Zippsafe Logo
Zippsafe Logo
Zippsafe Logo
Zippsafe Logo
SECTEURS
Santé
Chimie
&
Pharmaceutique
Alimentaire
Grand
distribution
&
Hôtellerie
Production
Bâtiments
de
bureaux
PRODUITS
&
SERVICES
Systèmes
de
vestiaires
ZippSpace
Pro
ZippSpace
Regular
Gestion
en
ligne
Zippsafe
Management
System
ZippManager
Zipp
&
Scan
Services
Soutien
&
Maintenance
Surveillance
en
ligne
&
analyse
des
données
INNOVATION
Efficacité
de
l'espace
Calculateur
Space-Saving
Success
Stories
Expérience
utilisateur
Hygiène
Transformation
digitale
QUI
SOMMES-NOUS
?
Profil
de
l'entreprise
Notre
équipe
Carrières
Partenaire
Contact
MÉDIAS
Références
Communiqués
de
presse
Actualités
Téléchargements
Studio
d'architecture
Videos
Média
&
Prix
fr
CONTACT

Contrat
de
sous-traitance
du
traitement
des
données conformément
aux
art.
9
LPD
et
art.
28
RGPD

A. Parties

Responsable: Client

Sous-traitant: Zippsafe AG, Europa-Strasse 17, 8152 Glattbrugg, ci-après «Zippsafe»

B. Contrat principal

1. Le présent accord complète le contrat conclu entre les parties concernant le système Zippsafe Management System (ZMS) («contrat principal»). Il prévaut sur le contrat principal, ses éléments et les éventuelles conditions générales des parties en cas de divergences.

C. Objet du présent accord 

2. L’objet de cet accord est le traitement des données personnelles dans le cadre de l’exécution par Zippsafe des obligations découlant du contrat principal. Le contrat principal s’applique à la relation juridique entre la société Zippsafe AG, y compris toutes ses filiales nationales et étrangères, et ses clients.

3. L’objet du traitement des données inclut les catégories de données et de personnes mentionnées dans le contrat principal. 

4. Le traitement des données est effectué dans les lieux suivants: Union européenne et Suisse.

5. Zippsafe est en droit de faire appel à des sous-sous-traitants pour l’exécution de la prestation. Zippsafe contrôle attentivement ses sous-sous-traitants et conclut avec eux un accord de sous-traitance de traitement des données qui contient pour l’essentiel les dispositions du présent accord. Zippsafe informe le client du changement ou du recours à un nouveau sous-sous-traitant au moins 4 semaines à l’avance et par écrit (p. ex. par e-mail). Dans des cas justifiés, le client peut s’y opposer. Si, par la suite, les parties ne parviennent pas à se mettre d’accord, Zippsafe peut résilier le contrat principal avec un préavis de 30 jours à la date de son choix. 

D. Droits et obligations des parties

6. Zippsafe s’engage à ne pas utiliser les données personnelles traitées à d’autres fins que celles convenues dans le contrat principal. La transmission de données personnelles dans le cadre d’injonctions de remise ou de perquisition par les autorités, dont Zippsafe informera le client le plus rapidement possible si cela est autorisé, fait exception à cette règle. 

7. Lors de l’exécution des prestations, Zippsafe ne fait appel qu’à des personnes ou des sous-sous-traitants qui sont tenus par contrat ou par la loi au respect de la confidentialité et qui sont familiarisés avec les dispositions pertinentes en matière de protection des données.

8. Zippsafe ne traite les données personnelles que dans le cadre d’instructions documentées du client. Le client doit immédiatement confirmer ses instructions orales par écrit (p. ex. par e-mail). Zippsafe signale au client si une instruction enfreint la législation en vigueur sur la protection des données et suspend tout traitement jusqu’à ce que le client confirme l’instruction par écrit. 

9. Zippsafe permet au client ou à un auditeur mandaté par lui d’effectuer les contrôles relatifs au respect du présent accord. De tels contrôles doivent être annoncés au moins 4 semaines à l’avance. Le client a le droit d’effectuer une journée de contrôle gratuitement par an. Toute dépense supplémentaire engendrée doit être remboursée à Zippsafe par le client aux taux habituels du marché.

