Accord de traitement des données (DPA)
Dernière mise à jour : 2026-04-11
Dernière mise à jour : 2026-04-11
Le présent Accord de traitement des données (« DPA ») est conclu entre le Client (ci-après le « Responsable ») et ark.swiss Sàrl (ci-après « ark.swiss Sàrl »). Il forme une annexe indissociable des Conditions générales d'utilisation (CGU) et s'applique dès l'acceptation de celles-ci. Il est rédigé conformément à l'article 9 de la loi fédérale sur la protection des données (LPD) et à l'article 28 du Règlement général sur la protection des données (RGPD).
1. Parties
- Responsable de traitement : le Client identifié lors de la souscription.
- Sous-traitant : ark.swiss Sàrl, CHE-139.880.181, Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse.
2. Objet et durée
Le DPA s'applique pendant toute la durée du contrat de Service, ainsi que pendant les 30 jours de conservation post-résiliation prévus par les CGU, et au-delà pour les durées de conservation légales (notamment factures, art. 958f CO).
3. Nature, finalité et portée du traitement
ark.swiss Sàrl traite les données personnelles confiées par le Responsable à la seule fin d'héberger et d'opérer l'Instance arkplan mise à disposition du Responsable, conformément aux CGU et aux instructions documentées du Responsable.
4. Catégories de personnes concernées
- Contacts et clients finaux du Responsable
- Collaborateurs du Responsable
- Prospects et tiers en relation avec le Responsable
5. Catégories de données traitées
- Données d'identité (nom, prénom, email, téléphone, adresse)
- Données transactionnelles (factures émises par le Responsable, paiements, montants)
- Notes et historique d'interactions saisis par le Responsable
- Événements d'agenda et réservations
- Fichiers joints (images, PDF) attachés par le Responsable
6. Obligations du Responsable
- S'assurer de la licéité du traitement (base légale adéquate).
- Informer ses propres personnes concernées conformément aux art. 19 LPD et 13 RGPD.
- Respecter les droits des personnes concernées en première ligne.
- Donner à ark.swiss Sàrl des instructions écrites lorsque nécessaire.
7. Obligations de ark.swiss Sàrl
- Licéité des instructions : ne traiter les données que sur instruction documentée du Responsable, sauf obligation légale contraire.
- Confidentialité : garantir que le personnel habilité est soumis à une obligation de confidentialité contractuelle ou légale.
- Sécurité : mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe A.
- Assistance : aider le Responsable à répondre aux demandes des personnes concernées et à mener ses analyses d'impact (AIPD), dans la mesure raisonnable.
- Notification de violation : notifier toute violation de sécurité au Responsable dans les 24 heures suivant sa prise de connaissance.
- Restitution ou suppression : en fin de contrat, restituer les données (export JSON/CSV) ou les supprimer selon les instructions du Responsable, sous 30 jours.
- Documentation : mettre à disposition les informations nécessaires pour démontrer la conformité.
8. Sous-traitants ultérieurs autorisés
Le Responsable autorise ark.swiss Sàrl à recourir aux sous-traitants ultérieurs suivants :
- Infomaniak Network SA, Rue Eugène-Marziano 25, 1227 Genève, Suisse — hébergement applicatif, base de données, SMTP transactionnel.
- Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande — encaissement des paiements. Stripe est établi dans un pays bénéficiant d'un niveau de protection adéquat (UE).
Tout nouveau sous-traitant ultérieur sera notifié au Responsable avec un préavis de 30 jours. Le Responsable dispose d'un droit d'opposition motivé ; en cas d'objection raisonnable non résolue, le Responsable pourra résilier le contrat sans frais.
9. Transferts internationaux
En version 1 du Service, aucun transfert de données n'est opéré hors EEE/Suisse. Stripe Payments Europe Ltd. étant situé en Irlande (UE), le transfert est couvert par le marché unique européen. Si un transfert hors EEE devait devenir nécessaire, ark.swiss Sàrl s'engage à recourir aux clauses contractuelles types (CCT) adoptées par la Commission européenne ou à une décision d'adéquation, et à en informer préalablement le Responsable.
