Accord sur le traitement des commandes (CST)

version ; avril 2023.
Sous réserve de modifications à tout moment.

Préambule
Le présent contrat de traitement des commandes (ci-après "CST") concrétise les obligations relatives à la protection des données qui découlent de la relation contractuelle entre l'ASMIQ I/O SA (ci-après "le fournisseur") et ses clients (ci-après "le client"). Les conditions générales de vente (ci-après "CGV") et la déclaration de protection des données (ci-après "DSE") constituent la base de la relation contractuelle entre les parties et font donc partie intégrante du CUV. Le CUV s'applique à toutes les activités découlant de la relation contractuelle entre les parties et dans le cadre desquelles les collaborateurs du fournisseur ou les tiers mandatés par le fournisseur traitent des données à caractère personnel (ci-après "données") du client. Pour toute question relative à la protection des données, le client peut contacter le responsable de la protection des données du fournisseur à l'adresse suivante : datenschutz@old.asmiq.io.

  1. Objet, durée et spécification du traitement des données à caractère personnel
    1.1 L'objet et la durée de la commande ainsi que la nature et la finalité du traitement découlent en principe des CGV, à moins que les dispositions suivantes n'imposent des obligations allant au-delà.
    1.2 L'annexe A du CUU spécifie l'objet, la nature et la finalité du traitement des données à caractère personnel.
  2. Champ d'application et responsabilité
    2.1 Le fournisseur traite des données à caractère personnel pour le compte du client. Cela comprend des activités qui sont concrétisées dans les CG, la DSE, l'annexe A du CUU et la description actuelle des prestations sur le site web du fournisseur.
    2.2 Dans le cadre de la relation contractuelle, le client est seul responsable du respect des dispositions légales des lois sur la protection des données, en particulier de la légalité de la transmission des données au fournisseur d'accès ainsi que de la légalité du traitement des données.
  3. Obligations du fournisseur d'accès
    3.1 Le fournisseur d'accès ne traite les données des personnes concernées que dans le cadre de la relation contractuelle conformément aux CGU, à la DSE et au présent CUU ; sauf exception prévue par la loi.
    3.2 Dans son domaine de responsabilité, le fournisseur conçoit l'organisation interne de l'entreprise de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Il prend des mesures techniques et organisationnelles pour assurer une protection adéquate des données du client, qui satisfont aux exigences légales respectives. Celles-ci garantissent notamment la confidentialité, l'intégrité, la disponibilité et la résistance des systèmes et services liés au traitement sur le long terme. Le donneur d'ordre a connaissance de ces mesures techniques et organisationnelles et assume la responsabilité de veiller à ce qu'elles offrent un niveau de protection adéquat au regard des risques liés aux données à traiter.
    3.3 Les mesures prises par le fournisseur d'accès sont précisées à l'annexe B. Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. Dans cette mesure, le fournisseur d'accès est autorisé à mettre en œuvre à tout moment des mesures alternatives adéquates. Ce faisant, le niveau de sécurité convenu contractuellement avec la présente CUU ne doit pas être inférieur.
    3.4 Dans la mesure où il en a été convenu ainsi, le fournisseur aide le client, dans la limite de ses possibilités, à répondre aux demandes et aux exigences des personnes concernées en matière de protection des données et à respecter les obligations légales en la matière. Conformément aux CGV, le fournisseur d'accès est en droit d'exiger une indemnité pour cela.
    3.5 Les collaborateurs chargés du traitement des données du client ainsi que les autres tiers travaillant pour le fournisseur traitent les données exclusivement dans le cadre de la relation contractuelle conformément aux CG, à la DSE et au présent CGU et sont tenus au secret.
    3.6 Dans la mesure où le fournisseur a connaissance d'une violation de la protection des données personnelles, il prend les mesures raisonnables pour sécuriser les données et atténuer les éventuelles conséquences négatives pour les personnes concernées. En outre, le fournisseur respecte intégralement les dispositions légales en vigueur concernant la notification des violations de la protection des données.
    3.7 Le fournisseur d'accès respecte pleinement les dispositions légales en vigueur en matière de protection des données et vérifie régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
    3.8 Le fournisseur traite et stocke les données personnelles tant que la relation contractuelle entre le fournisseur et le client existe. Le fournisseur rectifie ou supprime les données faisant l'objet du contrat si le client le demande et si cela est compris dans le cadre des instructions. En sont exclues les données dont le traitement ultérieur est requis par des dispositions légales ou à des fins internes impératives. La restitution des données et la rémunération correspondante sont régies par les CGV.
  4. Obligations du client