En lieu et place d’un contrôle sur place, Zippsafe peut fournir des preuves écrites sur demande (p. ex. en divulguant les résultats d’un audit, d’une certification ou d’autres contrôles tels que des tests anti-intrusions). Si Zippsafe dispose d’une certification ISO-27001 ou d’une certification équivalente qui inclut le ZMS dans son champ d’application, la preuve de l’adéquation des mesures techniques et organisationnelles est considérée comme apportée et il n’existe un droit à un contrôle sur place qu’en cas de soupçons justifiés.

10. Zippsafe garantit la sécurité des données par des mesures techniques et organisationnelles appropriées conformément à l’annexe I. Ces mesures sont soumises à l’évolution de la technique. Zippsafe peut appliquer des mesures alternatives adéquates. Dans ce cas, le niveau de sécurité actuel ne saurait être inférieur. Les modifications importantes doivent être documentées.

11. Zippsafe s’engage en outre à informer le client d’un incident relatif à la sécurité des données dans les 48 heures suivant sa constatation.

12. Zippsafe apporte son soutien au client, dans la mesure du raisonnable, pour l’élaboration d’analyses d’impact sur la protection des données concernant le ZMS, ainsi que pour répondre aux demandes des personnes concernées et dans le cadre des injonctions ou contrôles des autorités concernant les données personnelles enregistrées dans le ZMS.

13. Aucune copie ou duplication des données n’est effectuée à l’insu du client, à l’exception des copies de sécurité et autres copies techniquement nécessaires, dans la mesure où elles sont requises pour garantir un traitement des données en bonne et due forme.

14. À la demande du client, mais au plus tard à la fin du contrat principal, Zippsafe supprime toutes les données personnelles du client, sous réserve d’autres accords (p. ex. conservation de sauvegarde) ou d’obligations légales de conservation. 

E. Durée de la sous-traitance

15. Cet accord reste en vigueur aussi longtemps que Zippsafe traite les données personnelles du client, c’est-à-dire, le cas échéant, au-delà de la fin du contrat principal, si Zippsafe ou ses sous-sous-traitants conservent encore des sauvegardes contenant les données personnelles du client. Dans un tel cas et une fois le contrat principal terminé, le droit de contrôle visé au point 9 se limite à des demandes écrites.

16. Le présent accord, en particulier l’annexe I, peut être adapté à tout moment par Zippsafe moyennant un préavis raisonnable. Le client en sera informé par écrit. Dans des cas justifiés, le client peut s’y opposer. Si, par la suite, les parties ne parviennent pas à se mettre d’accord, Zippsafe peut résilier le contrat principal avec un préavis de 30 jours à la date de son choix. 

Annexe 1 – Mesures techniques et organisationnelles 

Les dispositions suivantes traitent des mesures de sécurité des données et de la garantie d’un niveau de protection adéquat en matière de confidentialité, d’intégrité, de disponibilité et de résistance des systèmes. Dans ce cadre, Zippsafe tient compte de l’état de la technique, des coûts ainsi que de la nature, de l’étendue et des finalités du traitement.

Les mesures spécifiques pour le ZMS sont détaillées dans le document «Zippsafe Management System (ZMS) Documentation». Zippsafe prend en outre les mesures techniques et organisationnelles suivantes au niveau de son infrastructure et de son organisation:

Contrôles d’accès

Gestion des identités et des accès (IAM)

Accès aux données uniquement avec authentification

Authentification multifactorielle (MFA) pour tous

Gestion des accès privilégiés (PAM)

Règles relatives aux mots de passe

Principe du moindre privilège

Principe du need to know (besoin d’en connaître)

Chiffrement au repos (at rest)

Chiffrement en transit (in transit)

Sauvegardes 

Concept de management de la continuité des activités (BCM)

Pare-feux

EDR/XDR

Inventaire de tous les logiciels et équipements

Protection contre les logiciels malveillants

Gestion actuelle des correctifs 

Séparation des systèmes productifs et autres 

Directive sur la sécurité des informations