Contrat de sous-traitance des données (DPA)
Dernière mise à jour : 27 mai 2026
Le présent contrat de sous-traitance (« DPA ») encadre le traitement des données personnelles que Konclav effectue pour le compte de l'association cliente dans le cadre de l'utilisation du service. Il fait partie intégrante des conditions générales d'utilisation et complète la politique de confidentialité. Il est conclu conformément à l'art. 9 nLPD et, lorsqu'il s'applique, à l'art. 28 RGPD.
Parties
- Le responsable du traitement : l'association cliente, telle qu'identifiée lors de la souscription au service (« l'Association ») ;
- Le sous-traitant : Kévin Perret, Avenue du Grand-Champsec 2, 1950 Sion, Suisse, exploitant le service « Konclav » (« le Sous-traitant »).
1. Objet et rôles
L'Association détermine les finalités et les moyens du traitement des données de ses membres : elle est responsable du traitement. Le Sous-traitant traite ces données uniquement pour fournir le service et sur instruction documentée de l'Association (les présentes, les CGU et la configuration du compte valant instructions). La description du traitement figure à l'Annexe 1.
2. Durée
Le présent DPA s'applique pendant toute la durée du contrat de service et tant que le Sous-traitant traite des données pour le compte de l'Association.
3. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- ne traiter les données que sur instruction documentée de l'Association, sauf obligation légale (auquel cas il en informe l'Association, sauf interdiction légale) ;
- garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
- mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'Annexe 2 ;
- respecter les conditions de recours à des sous-traitants ultérieurs (article 4) ;
- assister l'Association pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, opposition, portabilité), dans la mesure du possible ;
- aider l'Association à respecter ses obligations de sécurité, de notification de violations et, le cas échéant, d'analyse d'impact ;
- mettre à disposition de l'Association les informations nécessaires pour démontrer le respect de ces obligations (article 7) ;
- à la fin du contrat, supprimer ou restituer les données selon le choix de l'Association (article 6).
4. Sous-traitants ultérieurs
L'Association autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l'Annexe 3 pour fournir le service. Le Sous-traitant leur impose des obligations de protection des données équivalentes aux présentes et demeure responsable de leur exécution.
En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Sous-traitant en informe l'Association par e-mail (adresse administrative déclarée par l'Association) ou par notification publiée dans l'application, au moins 30 jours avant la mise en œuvre effective. L'Association peut s'y opposer pour un motif légitime lié à la protection des données dans ce délai ; à défaut, elle peut résilier le contrat sans pénalité avec effet à la date du changement.
5. Transferts hors de Suisse / de l'UE
Les données de l'application sont hébergées en Suisse. Certains traitements accessoires (notifications push, envoi d'e-mails) peuvent impliquer un transfert aux États-Unis ; ces transferts sont alors encadrés par les garanties appropriées prévues par la loi (clauses contractuelles types et/ou adhésion au Data Privacy Framework UE–États-Unis, selon le prestataire). Le détail figure à l'Annexe 3.
6. Sort des données en fin de contrat
À la cessation du service, le Sous-traitant supprime les données de l'Association, ou les lui restitue dans un format exploitable si elle en fait la demande, puis supprime les copies existantes, sauf obligation légale de conservation. La suppression intervient dans un délai de 30 jours. Les éventuelles sauvegardes (backups) contenant des données de l'Association sont conservées au maximum 30 jours après la suppression principale, puis écrasées par rotation ; elles ne peuvent être restaurées qu'à des fins de récupération de sécurité.
7. Audits et information
Le Sous-traitant met à la disposition de l'Association, sur demande écrite, les informations et documents nécessaires pour démontrer le respect du présent DPA, notamment l'inventaire à jour des sous-traitants ultérieurs, la liste des mesures de sécurité (Annexe 2) et la cartographie des transferts hors UE. L'Association peut mandater, à ses frais, un auditeur tiers indépendant et soumis au secret professionnel, à raison d'une fois par année civile au maximum, sur préavis écrit de 30 jours, sans accès aux données d'autres clients. Un audit non planifié est admis sans préavis en cas de violation avérée.
8. Violations de données
En cas de violation de données affectant les données de l'Association, le Sous-traitant l'en informe par e-mail à l'adresse administrative déclarée par l'Association, sans retard injustifié et au plus tard dans les 72 heures après en avoir pris connaissance. La notification comporte au minimum : la nature de la violation, les catégories et le volume approximatif des personnes et données concernées, les mesures prises ou envisagées, et le point de contact technique du Sous-traitant pour le suivi.
9. Responsabilité
La responsabilité de chaque partie s'exerce dans les limites prévues par les conditions générales et par le droit applicable. Le présent DPA est régi par le droit suisse ; le for est celui prévu par les conditions générales.
Annexe 1 — Description du traitement
| Objet | Hébergement et traitement des données saisies dans l'application pour fournir le service Konclav |
|---|---|
| Finalités | Gestion des membres, des tâches, de l'agenda, des documents, des cotisations, des notes de frais, des sondages et des assemblées |
| Catégories de personnes | Membres, responsables et administrateurs de l'Association |
| Catégories de données | Identification (nom, e-mail, téléphone, date de naissance, adresse postale, photo, biographie), données d'organisation (rôles, pôles), contenus métier, coordonnées bancaires (IBAN) pour les remboursements, signatures électroniques lors des assemblées |
| Durée | Durée du contrat de service ; suppression selon l'article 6 |
Annexe 2 — Mesures de sécurité
- Chiffrement en transit (HTTPS/TLS) de toutes les communications ;
- cloisonnement strict des données entre associations (contrôle d'accès au niveau de la base de données, Row-Level Security) ;
- contrôle d'accès par rôles (administrateur, responsable, membre) et authentification obligatoire ;
- accès restreint aux fichiers via des liens signés à durée de validité limitée ;
- journal d'audit immuable des actions sensibles d'administration ;
- accès aux données limité aux personnes autorisées, soumises à confidentialité ;
- sauvegardes assurées par l'infrastructure d'hébergement.
Annexe 3 — Sous-traitants ultérieurs
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, authentification, stockage de fichiers | Suisse (Zurich) |
| Expo, Google (FCM), Apple (APNs) | Acheminement technique des notifications push | États-Unis |
| Resend | Envoi d'e-mails transactionnels | États-Unis |
Les transferts vers les États-Unis sont encadrés par des garanties appropriées (clauses contractuelles types et/ou Data Privacy Framework UE–États-Unis, selon le prestataire).
Les contrats de sous-traitance (DPA) de ces fournisseurs sont publiquement accessibles : Supabase, AWS, Expo, Resend. Sur demande, le Sous-traitant fournit à l'Association la copie de la version en vigueur de chaque DPA.
