1 CHAMP D’APPLICATION
1.1 Les présentes Conditions Générales (CG) s’appliquent et font partie intégrante de tout contrat conclu entre un client (ci-après : le « client ») et Johdi Services Sàrl (ci-après : le « prestataire ») (ci-après ensemble : les « parties », et individuellement, la « partie »), quel que soit sa forme, et portant sur l’utilisation de la suite d’applications Johdi Suite (ci-après : l’ « application »), l’utilisation de la plateforme (www.johdi.ch) (ci-après : la « plateforme »), ou l’exécution de toute autres prestations par le prestataire (ci-après : les « prestations »).
1.2 Le contrat conclu entre le client et le prestataire comprend en principe, le contrat signé par les parties, les CG et ses annexes, ainsi que tous éventuels avenants signés par les parties (ci-après : le « contrat »).
1.3 Toute signature d’un contrat, tout règlement (partiel ou intégral) d’une facture émise par le prestataire, toute utilisation des prestations du prestataire, est un acte concluant qui engage les parties et vaut adhésion, sans réserve, aux CG et au contrat.
1.4 Le prestataire peut modifier en tout temps les présentes CG. La dernière version valable est celle qui est publiée sur le site internet du prestataire et disponible à l’adresse suivante : https://johdiservices.ch/johdisuite-conditions-generales. Toute mise à jour substantielle sera communiquée au client par courriel, par l’application ou par tout autre moyen approprié. Sauf opposition du client, les nouvelles CG entreront en vigueur 30 jours après leur notification au client. En cas d’opposition du client dans l’intervalle, le prestataire pourra, selon sa convenance, proposer au client soit de résilier le contrat, soit de proposer le maintien des CG dans leur version antérieure.
1.5 Les CG priment les conditions générales du client, notamment ses éventuelles conditions générales d’achat, même si ces dernières en disposent différemment et s’appliquent sans restriction, sauf dérogation convenue explicitement par écrit et par avenant entre les parties.
2 CONTENU DU CONTRAT
2.1 Les identités et coordonnées du client et du prestataire, les prestations et tarifs du prestataire, sont précisées aux termes du contrat signé par les parties. À défaut de signature par les parties du contrat, le contenu du projet de contrat adressé au client est réputé accepté par règlement partiel ou intégral de la facture y relative.
2.2 Le client reconnaît avoir pris connaissance des CG et du contrat, cas échéant après avoir assisté à une ou plusieurs démonstrations complètes par le prestataire de l’application, de la plateforme ou des autres prestations, et avoir effectué un choix éclairé et qui répond à ses besoins.
2.3 Les droits et obligations conférés en vertu d’un contrat au client ne peuvent être cédés ou transférés par le client à des tiers sans le consentement écrit préalable du prestataire. Le prestataire est pour sa part libre de transférer tout ou partie du contrat à tout tiers, notamment et y compris en cas de licence générale octroyée à un tiers sur l’application ou de vente de celle-ci.
3 OBLIGATIONS DES PARTIES
3.1 Les parties s’engagent à exécuter le contrat de bonne foi, dans le respect de la législation applicable et à se tenir mutuellement informées et à se communiquer spontanément et en temps utile toute information ou circonstance qui se révélerait utile à la bonne exécution de celui-ci.
3.2 Le prestataire est tenu à une obligation de moyens s’agissant de la fourniture des prestations, lesquelles sont fournies « telles quelles ».
3.3 Le client s’engage à :
4 CONDITIONS FINANCIÈRES
4.1 Les prestations du prestataire font l’objet d’une facturation et sont payables dès réception de la facture correspondante.
4.2 Les abonnements sont payables d’avance soit au plus tard pour la veille de la période concernée.
4.3 Le prix est exprimé en francs suisses non compris la taxe sur la valeur ajoutée (TVA), et le cas échéant, les diverses taxes, redevances, droits de douane, frais de déplacement, ou frais de transport. Ces taxes et frais pourront le cas échéant être refacturés par le prestataire.
4.4 Tout retard de paiement de plus de trente (30) jours peut entraîner une suspension des prestations et la désactivation de comptes utilisateurs associés. La réactivation de ces services pourra faire l’objet d’une facturation par le prestataire.