10. Droits des personnes concernées
ark.swiss Sàrl assiste gratuitement le Responsable pour répondre, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, aux demandes d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité formulées par les personnes concernées.
11. Violations de sécurité
En cas de violation de données, ark.swiss Sàrl notifie le Responsable sans retard injustifié et au plus tard 24 heures après la prise de connaissance. La notification contient au minimum : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les mesures prises ou proposées, et les coordonnées d'un point de contact. ark.swiss Sàrl coopère à la notification aux autorités et aux personnes concernées.
12. Audit
Le Responsable peut, une fois par an, demander un audit documentaire gratuit pour vérifier la conformité de ark.swiss Sàrl au présent DPA. Un audit sur site peut être réalisé à la charge du Responsable, sous préavis de 30 jours, dans la limite d'un audit annuel et sous réserve d'un accord mutuel de confidentialité. ark.swiss Sàrl s'efforce de répondre aux questionnaires de sécurité raisonnables dans les délais.
13. Restitution ou suppression
À la fin du contrat, sur instruction écrite du Responsable, ark.swiss Sàrl restitue les données (export JSON/CSV) ou les supprime sous 30 jours. Sont exclues de cette obligation les données que ark.swiss Sàrl doit légalement conserver, notamment les factures comptables pendant 10 ans (art. 958f CO).
14. Responsabilité
Chaque partie est responsable de ses propres manquements au présent DPA. La responsabilité de ark.swiss Sàrl envers le Responsable est limitée au montant total des abonnements effectivement payés par le Responsable au cours des 12 mois précédant le fait générateur, sous réserve de l'art. 100 CO (dol, faute grave, atteinte à la vie, à l'intégrité corporelle ou à la santé).
15. Droit applicable et for
Le présent DPA est régi par le droit suisse. Le for exclusif est à Lausanne, canton de Vaud, sous réserve du for consommateur impératif.
Annexe A — Mesures techniques et organisationnelles (TOMs)
- Chiffrement en transit : TLS 1.2 minimum, HSTS activé.
- Chiffrement au repos : AES-256-GCM pour credentials et tokens OAuth ; chiffrement de volume au niveau de l'hébergeur.
- Isolation : chaque Instance dans un container Docker dédié, réseau bridge isolé, base de données PostgreSQL séparée.
- Sauvegardes : quotidiennes, chiffrées, conservées 30 jours, tests de restauration trimestriels.
- Contrôle d'accès : principe du moindre privilège, authentification multi-facteur (MFA) obligatoire sur tous les comptes administrateurs.
- Journalisation : logs d'accès conservés 12 mois, revue mensuelle des accès privilégiés.
- Gestion des incidents : procédure documentée, responsable identifié, temps de réaction cible < 4 heures en heures ouvrées.
- Formation : formation annuelle du personnel à la protection des données et à la sécurité.
- Gestion des sous-traitants : revue semestrielle, évaluation des mesures de sécurité.
- Effacement sécurisé : purge définitive après 30 jours post-résiliation, à l'exclusion des obligations comptables légales.
Annexe B — Liste des sous-traitants ultérieurs
| Nom | Pays | Service | Données concernées |
|---|---|---|---|
| Infomaniak Network SA | Suisse | Hébergement + SMTP | Toutes les données de l'Instance |
| Stripe Payments Europe Ltd. | Irlande (UE) | Paiements | Identifiants de facturation, montants, jetons carte |
Acceptation
L'acceptation des CGU par le Responsable vaut acceptation du présent DPA. Une version acceptée est archivée avec horodatage. Une version PDF signée bilatéralement peut être fournie sur demande écrite à [email protected].
En cas de divergence entre les versions linguistiques, la version française fait foi.