Accès actuellement sur demande — contactez-nous pour un devis personnalisé.

Démo Demander un devis → Demander un devis →
§ 05/06 // Légal [ARKPLAN-LEGAL-DPA]

Accord de traitement des données (DPA)

Dernière mise à jour : 18 mai 2026

  • / Dernière mise à jour 18 mai 2026
  • / Juridiction CH · Vaud
  • / Langue faisant foi Français
  • / Référence ARKPLAN-LEGAL-DPA

Dernière mise à jour : 2026-05-18

Le présent Accord de traitement des données (« DPA ») est conclu entre le Client (ci-après le « Responsable ») et ark.swiss Sàrl (ci-après « ark.swiss Sàrl »). Il forme une annexe indissociable des Conditions générales d'utilisation (CGU) et s'applique dès l'acceptation de celles-ci. Il est rédigé conformément à l'article 9 de la loi fédérale sur la protection des données (LPD) et à l'article 28 du Règlement général sur la protection des données (RGPD).

1. Parties

  • Responsable de traitement : le Client identifié lors de la souscription.
  • Sous-traitant : ark.swiss Sàrl, CHE-139.880.181, Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse.

2. Objet et durée

Le DPA s'applique pendant toute la durée du contrat de Service, ainsi que pendant les 30 jours de conservation post-résiliation prévus par les CGU, et au-delà pour les durées de conservation légales (notamment factures, art. 958f CO).

3. Nature, finalité et portée du traitement

ark.swiss Sàrl traite les données personnelles confiées par le Responsable à la seule fin d'héberger et d'opérer l'Instance ark.plan mise à disposition du Responsable, conformément aux CGU et aux instructions documentées du Responsable.

4. Catégories de personnes concernées

  • Contacts et clients finaux du Responsable
  • Collaborateurs du Responsable
  • Prospects et tiers en relation avec le Responsable

5. Catégories de données traitées

  • Données d'identité (nom, prénom, email, téléphone, adresse)
  • Données transactionnelles (factures émises par le Responsable, paiements, montants)
  • Notes et historique d'interactions saisis par le Responsable
  • Événements d'agenda et réservations
  • Fichiers joints (images, PDF) attachés par le Responsable

6. Obligations du Responsable

  • S'assurer de la licéité du traitement (base légale adéquate).
  • Informer ses propres personnes concernées conformément aux art. 19 LPD et 13 RGPD.
  • Respecter les droits des personnes concernées en première ligne.
  • Donner à ark.swiss Sàrl des instructions écrites lorsque nécessaire.

7. Obligations de ark.swiss Sàrl

  • Licéité des instructions : ne traiter les données que sur instruction documentée du Responsable, sauf obligation légale contraire.
  • Confidentialité : garantir que le personnel habilité est soumis à une obligation de confidentialité contractuelle ou légale.
  • Sécurité : mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe A.
  • Assistance : aider le Responsable à répondre aux demandes des personnes concernées et à mener ses analyses d'impact (AIPD), dans la mesure raisonnable.
  • Notification de violation : notifier toute violation de sécurité au Responsable dans les 24 heures suivant sa prise de connaissance.
  • Restitution ou suppression : en fin de contrat, restituer les données (export CSV) ou les supprimer selon les instructions du Responsable, sous 30 jours.
  • Documentation : mettre à disposition les informations nécessaires pour démontrer la conformité.

8. Sous-traitants ultérieurs autorisés

Le Responsable autorise ark.swiss Sàrl à recourir aux sous-traitants ultérieurs suivants :

  • Infomaniak Network SA, Rue Eugène-Marziano 25, 1227 Genève, Suisse — hébergement applicatif, base de données, SMTP transactionnel.
  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande — encaissement des paiements. Stripe est établi dans un pays bénéficiant d'un niveau de protection adéquat (UE).

Tout nouveau sous-traitant ultérieur sera notifié au Responsable avec un préavis de 30 jours. Le Responsable dispose d'un droit d'opposition motivé ; en cas d'objection raisonnable non résolue, le Responsable pourra résilier le contrat sans frais.

9. Transferts internationaux

Les données principales de l'Instance sont stockées exclusivement en Suisse chez Infomaniak. Les données de facturation transitent par Stripe Payments Europe Ltd. en Irlande (UE), couvert par le marché unique européen. Les fonctions d'intelligence artificielle, optionnelles et désactivées par défaut, impliquent un transfert des textes concernés vers des sous-traitants situés aux États-Unis (Anthropic PBC, OpenAI Ireland Ltd., Google Ireland Ltd.) ; le transfert est couvert par les clauses contractuelles types (CCT) adoptées par la Commission européenne et/ou par une décision d'adéquation applicable. Le Responsable est informé de ce transfert par la présente clause et par la Politique de confidentialité ; en activant les fonctions IA, le Responsable consent à ce transfert pour le traitement concerné. Tout nouveau transfert hors EEE/Suisse sera notifié au Responsable avec un préavis de 30 jours.