4.5 En cas de retard de paiement, le client est en demeure de plein droit et redevable d’un intérêt moratoire annuel de 8%, sans qu’un rappel préalable ne soit nécessaire. Le prestataire se réserve le droit de réclamer un dommage supplémentaire conformément à l’art. 106 CO. Un premier rappel est adressé gratuitement. À compter du deuxième rappel, des frais administratifs peuvent être facturés au client. En cas de recours à une société de recouvrement ou à des poursuites, les frais correspondants sont à la charge exclusive du client.
4.6 En cas de résiliation anticipée par le prestataire, les factures antérieures à la résiliation restent dues. Dans ce cas, le client doit indemniser le prestataire tant que les services restent actifs.
4.7 En cas de résiliation par le client, toute facturation émise avant la réception de la résiliation reste due. Les montants pour les services convenus sont dus jusqu’à l’expiration ordinaire du contrat.
4.8 Le prestataire se réserve le droit de facturer les redevances d’abonnement lorsque la mise en service est retardée par la faute du client.
5 L’APPLICATION
5.1 L’application (JoHdi suite) est une suite d’applications accessible en mode SaaS dont l’accès se fait au moyen d’un protocole sécurisé (HTTPs) et qui nécessite une liaison Internet. Elle comprend notamment les modules suivants :
5.2 En souscrivant au contrat, le client bénéficie d’un accès à l’application et à tout ou partie de ses modules selon les modalités et tarifs spécifiques prévus dans le contrat signé entre les parties, ainsi que de l’installation et de la mise à jour et maintenance de ladite application.
5.3 L’application est mise à jour régulièrement par le prestataire en fonction des impératifs techniques, de l’évolution du produit et en vue de l’élimination d’éventuels défauts. Le prestataire effectue les tests et travaux requis pour l’activation des prestations convenues, puis il adresse une confirmation de mise en service au client.
5.4 Le prestataire se réserve le droit de procéder à toute mise à jour et évolution de l’application, de ses modules et des services qui y sont associés.
5.5 Pour garantir un service optimal de l’application nous recommandons les configurations minimales suivantes :
5.6 La maintenance, la performance, la sécurité et l’exploitation de la liaison Internet, des systèmes informatiques et des postes de travail du client est de la seule responsabilité de ce dernier.
5.7 Le prestataire n’est en aucun cas responsable des dommages et/ou disfonctionnements résultant de ressources insuffisantes du client. Les éventuels coûts et le temps lié à la remise en état de l’application suite à une panne ou un problème rencontré pour un tel motif sont à la charge exclusive du client.
6 LA PLATEFORME
6.1 La plateforme web (www.johdi.ch) permet de mettre en relation des entreprises, des institutions de formation et des personnes. Les utilisateurs de la plateforme peuvent suivre de manière confidentielle des entreprises et des instituts de formations, et obtenir des informations sur des entreprises, des offres de formation ou des offres d’emploi.
6.2 À l’exception de la consultation des offres d’emploi, l’utilisation de la plateforme est réservée aux utilisateurs et requière une inscription préalable en ligne. L’inscription à la plateforme implique l’acceptation des CG.
6.3 L’utilisation de la plateforme par les entreprises ou les instituts de formation est accordée moyennant la conclusion d’un contrat prévoyant les services de la plateforme sollicités, le prix et la durée de l’abonnement à la plateforme.
7 CONDITIONS D’UTILISATION
7.1 Tout utilisateur de l’application ou de la plateforme, qu’il soit le client du prestataire ou non, (ci-après : l’ « utilisateur »), s’engage à faire une utilisation conforme aux CG, licite, raisonnable et respectueuse de l’application et/ou de la plateforme, en particulier vis-à-vis de la personnalité des candidats et collaborateurs concernés par la prestation.
7.2 Un utilisateur au sens des CG est une personne physique qui dispose d’un seul et unique compte. Il est reconnu par un identifiant unique composé, en principe, au moins des éléments suivants : prénom et nom ; adresse courriel ; mot de passe.
7.3 Le client s’engage à s’assurer que tous les utilisateurs sous sa surveillance, en particulier les collaborateurs autorisés à utiliser l’application ou la plateforme soient informés de manière appropriée des présentes CG et qu’ils les respectent, en particulier les présentes conditions d’utilisation de l’application (cf. 7.4).
7.4 Les utilisateurs de l’application ou de la plateforme s’engagent en particulier à :
7.5 En cas d’utilisation de l’application ou de la plateforme jugée illicite ou inappropriée par le prestataire ou de toute plainte d’un tiers, le prestataire se réserve le droit de suspendre l’utilisation de l’application ou de la plateforme, de fermer immédiatement le compte suspecté, et le cas échéant de divulguer l’identité de l’utilisateur ou du client, ainsi que toute information pertinente aux autorités compétentes ou à la partie plaignante.
