Accord de traitement des données
Le présent Accord de traitement des données (« DPA ») encadre les traitements de données personnelles réalisés par MySphere en tant que sous‑traitant pour le compte du Client en tant que responsable du traitement, au sens de la législation suisse (nLPD) et, le cas échéant, du RGPD lorsque applicable.
Prestataire (Sous‑traitant) : Pierre Lagarde – MySphere (entreprise individuelle), Chemin d'en Haut 20, 1978 Lens, Suisse (« MySphere »).
Client (Responsable du traitement) : tel qu'identifié au Devis/Offre et/ou au Contrat Projet.
Le présent DPA s'applique dès lors que MySphere traite des données personnelles pour exécuter les Prestations (ex. formulaires, tracking, automatisations, support, hébergement/maintenance), sauf indication contraire expresse au Devis/Contrat.
En cas de contradiction, l'ordre de priorité est le suivant : (i) Devis/Offre (conditions particulières), (ii) Contrat Projet (si signé), (iii) Annexes (dont le présent DPA/LPD), (iv) CGV.
Le présent DPA/LPD fait foi pour tout ce qui concerne le traitement des données personnelles. Les clauses CGV relatives aux données personnelles ne sont applicables qu'à titre de renvoi au présent DPA/LPD.
2.1 MySphere traite les données personnelles uniquement sur instructions documentées du Client et dans la mesure nécessaire à l'exécution des Prestations.
2.2 Le Client est responsable de la licéité du traitement (base légale), de l'information des personnes concernées, des mentions légales/cookies, et de la collecte des consentements requis.
La description des traitements (finalités, catégories de données, catégories de personnes concernées, durée) figure en Annexe A. Le Client peut l'adapter par écrit via le Devis/Contrat.
4.1 MySphere met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre la perte, l'accès non autorisé, l'altération ou la divulgation.
4.2 Sans constituer une liste exhaustive : contrôle des accès, principe du moindre privilège, sauvegardes lorsque inclus, mises à jour raisonnables, chiffrement en transit lorsque supporté (HTTPS), journalisation et gestion des incidents lorsque disponible.
4.3 Le Client reconnaît que certaines mesures dépendent d'outils tiers (hébergeurs, CMS, API) et que MySphere ne peut garantir un niveau de sécurité supérieur à celui de ces tiers.
5.1 MySphere peut recourir à des sous‑traitants ultérieurs (ex. hébergement, email, analytics, automatisation) lorsque nécessaire à l'exécution des Prestations.
5.2 MySphere maintient une liste des sous‑traitants principaux sur demande. Le Client autorise par la présente le recours à ces sous‑traitants, sous réserve d'être informé des changements majeurs lorsque cela est raisonnablement possible.
5.3 MySphere impose contractuellement à ses sous‑traitants ultérieurs des obligations de protection des données au moins équivalentes à celles du présent DPA.
MySphere assiste le Client, dans la mesure raisonnable, pour répondre aux demandes d'exercice de droits (accès, rectification, effacement, opposition, portabilité lorsque applicable).
Sauf disposition contraire au Devis/Retainer, l'assistance dépassant des actions simples peut être facturée au tarif horaire applicable (hors scope).
7.1 MySphere notifie le Client sans retard indu en cas de violation de données personnelles portée à sa connaissance, et fournit les informations raisonnablement disponibles.
7.2 Le Client demeure responsable, en tant que responsable du traitement, des notifications aux autorités et/ou aux personnes concernées si la loi l'exige.
8.1 Les Prestations peuvent impliquer des outils/serveurs situés hors de Suisse (et/ou EEE), notamment lorsque le Client choisit des outils tiers.
8.2 Le Client autorise ces transferts lorsqu'ils sont nécessaires à l'exécution des Prestations, sous réserve que des garanties appropriées soient mises en place lorsque requis (ex. clauses contractuelles types, décisions d'adéquation ou mécanismes équivalents).
8.3 Le Client reste décisionnaire des outils choisis et de leurs paramètres (ex. régions d'hébergement) lorsqu'il en a la maîtrise.
9.1 À la fin des Prestations, MySphere supprime ou restitue les données personnelles traitées pour le compte du Client dans un délai raisonnable, sauf obligation légale de conservation ou besoin légitime de conservation (ex. preuve contractuelle, facturation).
9.2 Les sauvegardes techniques peuvent être conservées selon les cycles de rétention, puis écrasées/supprimées automatiquement.
9.3 Le Client demeure responsable d'exporter ses données depuis les outils tiers dont il est titulaire (CRM, email marketing, analytics, etc.).
10.1 MySphere met à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA.
10.2 Un audit sur site n'est possible que sur demande écrite, à une fréquence raisonnable, aux frais du Client, et sous réserve de mesures de confidentialité et de sécurité ; un audit documentaire est privilégié.
Le présent DPA est valable pendant toute la durée des Prestations impliquant un traitement de données personnelles par MySphere pour le compte du Client.
Droit suisse. For : tribunaux du canton du Valais, sous réserve des fors impératifs.
Cette annexe est à adapter au Devis/Contrat si nécessaire.