    4.1 Le client doit informer le fournisseur immédiatement et complètement par écrit ou via le centre d'assistance basé sur le web (système de tickets) s'il constate des erreurs ou des irrégularités dans les résultats de la commande en ce qui concerne les dispositions relatives à la protection des données.
    4.2 Le client indique au fournisseur l'interlocuteur pour les questions de protection des données qui se posent dans le cadre de la relation contractuelle, si cet interlocuteur est différent de celui mentionné.
    4.3 Le client déclare qu'il est seul responsable de l'information des personnes concernées par le traitement des données concernant l'éventuel stockage et l'utilisation des données,
    -Le traitement et la transmission des données par le fournisseur d'accès sont conformes aux dispositions des CG, de la DSE et du présent CGU. Si certaines personnes concernées ne sont pas d'accord avec le traitement des données prévu, le client est responsable de demander la suppression des données en question via le centre d'assistance basé sur le web (système de tickets).
    4.4 En acceptant les CGV et la DSE, le client donne expressément son accord pour la transmission de ses données à la société mère du fournisseur d'accès et aux sociétés liées. Le donneur d'ordre libère le fournisseur d'accès de toute revendication éventuelle. Il appartient au donneur d'ordre d'obtenir le consentement des personnes concernées.
  5. Demandes de personnes concernées
    5.1 Si une personne concernée s'adresse au fournisseur avec des demandes de rectification, d'effacement ou d'information, le fournisseur renverra la personne concernée au mandant, dans la mesure où une attribution au mandant est possible selon les indications de la personne concernée. Le fournisseur d'accès transmettra la demande de la personne concernée au mandant dans un délai raisonnable. Le fournisseur peut, dans la mesure de ses possibilités, soutenir le client en cas de revendications d'une personne concernée en matière de protection des données. Dans ce cas, le fournisseur est en droit d'exiger un dédommagement. Le fournisseur n'est pas responsable si le client ne répond pas, pas correctement ou pas dans les délais à la demande de la personne concernée.
  6. Moyens de preuve
    6.1 Le fournisseur prouve au client le respect des obligations fixées dans la présente annexe par des moyens appropriés. Cela se fait par le biais d'un auto-audit et/ou d'une certification ISO.
    6.2 Si, dans un cas particulier, des inspections doivent être effectuées par le client ou par un contrôleur mandaté par celui-ci (par exemple en raison de l'assujettissement au RGPD), celles-ci seront effectuées pendant les heures de bureau habituelles sans perturber le fonctionnement de l'entreprise, après notification et en tenant compte d'un délai de préavis raisonnable. Le fournisseur d'accès peut les faire dépendre d'une notification préalable avec un préavis raisonnable et de la signature d'une déclaration de confidentialité concernant les données d'autres clients et les mesures techniques et organisationnelles mises en place. Si l'auditeur mandaté par le client se trouve dans une relation de concurrence avec le fournisseur, ce dernier peut le récuser et proposer une personne neutre. Le fournisseur peut facturer au client les éventuels frais liés à l'audit, notamment si aucune irrégularité n'a pu être constatée.
    6.3 Si une autorité de contrôle de la protection des données ou une autre autorité de contrôle souveraine du client procède à une inspection, le point 6.2 s'applique en principe par analogie. La signature d'un engagement de confidentialité n'est pas nécessaire si cette autorité de contrôle est soumise à un secret professionnel ou légal dont la violation est punissable en vertu du code pénal.
  7. Sous-traitants (autres sous-traitants)
    7.1 Le fournisseur peut faire appel à des sous-traitants pour l'exécution de la prestation contractuelle. L'engagement de sous-traitants par le fournisseur en tant que sous-traitants est autorisé dans la mesure où ceux-ci remplissent de leur côté les exigences du présent CUV dans l'étendue de la sous-traitance. Le fournisseur conclut des accords avec les sous-traitants dans la mesure nécessaire pour garantir des mesures appropriées de protection des données et de sécurité de l'information. Les sous-traitants qui n'ont pas accès aux données des clients ou qui ne traitent pas de données à caractère personnel en tant que sous-traitants sont exclus du présent chapitre.
  8. Obligations d'information
    8.1 Si les données du client chez le fournisseur sont menacées par une saisie ou une confiscation, par une procédure d'insolvabilité ou de règlement judiciaire ou par d'autres événements ou mesures de tiers, le fournisseur doit en informer immédiatement le client. Le fournisseur informera immédiatement toutes les personnes responsables dans ce contexte que la souveraineté et la propriété des données appartiennent exclusivement au client.
  9. Responsabilité
    9.1 La responsabilité est régie par les dispositions correspondantes des CG.
  10. Autres
    10.1 Pour le reste, les dispositions des CGV et du DSE s'appliquent. En cas d'éventuelles contradictions entre le CUU et les CG, les dispositions des CG prévalent. Si certaines parties du CUU sont invalides, cela n'affecte pas la validité des CGU et des autres dispositions du CUU. Les annexes A et B font partie intégrante du CUU.