7.6 En cas de suspicion d’une utilisation illicite ou inappropriée de l’application ou de la plateforme par le client ou un utilisateur, le client ou l’utilisateur en informe immédiatement le prestataire par téléphone ou par courriel ou selon tout autre moyen approprié.
7.7 Le client et l’utilisateur de l’application ou de la plateforme conservent de manière confidentielle et sécurisée, sous leur responsabilité, les mots de passes et identifiants d’accès à l’application ou à la plateforme et met régulièrement à jour ses mots de passe. Le prestataire n’est pas responsable d’une utilisation frauduleuse de données rendues possible par la divulgation d’un identifiant ou d’une autre action, ou omission, de la part du client.
7.8 Le client et l’utilisateur de la plateforme sont seuls responsables du contenu qu’ils entrent, communiquent et publie via l’application ou la plateforme.
8 PERFORMANCE
8.1 Autant que possible, le prestataire informe le client d’éventuelles perturbations affectant l’application ou la plateforme, dès que celles-ci sont connues.
8.2 L’application et la plateforme sont en principe disponibles de manière permanente. Des interruptions du service peuvent être prévues pour la maintenance, les mises à jour et les sauvegardes quotidiennes. Le client sera avisé des interruptions planifiées de l’exploitation. Les causes extérieures, telles que les cas d’urgence ainsi que des interruptions dues aux exploitants des réseaux et aux hébergeurs sont réservés et ne peuvent être reprochés au prestataire.
8.3 Les performances et la disponibilité de l’application sont liées à divers paramètres (nombre de comptes installés, volume des données stockées, qualité et disponibilité de l’accès à Internet, etc.). Les capacités de l’application et de la plateforme sont mises au point afin de satisfaire des exigences élevées, néanmoins, le prestataire ne saurait être tenu responsable de performances ou de disponibilités insuffisantes qui sont indépendantes de l’application et de ses prestations.
9 SUPPORT
9.1 Lorsque cela est prévu par le contrat, notamment pour les prestations de l’application, un service de support est disponible les jours ouvrables pendant les heures de travail habituelles, soit de 8h30 à 12h00 et de 13h30 à 17h30.
9.2 Le support prend note des éventuels dysfonctionnements et apporte un soutien de base aux utilisateurs formés. II ne remplace ni la formation de base, ni une formation complémentaire.
9.3 La facturation des prestations du support est prévue dans le contrat.
10 RESPONSABILITÉS
10.1 En aucun cas le prestataire n’est responsable (1) du choix des prestations choisies par le client, (2) du contenu des données enregistrées, communiquées ou publiées au moyen de l’application ou de la plateforme par le client, un utilisateur ou un candidat, ou (3) de l’utilisation de l’application ou de la plateforme, ou des données y figurant faite par le client, tout utilisateur ou tout candidat.
10.2 Ni le prestataire, ni ses collaborateurs, ses sous-traitants ou ses partenaires ne sauraient endosser une quelconque responsabilité eu égard aux affirmations faites, au comportement, ou au dossier remis par un candidat ou un utilisateur utilisant l’application ou la plateforme, ni quant à ses prestations dans l’exécution de son travail. En prenant des décisions par l’intermédiaire de l’application ou de la plateforme, le client assume seul la responsabilité des décisions et qu’il aura prises sur la base de ses propres critères d’évaluation.
10.3 Le client doit en tout temps assurer que son utilisation, ainsi que celle par toutes les personnes auxquelles il donne l’accès à l’application ou à la plateforme en tant qu’utilisateurs, font un usage de l’application qui soit conforme au contrat, aux CG, aux caractéristiques de l’application ou de la loi ainsi qu’à la loi. Toute utilisation de l’application pouvant être tenue comme non-conforme ou illicite entraîne une responsabilité directe du client pour tout préjudice qui serait causé au prestataire, directement ou indirectement, y compris réputationnel ou par ricochet.
10.4 Le client a l’obligation de signaler immédiatement d’éventuels défauts ou dysfonctionnements (bugs) qu’il relèverait lors de l’utilisation de l’application ou de la plateforme. Le prestataire s’efforcera de remédier aux défauts constatés dans les meilleurs délais.