10. Droits des personnes concernées

ark.swiss Sàrl assiste gratuitement le Responsable pour répondre, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, aux demandes d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité formulées par les personnes concernées.

11. Violations de sécurité

En cas de violation de données, ark.swiss Sàrl notifie le Responsable sans retard injustifié et au plus tard 24 heures après la prise de connaissance. La notification contient au minimum : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les mesures prises ou proposées, et les coordonnées d'un point de contact. ark.swiss Sàrl coopère à la notification aux autorités et aux personnes concernées.

12. Audit

Le Responsable peut, une fois par an, demander un audit documentaire gratuit pour vérifier la conformité de ark.swiss Sàrl au présent DPA. Un audit sur site peut être réalisé à la charge du Responsable, sous préavis de 30 jours, dans la limite d'un audit annuel et sous réserve d'un accord mutuel de confidentialité. ark.swiss Sàrl s'efforce de répondre aux questionnaires de sécurité raisonnables dans les délais.

13. Restitution ou suppression

À la fin du contrat, sur instruction écrite du Responsable, ark.swiss Sàrl restitue les données (export CSV) ou les supprime sous 30 jours. Sont exclues de cette obligation les données que ark.swiss Sàrl doit légalement conserver, notamment les factures comptables pendant 10 ans (art. 958f CO).

14. Responsabilité

Chaque partie est responsable de ses propres manquements au présent DPA. La responsabilité de ark.swiss Sàrl envers le Responsable est limitée au montant total des abonnements effectivement payés par le Responsable au cours des 12 mois précédant le fait générateur, sous réserve de l'art. 100 CO (dol, faute grave, atteinte à la vie, à l'intégrité corporelle ou à la santé).

15. Droit applicable et for

Le présent DPA est régi par le droit suisse. Le for exclusif est à Lausanne, canton de Vaud, sous réserve du for consommateur impératif.

Annexe A — Mesures techniques et organisationnelles (TOMs)

  • Chiffrement en transit : TLS 1.2 minimum, HSTS activé.
  • Chiffrement au repos : AES-256-GCM pour credentials et tokens OAuth ; chiffrement de volume au niveau de l'hébergeur.
  • Isolation : chaque Instance dans un container Docker dédié, réseau bridge isolé, base de données PostgreSQL séparée.
  • Sauvegardes : quotidiennes et chiffrées, conservées 30 jours. Procédure de restauration documentée et testée après chaque mise à jour majeure de la plateforme.
  • Contrôle d'accès : principe du moindre privilège, authentification par mot de passe avec rotation régulière sur les comptes administrateurs. L'authentification multi-facteur est sur la roadmap produit.
  • Journalisation : logs d'accès conservés 12 mois, accès privilégiés revus à chaque changement de rôle ou de collaborateur.
  • Gestion des incidents : procédure documentée, responsable identifié, temps de réaction cible < 4 heures en heures ouvrées.
  • Sensibilisation interne : revue annuelle des procédures de sécurité et de protection des données par l'équipe ; toute nouvelle personne est formée avant accès aux données clients.
  • Gestion des sous-traitants : revue annuelle des sous-traitants listés en Annexe B (mesures de sécurité, certifications, politiques de traitement).
  • Effacement sécurisé : purge définitive après 30 jours post-résiliation, à l'exclusion des obligations comptables légales.

Annexe B — Liste des sous-traitants ultérieurs

NomPaysServiceDonnées concernées
Infomaniak Network SASuisseHébergement + SMTPToutes les données de l'Instance
Stripe Payments Europe Ltd.Irlande (UE)PaiementsIdentifiants de facturation, montants, jetons carte
Anthropic PBC, OpenAI Ireland Ltd., Google Ireland Ltd.Irlande (UE) + USAFonctions IA optionnelles (activables par le Responsable)Textes et données traités à la demande lors d'un appel IA (prospects, notes, emails, etc.)

Acceptation

L'acceptation des CGU par le Responsable vaut acceptation du présent DPA. Une version acceptée est archivée avec horodatage. Une version PDF signée bilatéralement peut être fournie sur demande écrite à notre formulaire de contact.

En cas de divergence entre les versions linguistiques, la version française fait foi.