Le contrat de sous-traitance des données qui encadre les droits et obligations entre vous (Responsable de traitement) et Illizeo (Sous-traitant), conformément à l’article 28 du RGPD.
Les présentes dispositions encadrent les droits et obligations du Client (« Responsable de traitement ») et d’Illizeo (« Sous-traitant ») dans le cadre du traitement de données personnelles réalisé pour le compte du Responsable, en lien avec l’utilisation des logiciels et services Illizeo.
Hiérarchie : en cas de contradiction avec le contrat principal, les termes du DPA prévaudront. Les termes en majuscule ont la signification donnée dans le contrat principal ou le RGPD.
Le Responsable accepte ces dispositions pour son propre compte et pour toute entité affiliée concernée par un traitement dans le cadre du présent DPA.
2. Portée du traitement, catégories de données & personnes concernées
2.1Types de données
État civil et identification (nom, prénom, adresse, date de naissance, téléphone, email pro)
Salariés, prestataires externes, freelances, bénévoles en poste
Anciens collaborateurs
Candidats, bénévoles ou collaborateurs à venir
2.3Localisation des traitements
Exclusivement UE / EEE / pays adéquats (art. 45 RGPD)
Tout transfert hors EEE : garanties art. 46 et suivants (CCT, etc.)
Durée : pendant toute la fourniture des services, sauf disposition contraire écrite
3. Confidentialité
Illizeo s’engage à garantir la confidentialité des données personnelles, conformément aux articles 28.3.b, 29 et 32.4 du RGPD.
Toute personne autorisée à traiter des données personnelles est soumise à une obligation de confidentialité, qu’elle découle d’un contrat de travail, d’un accord spécifique ou d’une obligation légale.
4. Obligations du Responsable de traitement
Le Client demeure seul responsable du respect du RGPD dans son utilisation des services
Information immédiate d’Illizeo de toute anomalie ou non-conformité détectée
Désignation d’un interlocuteur protection des données si nécessaire
5. Instructions du Client
Illizeo ne traite les données que sur instructions documentées du Client (sauf obligation légale RGPD)
Si une instruction semble contrevenir au RGPD, Illizeo en informe le Client et peut suspendre l’exécution
Les personnes habilitées à émettre des instructions sont désignées dans le logiciel ; à défaut, seuls les représentants légaux du Client
Illizeo peut suspendre toute instruction tant que la preuve d’autorité de l’émetteur n’est pas fournie
6. Obligations du Sous-traitant
6.1Obligations générales
DPO désigné, coordonnées disponibles sur le site Illizeo
Assistance raisonnable du Client pour DPIA et consultations préalables des autorités
Information immédiate du Client de toute action d’autorité de protection des données concernant le DPA
6.2Audits
Vérification du respect du DPA, des MTO et du RGPD pendant les heures ouvrables, préavis 14 jours
Auditeur externe possible, accord de confidentialité préalable
« Audit sur événement » en cas d’incident : préavis raisonnable plus court, sans limitation
Hors événement : 1 audit sur site/an max, 1 jour max
Illizeo peut refuser un audit non lié à un événement si elle fournit preuves suffisantes (ISO 27001, codes de conduite art. 40, certifications art. 42)
Illizeo peut refuser un auditeur en concurrence ou pour autre motif légitime
6.3Mesures techniques et organisationnelles (MTO)
Mise en œuvre conformément à l’article 32 RGPD
Adaptées à l’état de l’art, aux coûts, à la nature et aux risques
Dernière version disponible sur la page MTO ou via Paramètres > Support > Abonnement & Facturation
Mises à jour possibles sans réduire le niveau global de sécurité
Accord du Client présumé pour les sous-traitants listés au moment du contrat
Tout ajout/retrait notifié au Client : objection motivée possible sous 14 jours
En cas d’objection non résolue, Illizeo peut résilier de plein droit avec effet immédiat
Tous les sous-traitants liés par contrat conforme art. 28.3 RGPD
Illizeo reste pleinement responsable des actes et omissions de ses sous-traitants
8. Droits des personnes concernées
Toute demande RGPD reçue par Illizeo est redirigée vers le Client
Le logiciel permet la gestion autonome des données personnelles
Si le Client ne peut traiter une demande seul, Illizeo apporte une assistance raisonnable
Illizeo décline toute responsabilité en cas de non-réponse, réponse incorrecte ou tardive si la défaillance relève du Client
9. Information & notification
Illizeo s’engage à informer sans délai injustifié le Client dès la prise de connaissance d’une violation de données à caractère personnel le concernant, conformément à l’article 33 du RGPD.
10. Restitution & suppression des données
Traitement considéré terminé à l’expiration du contrat, par défaut
Conservation des données 30 jours après la fin du contrat
Pendant ces 30 jours : restitution (format machine), suppression, ou export autonome via le logiciel à la demande du Client
Suppression anticipée possible sur demande, sauf obligation légale de conservation
À l’issue des 30 jours sans demande : suppression irréversible automatique (sous réserve d’obligations légales)
11. Responsabilité
Chaque partie est responsable conformément à l’article 82 du RGPD
Les exclusions/limitations de responsabilité ne s’appliquent pas en cas de faute intentionnelle, négligence grave, dommages corporels ou décès
Pour le reste : règles définies dans le contrat principal entre Illizeo et le Client
12. Dispositions finales
12.1Confidentialité
Les deux parties s’engagent à la confidentialité stricte (secrets d’affaires, mesures de sécurité, contenus contractuels)
Toute information est présumée confidentielle jusqu’à preuve écrite du contraire
12.2Modifications
Modifications par écrit (incluant email), conformément au RGPD
Mention explicite « amendement au DPA » requise
Ajustements possibles par voie électronique (art. 28.9 RGPD)
12.3Tiers et procédures
En cas de saisie, réquisition ou insolvabilité menaçant les données : Illizeo informe immédiatement le Client
Illizeo notifie aux tiers que la propriété et la maîtrise des données appartiennent au Client
12.4Droit applicable & juridiction
Droit suisse applicable (par défaut, droit du siège social d’Illizeo)
CVIM (ONU) expressément exclue
Tribunal compétent : lieu d’établissement principal d’Illizeo
12.5Intégralité & nullité partielle
Le DPA annule et remplace tous engagements antérieurs (sauf accord pré-1er sept. 2024)
Si une disposition est invalide, les autres restent en vigueur
Pôle juridique
Tous nos documents légaux au même endroit.
Mesures Techniques et Organisationnelles
Détail des mesures de sécurité que nous appliquons.
Afin de vous offrir la meilleure expérience possible, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations relatives à votre appareil. En acceptant ces technologies, vous nous autorisez à traiter des données telles que votre comportement de navigation ou vos identifiants uniques sur ce site. Le refus ou le retrait de votre consentement peut avoir un impact négatif sur certaines fonctionnalités et fonctions.
Fonctionnel
Toujours activé
Le stockage technique ou l'accès est strictement nécessaire à des fins légitimes afin de permettre l'utilisation d'un service spécifique explicitement demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication sur un réseau de communications électroniques.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiques
Le stockage technique ou l'accès utilisé exclusivement à des fins statistiques.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs afin d'envoyer des publicités ou de suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins marketing similaires.
