Dispositions Générales
Version 09-2025
Introduction, Champ d’application et Définitions
Les présentes dispositions encadrent les droits et obligations du Client (le « Responsable de traitement ») et d’Illizeo (le « Sous-traitant ») dans le cadre du traitement de données à caractère personnel réalisé pour le compte du Responsable, en lien avec l’utilisation des logiciels et services fournis par Illizeo (le « Contrat de sous-traitance des données », ou « DPA » pour Data Processing Agreement). Ce DPA est établi conformément aux dispositions du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. En cas de contradiction entre les dispositions de ce DPA et celles du Contrat principal, les termes du DPA prévaudront.
Sauf indication contraire, les termes en majuscule employés dans le présent DPA ont la signification qui leur est donnée soit dans le Contrat principal, soit dans le RGPD.
Le Responsable de traitement accepte les présentes dispositions pour son propre compte ainsi que pour le compte de toute entité affiliée pouvant être concernée par un traitement de données personnelles dans le cadre du présent DPA.
Portée du traitement, Catégories de données, Personnes concernées
Le Responsable de traitement reconnaît que l’étendue des traitements de données réalisés peut varier en fonction de l’usage qu’il fait des solutions logicielles d’Illizeo, des modules souscrits et des services activés. Les informations suivantes donnent un aperçu des types de données et des personnes concernées susceptibles d’être traitées.
Les types ou catégories de données susceptibles d’être traitées incluent notamment :
- Données d’état civil et d’identification : nom, prénom, adresse, date de naissance, numéro de téléphone, email professionnel ;
- Données contractuelles RH : diplômes, formations suivies, documents justificatifs, contrats de travail, attestations et certificats émis entre l’employeur et ses collaborateurs ;
- Données de gestion administrative et de services : coordonnées bancaires, congés, absences, arrêts maladie, horaires de travail, évaluations de performance, communications RH ;
- Données de paie ;
- Données de facturation et de règlement contractuel.
Les catégories de personnes concernées peuvent inclure (au sein du Responsable ou de ses entités affiliées) :
- Salariés, prestataires externes, freelances, bénévoles en poste ;
- Anciens collaborateurs (anciens salariés, prestataires ou bénévoles) ;
- Candidats, bénévoles ou collaborateurs à venir.
Le traitement des données personnelles s’effectue exclusivement au sein de l’Union européenne, d’un État membre de l’Espace économique européen, ou d’un État tiers reconnu comme garantissant un niveau de protection adéquat au sens de l’article 45 du RGPD, tel que reconnu par la Commission européenne.
Si un transfert de données personnelles vers un pays situé en dehors de l’Espace économique européen devait s’avérer nécessaire, le Sous-traitant s’engage à respecter pleinement les exigences du RGPD, notamment par la mise en œuvre de garanties appropriées, conformément aux articles 46 et suivants du Règlement.
Les données personnelles sont traitées par Illizeo pendant toute la durée de fourniture des services ou logiciels concernés, sauf disposition contraire convenue par écrit entre les parties.
Confidentialité
Illizeo s’engage à garantir la confidentialité des données personnelles, conformément aux articles 28, paragraphe 3, alinéa 2, point b), 29 et 32, paragraphe 4 du RGPD. Toute personne autorisée par Illizeo à traiter des données personnelles est soumise à une obligation de confidentialité, que celle-ci découle d’un contrat de travail, d’un accord spécifique ou d’une obligation légale.
Obligations du Responsable de traitement
Le Client, en tant que Responsable de traitement, demeure seul responsable du respect des dispositions du RGPD dans le cadre de son utilisation des logiciels et services fournis par Illizeo.
Le Client s’engage à informer immédiatement et de manière complète Illizeo de toute anomalie ou non-conformité qu’il détecterait dans le traitement des données personnelles, notamment au regard de la réglementation applicable à la protection des données.
Si nécessaire, le Client désignera un interlocuteur en charge des sujets relatifs à la protection des données dans le cadre du présent DPA et communiquera ses coordonnées à Illizeo.
Instructions
Illizeo ne traitera les données personnelles pour le compte du Client que sur la base d’instructions documentées, transmises par le Client, dans le cadre de l’utilisation des logiciels et services souscrits. Toute exception devra découler d’une obligation légale en vertu du RGPD. Si Illizeo estime, de manière raisonnable, qu’une instruction pourrait contrevenir au RGPD, elle en informera le Client dans les meilleurs délais. Illizeo pourra suspendre l’exécution de ladite instruction jusqu’à ce qu’un accord soit trouvé entre les parties.
Le Client désigne les personnes autorisées à émettre des instructions dans l’interface logicielle mise à disposition. En l’absence d’une telle désignation, seuls les représentants légaux du Client sont habilités à émettre des instructions à Illizeo. Ce dernier se réserve le droit de suspendre l’exécution d’une instruction tant que la preuve de l’autorité de la personne émettrice n’a pas été fournie.
