Conditions générales d’utilisation

Dernière mise à jour : 10.08.2020
(Ce texte a été traduit par une machine. Le texte allemand est valable.)
Bonjour et bienvenue dans les Conditions d’utilisation d’uhub (“Conditions”).
Les conditions suivantes sont importantes pour les raisons suivantes :
Ils déterminent vos droits à uhub
Ils déterminent les droits que vous nous accordez lorsque vous utilisez uhub
Ils déterminent les modalités de règlement des litiges par voie d’arbitrage.

Introduction
uhub.io ag (contractant) traite les données personnelles du client (donneur d’ordre) conformément au contrat existant entre ces parties (cf. point 1, objet) (“contrat de service”).
Les parties notent que le règlement (UE) 2016/679 (règlement de base sur la protection des données “DS-GVO”) peut s’appliquer au traitement des données convenu (par exemple, le traitement des données à caractère personnel des personnes résidant dans l’UE). Par conséquent, les parties conviennent que le traitement des données à caractère personnel sera effectué sur la base du présent contrat pour le traitement des données à caractère personnel (“OIT”), qui tient compte des dispositions du règlement d’exemption par catégorie de DS. Le traitement des données doit également garantir le respect de la réglementation suisse en matière de protection des données conformément à la loi sur la protection des données (LPD) en vigueur, dans la mesure où ces exigences ne sont pas remplies sans le respect de la LPD.

Sujet
L’objet du contrat résulte de la description procédurale du produit uhub.io (“description des performances”) :uhub.io est un logiciel en ligne – également connu sous le nom de logiciel cloud – et est indépendant du système d’exploitation et de la plate-forme. Le logiciel est exploité via un navigateur Internet. uhub.io est un outil de communication qui permet à la personne responsable d’enregistrer, de partager et de planifier sa stratégie de communication de manière structurée. De plus, les équipes de communication sont soutenues de façon collaborative dans la mise en œuvre de la stratégie de communication.

Durée du contrat
La commande est passée pour une durée illimitée et peut être résiliée par l’une ou l’autre partie à tout moment à la fin d’un mois en respectant un préavis d’un mois. Si l'option "paiement annuel" a été choisie lors de la conclusion du contrat, le contrat peut être résilié par l'une ou l'autre des parties moyennant un préavis d'un mois avant la fin du contrat. La possibilité de résiliation sans préavis reste inchangée.

La concrétisation du contenu de la commande
1) Nature et finalité du traitement proposé des données
L’objet de la commande pour le traitement des données est l’exécution des tâches suivantes par le contractant :Stockage des données pour la fourniture de services conformément à la description du service et au contrat de service
L’exécution du traitement des données convenu contractuellement a lieu en Suisse. Un niveau adéquat de protection des données a été établi par la Commission européenne dans une décision formelle pour la Suisse : 2000/518/CE.
2) Type de données
Le contractant lui-même ne traite pas activement les données personnelles. L’accès aux données n’est autorisé qu’aux fins de rectification des erreurs conformément aux conditions générales. Dans le cadre de cette correction d’erreur, il est possible pour l’entrepreneur d’avoir accès aux données du client. Les données personnelles peuvent également en être affectées.
Le Client confirme que les données personnelles suivantes, non exhaustives, peuvent faire l’objet d’un traitement.
– Clients
– parties intéressées
– état-major
– fournisseurs
Le client veille à ce qu’aucune donnée ne soit conservée conformément à l’art. 9 de la DS-GVO. Cela comprend les catégories de données suivantes : 
Origine raciale et ethnique / opinions politiques / croyances religieuses ou idéologiques / appartenance syndicale / données génétiques, données biométriques pour l’identification sans équivoque d’une personne physique, données de santé ou données sur la vie sexuelle ou l’orientation sexuelle. 
Lors du stockage de ces données, le contractant doit en être immédiatement informé. Dans ce cas, le fournisseur se réserve le droit de résilier le contrat immédiatement, unilatéralement et sans conséquences financières.

