Parties
Le responsable du traitement :
[Nom du cabinet / praticien]
[Adresse]
[NPA, localité]
(ci-après « le Responsable »)
Le sous-traitant :
welia · Mickael Daguet
Route de Belfaux, 1720 Corminbœuf, Suisse
(ci-après « le Sous-traitant »)
1 · Objet
Le présent contrat régit le traitement de données personnelles effectué par le Sous-traitant pour le compte du Responsable, dans le cadre du contrat de prestation portant sur la conception, l'hébergement et la maintenance du site web du Responsable. Il est conclu en application de l'art. 9 de la loi fédérale sur la protection des données (LPD).
2 · Description du traitement
Les traitements confiés au Sous-traitant sont décrits à l'Annexe A : nature des opérations, catégories de données, catégories de personnes concernées, durée.
3 · Périmètre : exclusion des données médicales
Le Sous-traitant n'héberge et ne traite aucun dossier patient, aucune donnée de traitement médical, aucun agenda de consultation. La prise de rendez-vous en ligne est assurée par des services tiers (OneDoc, Doctena ou équivalent) choisis par le Responsable, qui agissent comme sous-traitants directs du Responsable, hors du périmètre du présent contrat.
Le formulaire de contact du site est conçu pour des demandes générales. Le Responsable veille, par la formulation du site, à décourager la transmission d'informations médicales détaillées via ce formulaire. Si une personne concernée transmet néanmoins spontanément de telles informations, elles bénéficient des mesures de sécurité de l'Annexe B et sont supprimées conformément à l'art. 9 du présent contrat.
4 · Instructions du Responsable
Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable. Constituent les instructions initiales : le contrat de prestation, le document de référence du projet et la configuration du site convenue. Toute instruction ultérieure est communiquée par écrit (e-mail accepté).
Si le Sous-traitant estime qu'une instruction viole la LPD, il en informe le Responsable sans délai et peut suspendre son exécution jusqu'à confirmation écrite.
5 · Confidentialité
Le Sous-traitant traite les données de manière strictement confidentielle. Il ne les utilise pour aucune autre finalité que l'exécution du contrat, ne les communique à aucun tiers non autorisé et ne les exploite pas à des fins propres, y compris d'entraînement d'outils d'intelligence artificielle.
6 · Sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles décrites à l'Annexe B, conformément à l'art. 8 LPD, et les adapte à l'évolution de l'état de la technique.
7 · Sous-traitance ultérieure
Le Responsable autorise le recours aux sous-traitants ultérieurs listés à l'Annexe A (hébergement : Infomaniak Network SA, Genève, Suisse). Tout changement ou ajout de sous-traitant ultérieur est annoncé par écrit au Responsable au moins trente jours à l'avance ; le Responsable peut s'y opposer pour de justes motifs. Le Sous-traitant impose à tout sous-traitant ultérieur des obligations équivalentes à celles du présent contrat.
8 · Localisation des données
Les données sont hébergées exclusivement en Suisse. Aucun transfert vers l'étranger n'a lieu sans l'accord écrit préalable du Responsable et, le cas échéant, sans les garanties prévues aux art. 16 ss LPD.
9 · Assistance au Responsable
Le Sous-traitant assiste le Responsable, dans la mesure du raisonnable :
- pour répondre aux demandes des personnes concernées (accès, rectification, effacement, remise des données) ;
- pour documenter les traitements (remise du registre des activités de traitement relatif au site) ;
- en cas de violation de la sécurité des données : le Sous-traitant informe le Responsable dans les meilleurs délais, au plus tard 48 heures après en avoir eu connaissance, en documentant la nature de la violation, les données concernées et les mesures prises. L'annonce éventuelle au PFPDT (art. 24 LPD) incombe au Responsable.
10 · Fin du contrat
Au terme du contrat de prestation, le Sous-traitant restitue au Responsable l'ensemble des données (export complet), puis supprime les copies en sa possession dans les soixante jours, sous réserve d'obligations légales de conservation. Les sauvegardes sont écrasées selon leur cycle de rotation (trente jours).
11 · Responsabilité
Chaque partie répond des dommages qu'elle cause par la violation de ses obligations au titre du présent contrat. La limitation de responsabilité prévue par les conditions générales de vente du Sous-traitant s'applique. Le Responsable demeure seul responsable de la licéité des traitements qu'il décide, de l'information aux personnes concernées et du respect de ses obligations professionnelles et déontologiques.
12 · Durée, droit applicable et for
Le présent contrat entre en vigueur à la signature du contrat de prestation et prend fin avec lui. Il est soumis au droit suisse ; le for est à Fribourg.
Annexe A : Description du traitement
Nature des opérations : hébergement du site web ; sauvegardes ; maintenance technique et de sécurité ; mesure d'audience auto-hébergée (Matomo, configuration sans cookies, données stockées sur le serveur du site) ; le cas échéant, si l'option est retenue au devis : collecte et transmission des messages d'un formulaire de contact.
Catégories de personnes concernées : visiteurs du site du Responsable ; le cas échéant, personnes prenant contact avec le cabinet via le formulaire optionnel.
Catégories de données : données techniques de connexion (adresse IP, journaux serveur) ; statistiques de fréquentation agrégées et anonymisées ; le cas échéant, données d'identification et de contact (nom, prénom, adresse e-mail, téléphone) et contenu des messages du formulaire optionnel.
Données expressément hors périmètre : dossiers patients, données de traitement médical, agendas de consultation, données de facturation médicale.
Durée du traitement : durée du contrat de prestation.
Sous-traitants ultérieurs autorisés :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Infomaniak Network SA, Genève | Hébergement, sauvegardes, e-mail | Suisse (canton de Genève) |
Annexe B : Mesures techniques et organisationnelles
- Chiffrement des échanges sur l'ensemble du site
- Hébergement dans des datacenters situés en Suisse, certifiés (ISO 27001)
- Sauvegardes quotidiennes automatiques, conservées trente jours
- Mises à jour mensuelles du site, des extensions et des composants de sécurité
- Accès administrateur limité au Sous-traitant, protégé par mot de passe fort et authentification à deux facteurs
- Journalisation des accès à l'administration du site
- Poste de travail du Sous-traitant chiffré et protégé
- Pas de copie des données sur des services cloud hors Suisse
- Suppression sécurisée des données en fin de contrat