Obligations du Sous-traitant
Obligations générales
Illizeo désigne un délégué à la protection des données, dont les coordonnées sont accessibles à jour sur le site officiel d’Illizeo.
Illizeo s’engage à apporter une assistance raisonnable au Client dans la réalisation d’analyses d’impact relatives à la protection des données, ainsi qu’aux consultations préalables auprès des autorités de contrôle, dans la mesure où ces démarches concernent exclusivement les traitements réalisés par Illizeo pour le compte du Client. Cette assistance est fournie dans la limite des informations raisonnablement disponibles et en tenant compte de la nature du traitement. Si cette assistance engendre des efforts disproportionnés (volume, complexité, délai), Illizeo se réserve le droit de facturer les prestations, après avoir préalablement informé le Client des coûts estimés.
Illizeo informera immédiatement le Client de toute action ou mesure de contrôle menée par une autorité de protection des données, dans la mesure où cela concerne le présent DPA. Cette obligation d’information s’étend également aux cas où une autorité compétente estime que des données personnelles traitées dans le cadre de ce DPA sont impliquées dans une procédure administrative ou pénale, sauf si Illizeo est légalement contraint de ne pas transmettre cette information.
Audits
Le Client est autorisé à vérifier, pendant les heures ouvrables habituelles d’Illizeo et moyennant un préavis d’au moins 14 jours, le respect des obligations découlant du présent DPA, des mesures techniques et organisationnelles (TOM) et du RGPD. Le Client peut mandater un auditeur externe pour effectuer cette vérification. Les vérifications peuvent inclure l’accès aux locaux d’Illizeo, la consultation d’informations, ou l’examen de ses propres données, tout en respectant les intérêts légitimes d’Illizeo. En cas d’incident de sécurité ou de violation significative des règles de protection des données (“Audit sur événement”), ce délai peut être réduit à un délai raisonnable. Les Audits sur événement ne sont pas soumis aux limitations prévues aux articles 5.2.3 et 5.2.4.
llizeo pourra conditionner l’acceptation de l’audit à la signature d’un accord de confidentialité approprié par l’auditeur mandaté. Si l’auditeur sélectionné est en situation de concurrence avec Illizeo, ou si un autre motif légitime existe, Illizeo pourra refuser le choix de l’auditeur.
En dehors des audits liés à un événement, Illizeo ne sera tenu de coopérer à un seul audit sur site par an, d’une durée maximale d’une journée, sur demande du Client.
Si Illizeo fournit des preuves suffisantes de la mise en œuvre et de l’efficacité des TOM (mesures techniques et organisationnelles), elle pourra refuser la tenue d’un audit non lié à un événement. Ces preuves peuvent inclure, sans s’y limiter : des codes de conduite approuvés au sens de l’article 40 du RGPD, une certification selon l’article 42, ou tout autre audit ou certification indépendante jugée pertinente (ex. : audit de sécurité informatique ou de protection des données mené par un organisme reconnu).
Mesures techniques et organisationnelles (TOM)
Illizeo s’engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD. Ces mesures tiennent compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes concernées. La dernière version à jour des TOM est accessible dans l’espace client du logiciel Illizeo (actuellement via : Paramètres > Support > Abonnement & Facturation > Informations sur le traitement des données).
Les mesures techniques et organisationnelles sont susceptibles d’être mises à jour par Illizeo pour s’adapter aux évolutions technologiques ou aux exigences réglementaires. Toutefois, toute modification ne devra en aucun cas compromettre ou réduire le niveau global de sécurité assuré par les Services et le logiciel.
Sous-traitants ultérieurs (Sub-Processors)
La liste des sous-traitants actuels impliqués dans le traitement des données pour le compte d’Illizeo est consultable dans le logiciel (actuellement via : Paramètres > Support > Abonnement & Facturation > Informations sur le traitement des données).
Le recours à un sous-traitant pour traiter ou utiliser des données à caractère personnel n’est autorisé qu’avec l’accord préalable du Client. L’accord est réputé donné pour les sous-traitants listés dans le logiciel au moment de la conclusion du contrat.
Illizeo se réserve le droit de faire évoluer sa liste de sous-traitants. En cas d’ajout ou de retrait d’un sous-traitant, Illizeo en informera le Client par écrit (par exemple par e-mail). Si le Client ne formule pas d’objection motivée, fondée sur des raisons valables en matière de protection des données, dans un délai de 14 jours suivant la notification, cette évolution sera considérée comme acceptée. En cas d’objection non résolue, Illizeo pourra résilier le contrat de plein droit avec effet immédiat.
Illizeo conclura avec tout sous-traitant un contrat conforme aux exigences de l’article 28, paragraphe 3 du RGPD, garantissant des obligations contractuelles équivalentes à celles stipulées dans le présent DPA. Illizeo demeure pleinement responsable des actes et omissions de ses sous-traitants vis-à-vis du Client.