10.5 Sauf dommages causés par sa faute grave ou par dol, toute responsabilité du prestataire est exclue pour tous dommages indirects ou consécutifs, prévisibles ou imprévisibles, y compris la perte de données, le manque à gagner, les dommages réputationnels, les dommages liés à des violations de sécurité, des virus, des erreurs des omissions ou des retards, ainsi que les frais juridiques en lien avec le contrat, ainsi que pour tous les cas où son inexécution du contrat serait causée par un événement de force majeure, la faute d’un tiers ou la faute du client (notamment une violation des CG, la fourniture d’informations ou de renseignements inexacts ou incomplets, ou tardifs).
10.6 Dans tous les cas, la responsabilité totale du prestataire est limitée au montant du prix total payé par le client pour le contrat correspondant au dommage allégué durant les douze mois précédant l’élément déclencheur de responsabilité.
10.7 Le client s’engage à défendre et indemniser entièrement le prestataire, ainsi que ses dirigeants et employés contre toute prétention de tiers, dommage, perte ou dépense (y compris les frais raisonnables d’avocat), résultant de l’utilisation des prestations non conformes à leur but ou aux instructions du prestataire ou la violation par le client de ses obligations contractuelles (y compris les CG), obligations légales ou de droits de tiers.
11 SOUS-TRAITANCE
11.1 Pour l’exécution du contrat, le prestataire pourra confier tout ou partie de ses missions à un ou plusieurs sous-traitants. Le client autorise expressément le prestataire à changer de sous-traitant ou de fournisseur à tout moment et selon sa convenance.
12 DURÉE DU CONTRAT
12.1 Sauf disposition contraire, le contrat pour (i) des prestations relatives à l’application est conclu pour une durée initiale minimale de 24 mois à compter de la mise en service de l’application par le prestataire, et (ii) pour des prestations relatives à la plateforme pour une durée initiale de 12 mois. Toute résiliation anticipée avant ce terme est exclue.
12.2 Sauf résiliation transmise par courrier recommandé par l’une des parties à l’autre partie trois (3) mois avant son échéance, le contrat est ensuite reconduit tacitement d’année en année.
12.3 À titre exceptionnel et pour de justes motifs, une partie peut résilier le contrat sans préavis. L’existence de justes motifs est retenue notamment en cas de violations graves ou répétées du contrat, tels qu’un retard de paiement de plus de deux (2) mois ou une violation des droits de propriété intellectuelle du prestataire.
12.4 En cas de faillite du prestataire, le contrat devient caduc et privé d’effet à compter de ladite faillite.
13 CONFIDENTIALITÉ
13.1 À l’exception des informations destinées à une communication ou à une publication, les parties traiteront confidentiellement toutes les informations et données obtenues dans le cadre de leurs rapports contractuels et ne communiqueront pas ces dernières à des tiers.
13.2 Est considéré par les parties comme confidentiel tout renseignement, quelle que soit la forme sous laquelle il se présente (oral, écrit, informatisé, etc.), qu’il soit de nature technique, commerciale ou financière, fourni ou obtenu par une partie au cours de tout échange avec l’autre partie, antérieurement ou postérieurement à la conclusion d’un contrat et pendant la validité dudit contrat.
13.3 Néanmoins, ne sont pas considérées comme confidentielles les informations :
13.4 Cette obligation de confidentialité devra être maintenue après l’échéance du contrat et aussi longtemps que la préservation de l’intérêt de l’une ou l’autre partie ou d’un candidat le requiert.
14 PROPRIÉTÉ INTELLECTUELLE
14.1 Le prestataire dispose des droits de propriété intellectuelle sur l’application, ses modules et la plateforme, tels que nécessaires à la conclusion et à l’exécution du contrat. Il les conserve en tout temps et rien dans le contrat, ni dans la relation contractuelle entre les parties, ne saurait être interprété comme un transfert d’un quelconque droit.
14.2 Rien dans le contrat n’octroie au client le droit d’utiliser les noms commerciaux, les marques, les logos, les noms de domaine et autres marques distinctives du prestataire, sans le consentement du prestataire et d’une autre manière que celle qui est expressément autorisée par le contrat.
14.3 Toute atteinte à l’application ou à ses modules notamment par copie, reproduction, cession, vente, modification, de tout ou partie de son code, ou de tout ou partie des éléments y liés ou relatifs, est strictement interdite et le prestataire se réserve la possibilité d’agir à l’encontre de toute personne portant atteinte à ses droits. Ceci englobe notamment toute démarche tendant à copier, en tout ou en partie, les éléments constitutifs de l’application.