Mesures techniques et organisationnelles
1) Le contractant a pris les mesures techniques et organisationnelles nécessaires avant le début du traitement.
2) Le preneur d’ordre a subi la garantie conformément à l’art. 28 al. 3. c, 32 DS-GVO en particulier en liaison avec l’art. 5 al. 1, al. 2 DS-GVO. Dans l’ensemble, les mesures à prendre sont des mesures de sécurité des données et des mesures visant à assurer un niveau de protection approprié au risque en ce qui concerne la confidentialité, l’intégrité, la disponibilité et la résistance des systèmes. L’état de la technique, les coûts de mise en œuvre, le type, l’étendue et la finalité du traitement, ainsi que les différentes probabilités d’occurrence et la gravité du risque pour les droits et libertés des personnes physiques au sens de l’article 32, paragraphe 1, OVG DS ont été pris en compte.
3) Les mesures techniques et organisationnelles sont soumises au progrès technique et au perfectionnement. A cet égard, le contractant est autorisé à mettre en œuvre d’autres mesures adéquates. Le niveau de sécurité des mesures spécifiées ne doit pas être inférieur. Les changements importants doivent être documentés.
Si vous êtes intéressé, la documentation des mesures techniques et organisationnelles peut être demandée par e-mail à privacy@uhub.io

Correction, limitation et suppression des données
1) Le preneur d’ordre ne peut rectifier, effacer ou restreindre le traitement des données traitées pour le compte du donneur d’ordre sans son autorisation, mais uniquement conformément aux instructions documentées du donneur d’ordre. Si une personne concernée contacte directement le Contractant à cet égard, le Contractant transmet cette demande au Client sans délai.
2) Dans la mesure où l’étendue des prestations couvre, le concept de suppression, le droit à l’oubli, la correction, la portabilité des données et l’information sont assurés directement par le Client. Le preneur d’ordre est tenu d’assister le donneur d’ordre dans la fourniture de ces prestations contre rémunération.

Assurance de la qualité et autres fonctions de l’entrepreneur
Outre le respect des dispositions du présent contrat, le Contractant a des obligations légales en vertu des articles 28 à 33 de l’OVG DS ; dans cette mesure, il veille en particulier au respect des exigences suivantes :1) Le contractant n’est pas tenu de désigner un délégué à la protection des données conformément à l’OVG DS. La personne de contact est Olivier Fuchs, uhub.io ag, Neuengasse 41, 3011 Berne, Suisse. Cela peut se faire sousprivacy@uhub.io est joignable.
2) Maintien de la confidentialité conformément à l’art. 28 al. 3 phrase 2 lit. b, 29, 32 al. 4 DS-GVO. Lors de l’exécution des travaux, le contractant n’emploie que des personnes qui sont tenues à la confidentialité et qui ont été préalablement familiarisées avec les dispositions relatives à la protection des données qui les concernent.
3) La mise en œuvre et le respect de toutes les mesures techniques et organisationnelles requises pour cette mission conformément à l’art. 28, al. 3, phrase 2, al. c, 32 DS-GVO[détails en Annexe 1].
4) Dans la mesure où le donneur d’ordre est soumis à l’inspection de l’autorité de surveillance, à une infraction administrative ou à une procédure pénale, à l’action en responsabilité d’une personne concernée ou d’un tiers ou à toute autre action liée au traitement de la commande par le prestataire, ce dernier l’assiste dans toute la mesure de ses possibilités. Le contractant a droit à une compensation basée sur les dépenses pour cette assistance.
5) Le Contractant contrôle régulièrement les processus internes et les mesures techniques et organisationnelles afin de s’assurer que le traitement dans son domaine de responsabilité est effectué conformément aux exigences de la législation applicable en matière de protection des données et que les droits des personnes concernées sont protégés.
6) Vérifiabilité des mesures techniques et organisationnelles prises à l’égard du client dans le cadre de ses pouvoirs de contrôle conformément à l’article 8 du présent contrat.