Droits des personnes concernées
Si une personne concernée adresse une demande à Illizeo au titre du Chapitre III du RGPD (droits des personnes concernées), Illizeo s’engage à rediriger la demande vers le Client (le Responsable de traitement), dans la mesure où l’identification du Client à l’origine du traitement est possible.
Le Client reconnaît que la solution logicielle fournie par Illizeo permet une gestion autonome et complète des données personnelles, facilitant ainsi le respect de ses obligations légales, notamment en ce qui concerne le traitement des demandes des personnes concernées. Si le Client ne parvient pas à traiter une demande de manière indépendante via les fonctionnalités du logiciel, Illizeo lui apportera une assistance raisonnable.
Illizeo décline toute responsabilité en cas de non-réponse, de réponse incorrecte ou de réponse tardive à une demande d’une personne concernée si cette défaillance relève exclusivement du Client.
Obligations d’information et de notification
Illizeo s’engage à informer sans délai injustifié le Client dès la prise de connaissance d’une violation de données à caractère personnel le concernant. Cette notification sera effectuée conformément aux dispositions de l’article 33 du RGPD.
Communication et suppression des données
À l’issue du traitement des données personnelles, Illizeo mettra à disposition les données concernées conformément aux dispositions ci-après. Par défaut, le traitement est considéré comme terminé à la date d’expiration du contrat de service.
Illizeo conservera les données personnelles fournies pendant une durée de 30 jours après la fin du contrat. Durant cette période, le Client pourra, sur simple demande écrite (par tout moyen de communication textuelle), demander la restitution de ses données dans un format lisible par machine, ou leur suppression, ou encore procéder à l’exportation autonome des données via le logiciel. Il appartient exclusivement au Client de procéder à l’export des données dans les délais impartis.
Si le Client demande expressément la suppression anticipée de ses données avant la fin du délai de 30 jours, Illizeo s’exécutera, sauf si certaines données doivent être conservées pour des raisons légales ou réglementaires.
Si, à l’issue de la période de 30 jours, aucune demande de restitution ou de suppression n’a été reçue, Illizeo procèdera automatiquement à la suppression irréversible des données concernées, sous réserve des obligations légales de conservation qui pourraient s’appliquer.
Responsabilité
Chaque partie est responsable, conformément à l’article 82 du RGPD, des dommages résultant d’une violation des dispositions du présent Accord de traitement des données (DPA) ou du RGPD.
Toute exclusion ou limitation de responsabilité prévue dans cet accord ne s’applique pas en cas de faute intentionnelle, de négligence grave ou de dommages corporels ou décès.
Pour tout autre aspect non couvert expressément dans cette section, les règles de responsabilité sont celles définies dans le contrat principal entre Illizeo et le Client.
Dispositions finales
Les deux parties s’engagent à traiter de manière strictement confidentielle toutes les informations relatives aux secrets d’affaires, aux mesures de sécurité des données et aux contenus contractuels portés à leur connaissance dans le cadre de la relation contractuelle, et ce, même après la fin du contrat. Cela inclut expressément le contenu du présent DPA ainsi que toute documentation, preuve ou information obtenue dans le cadre d’un audit de conformité. En cas de doute, toute information sera considérée comme confidentielle jusqu’à preuve écrite du contraire.
Toute modification ou ajout au présent DPA, y compris toute garantie ou engagement émis par Illizeo, devra être effectué sous forme textuelle (y compris par email), conformément aux exigences du RGPD, et devra mentionner explicitement qu’il s’agit d’un amendement ou d’un complément au DPA. Cette exigence formelle s’applique également à toute renonciation à cette forme. Les parties conviennent que les ajustements au DPA pourront être réalisés par voie électronique, conformément à l’article 28, paragraphe 9 du RGPD.
Si les données du Client sont menacées par une saisie, une réquisition, une procédure d’insolvabilité ou toute autre action émanant de tiers, Illizeo s’engage à informer immédiatement le Client. Illizeo notifiera également à tous les tiers concernés que la propriété exclusive et la maîtrise des données appartiennent au Client, en tant que responsable de traitement au sens du RGPD.
Le présent accord est régi par le droit suisse (ou : par défaut, si non précisé par le client, le droit applicable est celui du siège social d’Illizeo). La Convention des Nations Unies sur les contrats de vente internationale de marchandises (CVIM) est expressément exclue. Le tribunal compétent pour tout litige lié à cet accord est, dans la mesure du possible, celui du lieu d’établissement principal d’Illizeo.
Le présent DPA annule et remplace toutes les déclarations, garanties, accords ou engagements antérieurs, écrits ou oraux, relatifs à son objet, sauf s’il existe un accord antérieur conclu avant le 1er septembre 2024 entre les parties.
Si l’une des dispositions du présent DPA devait être déclarée invalide ou inapplicable, cela n’affectera en rien la validité des autres dispositions du DPA, qui resteront pleinement en vigueur.