14.4 Selon les conditions fixées aux présentes CG et au contrat, le prestataire octroie au client une licence simple non exclusive et intransmissible d’utilisation de l’application et de ses modules, ainsi que de la plateforme, limitée à la durée du contrat. Toute utilisation par le client hors du cadre contractuel ou après la résiliation est prohibée.
14.5 Le client s’engage à ne pas porter atteinte directement ou indirectement aux droits de propriété intellectuelle du prestataire notamment sur l’application. Il s’engage à utiliser l’application conformément à, et exclusivement en ligne avec, sa destination professionnelle.
14.6 Sauf accord écrit du prestataire, les tiers qui ne font pas partie du cercle des collaborateurs du client ou d’une entité appartenant au groupe du client ne peuvent pas devenir utilisateurs de l’application. Sont considérés comme des utilisateurs toutes personnes qui disposent d’un compte utilisateur tel que décrit dans les présentes CG.
14.7 Le client n’est pas autorisé à octroyer un accès à l’application à d’autres personnes que les utilisateurs régulièrement autorisés et sous sa surveillance.
15 PROTECTION DES DONNÉES
15.1 Les parties au contrat sont soumises aux dispositions légales applicables en matière de protection des données personnelles, notamment la loi fédérale sur la protection des données (LPD) ainsi que le cas échéant, les lois cantonales de protection des données personnelles, le règlement européen général sur la protection des données (RGPD) ou toute autre règlementation en la matière, lorsque celles-ci sont applicables, et s’engagent à les respecter.
15.2 Les données sont traitées par le client qui conserve la maîtrise sur celles-ci et sur les moyens et les finalités du traitement. Le client est ainsi seul responsable du contenu et de la bonne gestion des données stockées au moyen de l’application au regard tant des circonstances que de la règlementation applicable, notamment en matière de protection des données personnelles.
15.3 Le client est responsable de la collecte, de la conservation, de l’archivage et de la suppression en temps utile des données et des documents, à moins qu’il en ait fait contractuellement et spécifiquement obligation au prestataire dans le cadre du contrat.
15.4 Pour tout traitement de données personnelles délégué au prestataire par le client, notamment pour l’utilisation de l’application par le client, l’addendum sur la protection des données personnelles, qui figure en annexe des CG, est applicable.
15.5 Tout candidat qui postule en utilisant l’application doit, pour valider sa candidature, accepter les conditions d’utilisation (CU) affichées en ligne. Le client a la possibilité de personnaliser ces CU et s’assure lui-même de leur conformité avec ses propres obligations règlementaires ou contractuelles.
16 MARKETING
16.1 Sauf indication contraire, le client accepte que le prestataire fasse apparaître des informations sur les pages consultées par les utilisateurs ou les candidats.
16.2 Sauf indication contraire, le client accepte que le prestataire fasse mention de la raison sociale du client sur ses publications (y compris publication online).
17 DISPOSITIONS DIVERSES
17.1 Tous les documents seront rédigés en langue française uniquement.
17.2 Toute modification ou complément à un contrat se fera en la forme écrite et doit être signé par les parties pour être valable.
17.3 Si une ou plusieurs clauses des présentes CG devaient se révéler non valables, la validité des autres clauses n’en serait pas affectée.
18 DROIT APPLICABLE ET FOR
18.1 Les présentes CG sont soumises au droit suisse uniquement.
18.2 Le for juridique est localisé au siège du prestataire.
ADDENDUM SUR LA PROTECTION
DES DONNÉES PERSONNELLES
1 PARTIES À L’ADDENDUM
Le présent addendum de sous-traitance de traitements de données personnelles (ci-après : l’ « Addendum ») est conclu entre :
L’identité et les coordonnées des parties sont précisées dans le cadre du contrat signé par les parties.
2 OBJET DE L’ADDENDUM
Le Responsable du traitement est un client du Sous-traitant et confie à ce titre à ce dernier un certain nombre de services impliquant des traitements de données personnelles dans le cadre de leur relation contractuelle, notamment la fourniture des applications de la Johdi Suite, et selon les modalités convenues aux termes du contrat liant les parties, et en vertu duquel le Sous-traitant s’est engagé à traiter des données personnelles pour le compte du Responsable du traitement.
