DSE, l’annexe A du CUU et l’actuelle
Les prestations sont concrétisées dans la description des prestations sur le site web du fournisseur.
2.2. Dans le cadre de la relation contractuelle, le client est responsable de la
dispositions légales de la législation sur la protection des données, notamment pour la légalité
de la transmission des données au fournisseur d’accès ainsi que pour la légalité du traitement des données
seul responsable.
2.3. en remplissant le masque de connexion pour l’enregistrement et la commande d’un compte d’utilisateur
(« compte TCMASSIST ») sur le site web du fournisseur, le client autorise le fournisseur à
instructions correspondantes sur le traitement des données. Le mandant peut donner ses instructions en
son compte TCMASSIST ou en informant le fournisseur d’accès.
se retirer. Les instructions qui ne sont pas prévues dans les CG sont considérées comme une demande de
modification de la prestation. Les instructions orales doivent être immédiatement transmises par écrit ou par
Le donneur d’ordre est tenu d’effectuer la saisie correspondante sur le compte de TCMASSIST.
- Obligations du fournisseur d’accès
3.1. Le fournisseur d’accès ne traite les données des personnes concernées que dans le cadre du
relation contractuelle conformément aux CGV, à la DSE et au présent CUU ; sauf s’il y a
un cas exceptionnel réglé par la loi existe.
3.2. Le fournisseur d’accès conçoit, dans son domaine de responsabilité, l’organisation interne de l’entreprise
de manière à répondre aux exigences particulières de la protection des données. Il rencontre
des mesures techniques et organisationnelles pour protéger de manière adéquate les données du
mandant qui répondent aux exigences légales respectives. En particulier
garantissent la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des données.
services liés au traitement. Le donneur d’ordre doit
ces mesures techniques et organisationnelles et qu’il assume la responsabilité de leur mise en œuvre.
responsabilité de s’assurer qu’ils sont conscients des risques liés aux données traitées.
offrir un niveau de protection adéquat.
3.3. Dans la mesure où il en a été convenu ainsi, le fournisseur soutient le donneur d’ordre dans le cadre de ses activités.
Possibilités de répondre aux demandes et aux exigences en matière de protection des données
des personnes concernées ainsi que dans le respect des obligations légales en matière de protection des données. Le site
Conformément aux CGV, le fournisseur d’accès est en droit d’exiger un dédommagement pour ces frais.
3.4. Les collaborateurs chargés du traitement des données du donneur d’ordre, ainsi que
d’autres tiers travaillant pour le fournisseur d’accès traitent les données uniquement dans le cadre du
relation contractuelle conformément aux CGV, à la DSE et au présent CUU et doivent être
secret.
3.5. Si le fournisseur d’accès a connaissance d’une violation de la protection des données à caractère personnel,
il prend les mesures raisonnables pour assurer la sécurité des données et réduire les risques d’atteinte à la vie privée.
des conséquences négatives pour les personnes concernées. En outre, le fournisseur d’accès respecte les
les dispositions légales concernant la notification des violations de la protection des données
pleinement.
3.7. Le fournisseur respecte pleinement les dispositions légales en vigueur en matière de protection des données.
et vérifie l’efficacité des mesures techniques et organisationnelles pour
Assurer la sécurité du traitement régulièrement.
3.8. Le fournisseur d’accès traite et stocke les données à caractère personnel aussi longtemps que l’utilisateur le souhaite.
relation contractuelle entre le fournisseur d’accès et le client. Le fournisseur d’accès
rectifie ou supprime les données faisant l’objet du contrat si le client le demande
et que cela fait partie du champ d’application de la directive. Sont exclues les données qui
pour la poursuite du traitement en raison de prescriptions légales ou pour des raisons internes impératives
de l’entreprise. La publication des données et la rémunération correspondante sont prévues dans la loi sur la protection des données.
régies par les CGV.
- Obligations du client
4.1. Le donneur d’ordre doit immédiatement et intégralement informer le fournisseur par écrit ou via le
compte TCMASSIST s’il constate des erreurs ou des omissions dans les résultats de la commande.
constate des irrégularités concernant les dispositions légales relatives à la protection des données.