Relations de sous-traitance
1) Aux fins du présent règlement, on entend par sous-traitance les services directement liés à la prestation du service principal. Cela ne comprend pas les services auxiliaires que le contractant utilise, par exemple en tant que services de télécommunications, services postaux/de transport, services de maintenance et d’utilisation ou d’élimination des supports de données, ainsi que les autres mesures visant à garantir la confidentialité, la disponibilité, l’intégrité et la résilience du matériel et des logiciels des systèmes informatiques. Afin de garantir la protection et la sécurité des données des données du client, le mandataire doit également prendre des accords contractuels et des mesures de contrôle appropriés et conformes à la loi dans le cas de services auxiliaires externalisés.2) Les sous-traitants et sous-traitants suivants sont impliqués dans la fourniture des services :

a) Google LLC (anciennement Google Inc.),
1600 Amphitheatre Parkway, Mountain View, California 94043 USA
Délégué à la protection des données :
https://support.google.com/cloud/contact/dpo
Services : Fournisseur d’hébergement cloud
Lieu de traitement (adresse) : Zurich (europe-occidentale6), Suisse

b) maatoo.io
Délégué à la protection des données : privacy@maatoo.io
Services : Automatisation du marketing
Lieu de traitement (adresse) : 55 semaines, Busswilstilstrasse 16, 3250 Lyss, Suisse

c) Exéchelle
Route de Marcolet 39. 1023 Crissier, Suisse
Délégué à la protection des données : privacy@exoscale.ch
Services : Fournisseur d’hébergement cloud
Lieu de traitement (adresse) : Eielen fort DKII, Attingshausen, Suisse
Utilisé par io

d) Talcus SAS
24 rue Daudet, 91400 Saclay, France
Délégué à la protection des données : contact@talkus.io
Services : Service de clavardage pour le soutien des personnes responsables
Lieu de traitement (adresse) : 24 rue Daudet 91400 Saclay (France)

e) Slack Technologies
500 Howard Street, San Francisco, CA 94105, USA
Délégué à la protection des données : dpo@slack.com
Services : Chat Collaboration Solution pour centraliser la communication de support
Lieu de traitement (adresse) : Slack Technologies, 500 Howard Street, San Francisco, CA 94105, USA
Utilisé par : io

f) userpilot
Userpilot, Inc., 2035 Sunset Lake Road, Newark, Delaware 19702
Datenschutzbeauftragter: Yazan Sehwail, security@userpilot.io
Services : Soutien aux utilisateurs dans l'application

(3) Les sous-traitants fournissent les services auxiliaires nécessaires au bon fonctionnement contractuel de la solution par rapport au service principal. Le client en prend acte et accepte expressément l’attribution des tâches décrites.
4) Si le sous-traitant fournit la prestation convenue en dehors de l’UE/EEE ou de la Suisse, le contractant veille au respect de la législation sur la protection des données en prenant les mesures appropriées. Il en va de même si des prestataires de services au sens de l’al. 1 phrase 2 doivent être employés.

Information du client
1) L’entrepreneur doit s’assurer que le client peut s’assurer que les obligations de l’entrepreneur en vertu de l’art. 28 OVG DS ont été respectées. L’entrepreneur s’engage à fournir au client les informations nécessaires sur demande.
2) La preuve de ces mesures peut être apportée par
a) le respect des règles de conduite approuvées conformément à l’art. 40 de la DS-GVO ;
b) la certification selon une procédure de certification approuvée conformément à l’art. 42 de la DS-GVO ;
c) les certificats, rapports ou extraits de rapports actuels d’organismes indépendants (par exemple, auditeurs, auditeurs, délégués à la protection des données, service de sécurité informatique, auditeurs de la protection des données, auditeurs qualité) ;
d) une certification appropriée par le biais d’un audit de sécurité informatique ou de protection des données (par ex. selon BSI basic protection).
e) L’entrepreneur peut réclamer une rémunération pour les coûts qu’il a engagés en raison de l’exercice de ses droits de contrôle et de la fourniture des preuves requises.

Notification des infractions par le contractant
1) Le Contractant aidera le Client à se conformer aux obligations énoncées aux articles 32 à 36 de l’OVG DS concernant la sécurité des données personnelles, les obligations de déclaration en cas de panne de données, les évaluations d’impact sur la protection des données et les consultations préalables. Il s’agit notamment, mais pas exclusivement, des éléments suivants
a) assurer un niveau de protection adéquat par des mesures techniques et organisationnelles qui tiennent compte des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité prévues d’une éventuelle violation des droits due à des failles de sécurité et permettent la détection immédiate des violations pertinentes
b) l’obligation de signaler sans délai au pouvoir adjudicateur les violations des données à caractère personnel
c) l’obligation d’aider l’entité adjudicatrice à remplir son obligation d’informer la personne concernée et de lui fournir toutes les informations pertinentes à cet égard
d) aider le pouvoir adjudicateur dans son évaluation d’impact sur la protection des données
e) assister le pouvoir adjudicateur lors des consultations préalables avec l’autorité de contrôle
2) Pour tous les services de soutien qui ne sont pas inclus dans la description de service ou qui ne sont pas dus à une mauvaise conduite de l’entrepreneur, l’entrepreneur peut demander une rémunération.