L’Addendum définit les obligations des parties en matière de protection des données personnelles et vise à assurer le respect des lois applicables en la matière, principalement de la Loi fédérale sur la protection des données (LPD) ainsi que, le cas échéant, les lois cantonales de protection des données personnelles, lorsque celles-ci sont applicables (ci-après : les « lois applicables »).
L’Addendum s’applique à tout traitement de données personnelles par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du contrat et fixe uniquement les obligations relatives à la protection des données personnelles entre les parties.
L’Addendum fait partie intégrante du contrat conclu entre les parties et comprenant les CG ou tout complément sur lequel les parties se mettent d’accord par écrit.
3 DISPOSITIONS GÉNÉRALES
3.1 Définitions
Les notions de « données personnelles », de « traitement de données personnelles », de « communication de données personnelles », de « responsable du traitement » ou de « sous-traitant » figurant au présent Addendum sont données par les lois applicables.
Les notions commençant par une majuscule figurant au présent Addendum et qui ne sont pas spécialement définies dans le cadre de l’Addendum ont la même définition que celle donnée aux CG.
3.2 Ordre de priorité des documents contractuels
Dans le cas d’une contradiction ou d’une incohérence entre l’Addendum ou avec tout autre accord liant les parties dans le cadre du contrat, (y compris après la conclusion de l’Addendum), les clauses de l’Addendum l’emporteront, à moins que les parties n’en aient convenu autrement explicitement par écrit (y compris en la forme électronique).
3.3 Description des traitements
Les traitements de données personnelles qui font l’objet de l’Addendum sont décrits en Annexe 1 de celle-ci.
Si cela s’avère nécessaire, les parties peuvent apporter en tout temps des modifications et des ajouts raisonnables à l’Annexe 1 par écrit (y compris en la forme électronique).
3.4 Durée de l’Addendum
L’Addendum est conclu pour la même durée que le contrat et prendra automatiquement fin au même moment que celui-ci.
Nonobstant ce qui précède, toutes les obligations du Sous-traitant issues de l’Addendum continueront à s’appliquer aussi longtemps que le Sous-traitant, ainsi que tout sous-traitant ultérieur, continuent de traiter des données personnelles pour le compte du Responsable du traitement dans le cadre du contrat.
4 OBLIGATIONS DES PARTIES
4.1 Responsable du traitement
Le Responsable du traitement garantit qu’il traite les données personnelles faisant l’objet de l’Addendum conformément aux lois applicables (y compris l’information des personnes concernées). Il garantit également que les traitements délégués au Sous-traitant et ses instructions sont conformes aux lois applicables. Le Responsable du traitement est seul responsable de prendre les mesures, notamment de sécurité et d’instruction de son personnel, pour assurer la sécurité des données qu’il traite.
Le Responsable du traitement dispose d’un pouvoir d’instruction vis-à-vis du Sous-traitant en ce qui concerne le traitement des données personnelles délégué. Il veille notamment à ce que ne soient pas délégués des traitements qu’il ne serait pas en droit d’effectuer lui-même ou qu’un secret interdirait. Il répondra aux demandes et assistera le Sous-traitant dans toute la mesure nécessaire.
Le Responsable du traitement communique les données personnelles au Sous-traitant exclusivement dans le but et pour leur traitement en lien avec le contrat ceci en conformité avec l’Addendum.
Le Responsable du traitement devra informer le Sous-traitant de toute obligation légale et spécifique lui incombant en application des lois applicables et dont le Sous-traitant ne pourrait pas avoir raisonnablement connaissance.
4.2 Sous-traitant
4.2.1 Instructions
Le Sous-traitant est tenu de traiter les données personnelles qui lui sont confiées conformément aux instructions documentées du Responsable du traitement, à l’Addendum, au contrat et aux lois applicables, ainsi que conformément à l’objet, la finalité et la durée du traitement prévu avec le Responsable du traitement.
4.2.2 Confidentialité
Le Sous-traitant s’assure que les personnes sous sa responsabilité autorisées à traiter les données personnelles, notamment son personnel, s’engagent à respecter la confidentialité et l’Addendum. Il s’assure que l’accès aux données personnelles par celles-ci est limité au nécessaire.
Le Sous-traitant veille à ce que ses employés chargés du traitement soient formés, instruits et surveillés de manière appropriée et continue en ce qui concerne le respect des exigences en matière de sécurité de l’information et de protection des données personnelles.