ASMIQ I/O AG
60, rue de Bâle
8048 Zurich

Annexe A Objet, nature et but
Annexe B Mesures techniques et organisationnelles (TOM)

  1. Annexe A - Objet, nature et finalité
Objet du marché :Traitement des données à caractère personnel du client dans le cadre de son utilisation des prestations du fournisseur en tant que Software as a Service.
la nature et la finalité du traitement prévu des données :Les données personnelles traitées par le client sont transmises au fournisseur dans le cadre des prestations Software as a Service. Le fournisseur traite ces données exclusivement conformément aux CGV et à la description des prestations correspondantes sur le site web du fournisseur (gestion des commandes, gestion des contacts (CRM), comptabilité, e-banking, comptabilité salariale, gestion des stocks, gestion des projets, etc.)
Type de données à caractère personnel :Les types de données dépendent des données transmises par le donneur d'ordre. Il s'agit notamment (en fonction de la commande)
● Données de base des personnes (nom, date de naissance, adresse, employeur), y compris les données de contact (p. ex. téléphone, e-mail)
● données contractuelles, y compris la facturation et les données de paiement
● Historique des données contractuelles
Catégories de personnes concernées :Les catégories de personnes concernées dépendent des données transmises par le donneur d'ordre. Il s'agit notamment (en fonction de la mission)
● les employés (y compris les candidats et les anciens employés) du client
● Clients du donneur d'ordre
● Intéressés du mandant
● Prestataire de services du donneur d'ordre
● Coordonnées des personnes de contact
l'effacement, le blocage et la rectification des données :Les demandes d'effacement, de blocage et de rectification doivent être adressées au donneur d'ordre ; pour le reste, les dispositions des CG, de la DSE et du présent CUU s'appliquent.


Annexe B - Mesures techniques et organisationnelles (TOM)

  1. Confidentialité
    1.1. Contrôle d'accès
    1.1.1 Mesures physiques
    - Planification de la construction selon la norme SIA

1.1.2 Mesures techniques
- Système d'alarme anti-intrusion (le cas échéant)
- Système d'alarme incendie
- Vidéosurveillance ponctuelle
- Système de contrôle d'accès (électronique)

1.1.3 Mesures organisationnelles
- Réception
- Enregistrement des visiteurs
- Rigueur dans le choix du personnel

1.2 Contrôle d'accès
1.2.1 Mesures techniques
- Utilisation de pare-feu
- Logiciel anti-malware
- Connexion au moyen d'un ID utilisateur et d'un mot de passe
- Accès à distance par VPN et/ou MFA (token matériel, app ou SMS (mTAN))
- Changement forcé du mot de passe selon les directives IT
- Imprimante avec fonction d'authentification (le cas échéant)

1.2.2 Mesures organisationnelles
- Choix du mot de passe par défaut

1.3 Contrôle d'accès / contrôle d'entrée
1.3.1 Mesures techniques
- Attribution d'une identité unique à chaque compte
- Destruction physique des supports de données
- Effacement non réversible des supports de données

1.3.2 Mesures organisationnelles
- Politique de clean desk (le cas échéant)
- Règles de destruction des documents et des supports de données (le cas échéant)

1.4. contrôle de la séparation
1.4.1 Mesures techniques
- Utilisation de pare-feu
- Séparation des environnements de production, d'intégration et de test
- Séparation logique des mandants (capacité de mandant)

1.4.2 Mesures organisationnelles
- Concepts d'autorisation (utilisateurs/administrateurs/super utilisateurs)

  1. Intégrité
    2.1 Contrôle de la transmission
    2.1.1 Mesures techniques
  • Utilisation du VPN
  • Transport sécurisé des données (SSL/TLS, SFTP (FTP over SSH))
  • Authentification WLAN

2.1.2 Mesures organisationnelles

  • Documentation des destinataires des données ainsi que de la durée du transfert prévu ou des délais de suppression (transfert web "rumplet")
  • soin dans le choix du personnel et des véhicules
  • Valeur par défaut de l'accès/de la maintenance à distance
  1. Disponibilité (et résistance au stress)
    3.1 Contrôle des disponibilités
    3.1.1 Mesures techniques
  • Centres de données redondants
  • UPS/ groupe électrogène diesel
  • Sauvegardes régulières complètes et incrémentielles
  • Sauvegardes hors ligne (conservation des données séparée localement)
  • Tests de récupération réguliers
  • Contrôles de sécurité réguliers au niveau de l'infrastructure et des applications
  • Bâtiment automatisé : surveillance des salles de serveurs (température, humidité, fumée)
  • Protection contre les surtensions
  • Salle de serveurs protégée par une alarme (alarme en cas d'accès non autorisé/de porte ouverte)