4.2. Le donneur d’ordre indique au fournisseur d’accès l’interlocuteur pour les questions relatives à la protection des données dans le cadre du contrat.
de protection des données dans le cadre de la relation contractuelle, pour autant qu’il soit informé par la
de l’interlocuteur.
4.3. Le client déclare qu’il est seul responsable de l’information fournie par la
Les personnes concernées par le traitement des données sont informées de l’éventuel stockage des données,
-L’utilisation, le traitement et la transmission des données par le fournisseur d’accès sont régis par les dispositions de l’art.
aux CGV, à la DSE et au présent CUU. Si certaines personnes concernées devaient être
Si le client n’est pas d’accord avec le traitement des données prévu par la loi, il est tenu de le faire savoir.
responsable de la suppression des données correspondantes dans son compte TCMASSIST.
- Demandes de personnes concernées
5.1. Si une personne concernée s’adresse à nous pour demander la rectification, l’effacement ou la suppression de ses données personnelles, elle peut le faire par écrit.
renseignements au fournisseur d’accès, le fournisseur d’accès renverra la personne concernée au mandant
si, selon les indications de la personne concernée, l’attribution à l’entité adjudicatrice n’est pas possible.
personne est possible. Le fournisseur d’accès transmet la demande de la personne concernée dans un délai de
délai raisonnable au donneur d’ordre. Le fournisseur d’accès peut informer le client
de protection des données d’une personne concernée dans le cadre de ses activités.
de leurs possibilités. Dans ce cas, le fournisseur d’accès est en droit de demander une
de demander une indemnité de frais. Le fournisseur d’accès n’est pas responsable si la demande de la
personne concernée, le pouvoir adjudicateur ne répond pas, ou pas correctement, ou pas dans le délai imparti
sera.
- Moyens de preuve
6.1. Le fournisseur d’accès doit informer le client qu’il doit se conformer aux règles énoncées dans la présente annexe.
obligations par des moyens appropriés. Cela se fait par un auto-audit et/ou
Certification ISO.
6.2. Si, dans un cas particulier, des inspections devaient être effectuées par le donneur d’ordre ou par un tiers mandaté par celui-ci
Si l’intervention d’un contrôleur mandaté est nécessaire (p. ex. en raison de l’assujettissement au RGPD), celle-ci est transmise à la personne concernée.
pendant les heures de bureau habituelles, sans perturber le fonctionnement de l’entreprise, sur rendez-vous au
Les projets sont réalisés en tenant compte d’un délai raisonnable. Le fournisseur d’accès peut les utiliser de
de la notification préalable avec un préavis raisonnable et de la signature d’une
Déclaration de confidentialité concernant les données d’autres clients et les systèmes d’information mis en place.
mesures techniques et organisationnelles. Si l’objectif fixé par le
les auditeurs mandatés par le donneur d’ordre sont dans une relation de concurrence avec le fournisseur d’accès,
le fournisseur d’accès peut le refuser et proposer une personne neutre. Les éventuels problèmes liés à la
Le fournisseur d’accès peut facturer au client les frais liés au contrôle,
en particulier si aucune irrégularité n’a pu être constatée.
6.3. Si une autorité de contrôle de la protection des données ou une autre autorité de contrôle souveraine
du donneur d’ordre procèdent à une inspection, le point 6.2 s’applique en principe par analogie.
Il n’est pas nécessaire de signer un engagement de confidentialité si celui-ci
l’autorité de contrôle est soumise à une obligation de secret professionnel ou légal, en cas de
dont l’infraction est punie par le code pénal.
- Sous-traitants (autres sous-traitants)
7.1. Le fournisseur d’accès peut faire appel à des sous-traitants pour l’exécution de la prestation contractuelle. Le site
L’engagement de sous-traitants par le fournisseur d’accès en tant que sous-traitants est autorisé,
dans la mesure où, dans l’étendue de la sous-traitance, celle-ci répond elle-même aux exigences de la présente
Le CUU remplit les conditions. Le fournisseur d’accès conclut avec les sous-traitants, dans la mesure nécessaire, les accords suivants
des accords visant à prendre des mesures appropriées en matière de protection des données et de sécurité de l’information.
de garantir le respect de la loi. les sous-traitants qui n’ont pas accès aux données des clients ou qui ne sont pas
Les personnes qui traitent des données à caractère personnel en tant que sous-traitants sont tenues de respecter les dispositions de la présente directive.