4.2.3 Sécurité des données personnelles
Le Sous-traitant s’assure que toutes les mesures techniques et organisationnelles appropriées ont été prises afin d’assurer la sécurité des données personnelles, en particulier pour éviter que les données personnelles ne soient accessibles aux personnes non autorisées, assurer la disponibilité des données personnelles, empêcher la modification des données personnelles sans droit ou par mégarde et permettre la traçabilité du traitement.
En particulier, le Sous-traitant met en œuvre les moyens qui sont décrits dans l’Annexe 2 de l’Addendum. Ces moyens sont considérés comme suffisants par le Responsable du traitement en fonction de la nature des données personnelles qui sont traitées et des circonstances du traitement.
En cas de violation de la sécurité des données personnelles ou d’incident lié à la sécurité des données personnelles, le Sous-traitant en informe immédiatement le Responsable du traitement et prend immédiatement des mesures pour identifier et comprendre les raisons et circonstances de la violation ou de l’incident. Il prend les mesures nécessaires pour mettre un terme à la violation et atténuer ses conséquences pour les personnes concernées.
4.2.4 Obligations d’assistance
Le cas échéant et si nécessaire, le Sous-traitant doit aider à l’établissement et à la mise à jour du registre des activités de traitement soumises à l’Addendum, la réalisation d’analyses d’impact relatives à la protection des données et la réponse à des requêtes d’autorités et demandes de personnes concernées. Le temps consacré sera facturé au tarif usuel par le Sous-traitant.
4.2.5 Restitution et suppression des données personnelles
À la fin de l’Addendum, le Sous-traitant supprime toutes les données personnelles en sa possession, à moins que le Responsable du traitement n’en ait préalablement demandé la restitution.
Les obligations légales de conservation du Sous-traitant sont réservées.
5 AUDIT
Sur requête du Responsable du traitement, le Sous-traitant mettra à la disposition du Responsable du traitement toute information qui serait nécessaire pour établir le respect de l’Addendum.
Le Responsable du traitement peut effectuer, à ses frais, un audit au sein du Sous-traitant en lien avec le traitement des données personnelles afin de s’assurer qu’il respecte les exigences et obligations prévues dans l’Addendum.
Le Responsable du traitement informera le Sous-traitant raisonnablement en avance de tout audit qui devrait être mis en œuvre. Les parties désigneront un tiers pour effectuer l’audit tout en garantissant le secret d’affaires et la confidentialité des données traitées par le Sous-traitant (en particulier pour d’autres clients). Par principe, tout audit devra être effectué durant les heures normales de bureau et fera en sorte d’éviter au mieux de causer, tout préjudice ou perturbation au Sous-traitant.
Le Sous-traitant devra assurer que ce droit d’audit puisse valablement et intégralement être mis en œuvre auprès de tout sous-traitant ultérieur.
6 DROITS DES PERSONNES CONCERNÉES
Le Sous-traitant est tenu d’aider au mieux le Responsable du traitement à répondre aux prétentions des personnes concernées qui se rapportent au traitement délégué en application de l’Addendum (droit d’accès, rectification, suppression, opposition, limitation, portabilité, etc.).
Les demandes et les requêtes adressées directement au Sous-traitant seront transmises sans délai par celui-ci au Responsable du traitement pour qu’il y réponde, sauf obligation légale contraire.
Le Sous-traitant ne répondra pas à une prétention d’une personne concernée, ne rectifiera pas, n’effacera pas ou ne limitera pas le traitement des données personnelles de sa propre initiative, mais uniquement sur instruction documentée du Responsable du traitement.
7 SOUS-TRAITANCE EN CASCADE
Le Sous-traitant est autorisé de façon générale à faire appel à un ou plusieurs sous-traitants ultérieurs ou à remplacer un contrat de sous-traitance existant.
Le Sous-traitant informera le Responsable du traitement de tout nouveau sous-traitant ultérieur. En cas d’opposition du Responsable du traitement et si les Parties ne parviennent pas à une résolution., le Sous-traitant pourra résilier immédiatement le contrat sans pénalités. Le Responsable du traitement est informé et accepte les personnes listées à l’Annexe 3 comme sous-traitants ultérieurs.
Le Sous-traitant reste responsable vis-à-vis du Responsable du traitement du respect par ses propres sous-traitants des obligations en matière de protection des données personnelles conformément à l’Addendum, au contrat et aux lois applicables. Le sous-traitant ultérieur devra respecter toutes les obligations que l’Addendum impose au Sous-traitant.