Pouvoir du client de donner des instructions
1) Les instructions orales sont confirmées par le client sans délai (au moins sous forme de texte).
2) Le preneur d’ordre est tenu d’informer immédiatement le donneur d’ordre s’il estime qu’une instruction viole les dispositions relatives à la protection des données. Le preneur d’ordre est en droit de suspendre l’exécution de l’instruction correspondante jusqu’à ce qu’elle ait été confirmée ou modifiée par le donneur d’ordre.

Effacement et retour des données personnelles
1) Les copies ou duplicatas des données ne seront pas faits à l’insu du client. En sont exclues les copies de sauvegarde, dans la mesure où elles sont nécessaires pour garantir un traitement correct des données, ainsi que les données qui sont nécessaires au respect des obligations légales de conservation.
2) A l’achèvement des travaux convenus contractuellement ou plus tôt à la demande du client – au plus tard à la résiliation du contrat de prestation – le mandataire doit remettre au client tous les documents, les résultats du traitement et de l’utilisation ainsi que les stocks de données qui lui sont parvenus et qui sont liés au contrat, ou les détruire après accord préalable, conformément aux dispositions sur la protection des données. Il en va de même pour les matériaux de test et de rebut. Le protocole d’effacement doit être soumis sur demande.
3) La documentation qui sert de preuve d’un traitement ordonné et correct des données sera conservée par le mandataire après la fin du contrat, conformément aux délais de conservation respectifs. Il peut les remettre au client à la fin du contrat pour le soulager.

Dispositions finales
1) Le présent accord ne remplace aucun accord antérieur.
2) Les accords auxiliaires ou les modifications à la présente ordonnance doivent être faits par écrit.
3) Les références aux lois, règlements, documents et annexes s’appliquent, sauf disposition contraire expresse, aux lois, règlements, documents et annexes dans leur version en vigueur, c’est-à-dire y compris les modifications éventuelles après la date du contrat.
4) Les annexes font partie intégrante du présent contrat. En cas de contradiction entre les dispositions du contrat lui-même et ses annexes, les dispositions du contrat prévalent. Les dispositions légales obligatoires n’en sont pas affectées.
5) Si certaines dispositions du présent contrat s’avéraient ou devenaient invalides ou inapplicables, la validité des autres parties du contrat n’en serait pas affectée. Dans ce cas, les parties s’engagent à remplacer la disposition invalide ou inapplicable par une disposition qui se rapproche le plus possible de l’objectif visé de la manière légalement admissible ; il en va de même en cas de lacunes.
6) Le client confirme qu’il respecte pleinement les dispositions de la DS-GVO et de la DSG et qu’il ne propose aucun contenu à traiter qui pourrait constituer une atteinte aux droits personnels des personnes concernées.
7) Dans le cadre de la relation externe, le client est responsable, conformément aux dispositions relatives à la responsabilité en matière de protection des données, des dommages causés par un traitement non conforme à la loi. Le preneur d’ordre n’est responsable des dommages causés par la transformation que s’il n’a pas rempli ses obligations au titre du présent contrat ou s’il a agi à l’encontre des instructions du donneur d’ordre. Sur le plan interne, les parties sont responsables de ces dommages proportionnellement à leur part de responsabilité. Si, dans un tel cas, une personne intente une action en dommages-intérêts pleine et entière contre l’une des parties, cette dernière peut réclamer une indemnité ou une indemnité à l’autre partie, dans la mesure où cela correspond à sa part de responsabilité.
8) En tant qu’entreprise opérant en Suisse, le mandataire est exclusivement responsable et comptable devant les autorités suisses. Le soutien ou le respect d’actes officiels ou souverains d’États et d’autorités étrangers est interdit par le droit pénal (art. 271 du Code pénal).
9) Seul le droit suisse est applicable au présent contrat. Le for juridique est Berne/BE.