à l’exception du présent chapitre. Une liste des sous-traitants actuels au sens d’un
(ci-après dénommé « sous-traitant » pour des raisons de simplicité) peut être exigée si nécessaire.
7.2. Le donneur d’ordre accepte que le fournisseur d’accès puisse utiliser les informations mentionnées sur le site web du fournisseur d’accès.
fait appel à des sous-traitants. Avant de faire appel à d’autres sous-traitants, le
fournisseur d’accès au client en mettant à jour son site web. L’aperçu sur la
Le site web doit être mis à jour au moins 14 jours avant la consultation. Le mandant
consultera régulièrement l’aperçu. Le donneur d’ordre peut accepter la modification dans un délai de 14
jours à compter de la date à laquelle il en a eu connaissance, pour une raison importante. En l’absence d’opposition
dans le délai imparti, l’acceptation de la modification est réputée acquise. S’il y a un problème important
raison liée à la protection des données, et dans la mesure où la recherche d’une solution consensuelle
entre les parties n’est pas possible, le fournisseur d’accès bénéficie d’un droit de résiliation spécial
a été accordée.
- Obligations d’information
8.1. Si les données du donneur d’ordre devaient être saisies ou confisquées chez le fournisseur d’accès,
par une procédure d’insolvabilité ou de concordat ou par tout autre événement ; ou
mesures prises par des tiers, le fournisseur d’accès doit immédiatement informer le donneur d’ordre
d’en informer le public. Le fournisseur d’accès devra informer toutes les personnes responsables dans ce contexte.
informer immédiatement que la souveraineté et la propriété des données
incombent exclusivement au donneur d’ordre.
- Responsabilité
9.1. La responsabilité est régie par les dispositions correspondantes des CG.
- Autres
10.1. Pour le reste, les dispositions des CG et DSE s’appliquent. En cas d’éventuelles contradictions
entre le CUU et les CGV, les dispositions des CGV prévalent. Si certains
Si des parties du CUU sont invalides, cela affecte la validité des CGU et des autres dispositions.
dispositions du CUU ne sont pas
Les annexes A et B font partie intégrante du CUU.
Dernière version : mai 2023
Digitales Zeugs UG
Objet de la
ordre :
Traitement des données à caractère personnel du donneur d’ordre dans
dans le cadre de son utilisation des services du Fournisseur en tant que Software as a
service.
Nature et objectif de la
prévu
Traitement de
données :
Les données à caractère personnel traitées par le donneur d’ordre sont
au fournisseur dans le cadre des prestations Software as a Service
transféré. Le fournisseur d’accès traite ces données exclusivement conformément à
les CGV et la description des prestations correspondantes sur le site web
du fournisseur d’accès
personnelles
données :
Les types de données dépendent des informations transmises par le donneur d’ordre.
données. Il s’agit notamment (en fonction de la mission)
- Données de base des personnes (nom, date de naissance, adresse,
employeur), y compris les coordonnées (p. ex. téléphone, e-mail)
- données contractuelles, y compris la facturation et les données de paiement
- Historique des données contractuelles
Catégories
personnes concernées :
Les catégories de personnes concernées dépendent des critères établis par le
données transmises par le donneur d’ordre. Ceux-ci sont notamment (en fonction
de l’ordre) :
- collaborateurs (y compris les candidats et les anciens
collaborateurs) de l’entité adjudicatrice
- Clients du commanditaire
- Intéressés du pouvoir adjudicateur
- Prestataire de services du donneur d’ordre
- Coordonnées des personnes de contact
Suppression, blocage
et rectification de
données :
Les demandes d’effacement, de blocage et de rectification doivent être adressées au
Les règles contenues dans les CGV, dans les conditions générales de vente et dans les contrats de location s’appliquent par ailleurs.
de la DSE et du présent CUU.