3.1.2 Mesures organisationnelles

  • Processus de sécurité pour les applications logicielles et informatiques
  • Processus complet de sauvegarde et de restauration (en ligne/hors ligne ; sur site/hors site)
  • Plan d'urgence (technique, organisationnel)
  • Processus standard en cas de changement/départ de collaborateurs
  1. Procédures de contrôle, d'évaluation et de suivi réguliers
    4.1 Gestion de la protection des données
    Dans le cadre de la fourniture de prestations à ses clients, l'ASMIQ attache une grande importance au traitement responsable et conforme à la loi des données personnelles. L'ASMIQ s'assure ainsi que les données sont traitées avec le plus grand soin et conformément aux dispositions légales applicables en matière de protection des données.

4.1.1 Mesures techniques

  • Documentation sur la protection des données pour les employés (Intranet)
  • Contrôle périodique de l'efficacité des mesures techniques de protection
  • Gestion de la protection des données avec des solutions d'outils de soutien (gestion des interfaces, répertoires de traitement, etc.)

4.1.2 Mesures organisationnelles

  • Désignation de la ou des personnes chargées de la protection des données
  • Obligation du personnel de garder le secret
  • Garantie des obligations d'information
  • Processus de traitement des demandes d'accès et autres droits des personnes concernées

4.2 Gestion des réponses aux incidents
4.2.1 Mesures techniques Condition préalable :

  • Boîte à outils de réponse aux incidents
  • Services anti-phishing
  • Protection contre les DDoS

4.2.2 Mesures organisationnelles

  • Processus de notification des violations de la protection des données
  • Implication des délégués à la protection des données dans les incidents de sécurité et les violations de données
  • Implication des responsables de la sécurité de l'information dans les incidents de sécurité et les violations de données
  • Rôle défini des opérations dans la gestion de crise

4.3 Confidentialité et sécurité dès la conception
4.3.1 Mesures techniques

  • Utilisation de différents outils de sécurité dans le cadre du développement de logiciels
  • Contrôles de sécurité pour les logiciels développés en interne

4.3.2 Mesures organisationnelles

  • Recommandations de mesures techniques pour un développement logiciel sûr
  • Recours à des champions de la sécurité (collaborateurs spécialisés dans la sécurité et disposant de connaissances approfondies en matière de sécurité de l'information et/ou de protection des données)
  • Possibilité de formation continue dans le développement de logiciels
  1. Programme de gestion de la sécurité des fournisseurs
    L'ASMIQ attache une grande importance à une collaboration sûre et partenariale avec ses fournisseurs de prestations, car elle souhaite contribuer à la confiance numérique et renforcer la confiance des clients dans ses produits. L'ASMIQ considère le contact personnel et de confiance avec les fournisseurs de prestations hautement critiques comme la clé d'une collaboration sûre et solide dans un écosystème numérique de plus en plus exposé aux risques. L'ASMIQ considère les rapports, les évaluations et les échanges professionnels avec les fournisseurs de prestations comme une plus-value pour ces derniers. L'ASMIQ estime que cela contribue à optimiser la sécurité numérique dans l'intérêt de tous ses clients.
  2. Développement de logiciels
    Dans le développement de logiciels, l'ASMIQ s'oriente vers les meilleures pratiques internationales et a établi une configuration de sécurité minimale pour chaque projet. En fonction des risques, des tests de sécurité supplémentaires et complets sont effectués en fonction de la criticité des services ou des produits exploités.

L'ASMIQ utilise les méthodes suivantes pour le développement sécurisé de logiciels :

  • Revue de code sécurisée visant à identifier les erreurs, les défauts et les incompatibilités avec les exigences ou les vulnérabilités de sécurité et à améliorer la gestion des connaissances.
  • Static Application Security Testing (SAST) pour l'examen du code source, des fichiers binaires et du bytecode avec couverture de la plupart des langages de programmation (outil boîte blanche)
  • Outil de test de sécurité des applications dynamiques (DAST) pour identifier les conditions qui indiquent les failles de sécurité d'une application en cours d'exécution avec un contrôle approfondi des vulnérabilités d'entrée et de sortie (outil boîte noire)
  • Outil interactif de test de la sécurité des applications (IAST) en tant qu'agent de vérification du flux de données pour l'accès au code statique
  • Software Composition Analysis (SCA) pour l'analyse de la composition logicielle des logiciels open source, y compris les dépendances transitives, et pour la gestion des licences (FOSS)

Dans le cadre du développement de logiciels, l'ASMIQ utilise entre autres les outils suivants :

  • Git/ Bitbucket (revue de code)
  • Sonar (SAST)
  • Fortify (SAST)
  • Chercheur (IAST)
  • XRay (SCA)
Défiler vers le haut