Tout traitement de données personnelles par le sous-traitant ultérieur pourra uniquement porter sur des opérations de traitement qui sont autorisées par l’Addendum et le contrat.
8 COMMUNICATION TRANSFRONTIÈRE DE DONNÉES
En principe, le Sous-traitant traite les données personnelles en Suisse.
Par exception à ce principe, des données personnelles peuvent être communiquées hors de Suisse si (i) l’État de destination assure un niveau de protection adéquat pour le transfert considéré ou, à défaut, si (ii) les parties ont signé des clauses contractuelle types reconnues et approuvées par l’autorité de contrôle compétente en matière de protection des données personnelles. Le Sous-traitant confirme que lesdites clauses contractuelles types sont suffisantes pour permettre la communication transfrontière de données.
Le Sous-traitant assure que tout sous-traitant ultérieur est lié par les clauses contractuelles types si le traitement qui lui est délégué n’est pas situé dans un pays disposant d’un niveau de protection adéquat en matière de protection des données.
***
ANNEXE 1 – DESCRIPTION DU TRAITEMENT
Catégories de Personnes concernées :
• Données des clients ;
• Données des collaborateurs des clients ;
• Données des candidats des clients.
Catégories de Données Personnelles :
• Données d’identité (prénom, nom, genre, état civil, photographie, etc.) ;
• Données de coordonnées (adresse électronique, adresse postale, numéro de téléphone, etc.) ;
• Données de situation administrative (permis de séjour, assurances sociales, données bancaires, etc.)
• Données professionnelles (fonction, formation, expérience professionnelle, secteur, etc.) ;
• Données de candidature (CV, lettres de motivations, disponibilité, prétentions, etc.) ;
• Données d’intégration et d’évaluation ;
• Données sensibles (lorsque nécessaire, notamment données de santé, par ex. pour une situation de handicap, antécédents judiciaires, par ex. pour un métier exposé) ;
• Données d’évaluation.
Nature du Traitement :
• Hébergement et utilisation des données pour la fourniture de la plateforme et de l’application.
Finalité(s) du Traitement :
• Assurer le fonctionnement de la plateforme et de l’application, et la disponibilité des données.
Durée de conservation des données personnelles ou critères utilisés pour déterminer cette durée :
• Durée nécessaire à l’exécution du contrat.
ANNEXE 2 – MESURES TECHNIQUES ET ORGANISATIONNELLES
Mesures visant à garantir la disponibilité et le rétablissement des données :
• backup serveur et base de données sur 90 jours ; données stockées et chiffrées au repos ;
• Ensemble du code stocké sur un système de versioning sécurisé.
Mesures d’identification et d’autorisation de l’utilisateur :
• login, mot de passe et double authentification.
Mesures de protection des données pendant la transmission :
• https/TLS données encryptées.
Mesures visant à garantir la sécurité physique des lieux où les données personnelles sont traitées :
• données hébergées dans une infrastructure certifiée ISO 27001, 14001, 50001, 9001.
Procédures visant à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement :
• audits de sécurité réalisés par un tiers de manière régulière.
Mesures visant à garantir la minimisation des données :
• collecte uniquement des données strictement nécessaires au service.
Mesures visant à garantir une conservation limitée des données personnelles :
• Suppression automatique des données candidat telles que CV, lettres de motivation, etc. ;
• Suppression automatique des données client à la fin du contrat (sous réserves de nos obligations légales ou d’une demande de conservation.
Mesure d’anonymisation des données personnelles :
• Certaines informations (âge, secteur, provenance, etc.) peuvent être conservées sous forme anonymisée et agrégée à des fins statistiques.
ANNEXE 3 – LISTE DES SOUS-TRAITANTS ULTÉRIEURS
Le Responsable du traitement est informé et autorise le recours aux sous-traitants ultérieurs suivants :
1.
Nom : MobileThinking Sàrl
Adresse : Route des Acacias 43, 1227 Genève
Pays : Suisse
Description du Traitement : Développement, évolution et maintenance des applications de Johdi Suite
2.
Nom : Infomaniak Network SA
Adresse : Rue Eugène- Marziano 25
Pays : 1227 Genève
Description du Traitement : Hébergement des données
3.
Nom : Amazon Web Services EMEA Sàrl
Adresse : Avenue John F. Kennedy 38
Pays : L-1855 Luxembourg
Description du Traitement : Envoi de courriels transactionnels