Conditions de traitement des commandes

1. Objet

Exxas AG (ci-après « Exxas ») et l'autre partie contractante (ci-après « Client ») ont conclu un contrat (dans sa version actuelle) en vertu duquel les services de traitement du contrat sont fournis (ci-après « Contrat »). Les présentes conditions de traitement des données de commande (ci-après « conditions de traitement des données » ou « conditions de traitement ») complètent le contrat et les conditions générales (CGV) d'Exxas et sont considérées comme faisant partie intégrante du contrat.

Ces conditions de traitement des données entrent en vigueur à la date de début du contrat. Si un représentant du client conclut ces conditions de traitement des données au nom du client, il assure qu'il (a) est légalement autorisé à remplir ces conditions de traitement des données pour le compte du client, (b) a lu et compris ces conditions de traitement des données et (c) fournit au client représenté par le représentant la déclaration d'acceptation pour remplir ces conditions de traitement des données.

2. Présentation

Ces conditions de traitement des données contiennent l'accord entre les parties sur les réglementations applicables au traitement et à la sécurité des données personnelles du client en relation avec les réglementations de protection des données.

3. Définitions et interprétation

Dans ces conditions de traitement des données, les définitions suivantes s'appliquent :

  • Services de traitement des contrats désigne les services Exxas pertinents suivants, qui entrent dans le champ d'application des conditions de traitement des données :
    • Exxas

Exxas est en droit de mettre à jour cette liste conformément aux dispositions des conditions de traitement des données.

  • Réglementation sur la protection des données désigne, le cas échéant : (a) le RGPD et/ou (b) la Loi fédérale sur la protection des données (DSG, Suisse) de 2023.
  • incident lié aux données désigne un incident de sécurité chez Exxas qui entraîne la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisés des données personnelles du client, affectant les systèmes gérés par Exxas ou autrement contrôlés par Exxas. Le terme « incident de données » n'inclut pas les tentatives d'accès infructueuses ou les événements similaires qui ne compromettent pas la sécurité des informations personnelles du client, tels que les tentatives de connexion infructueuses, les pings, les scans de ports, les attaques par déni de service et autres attaques réseau contre des pare-feux ou des systèmes en réseau.
  • GDPR désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE.
  • DSG désigne la Loi suisse sur la protection des données (235.1), entrée en vigueur le 1er septembre 2023. Il vise à protéger la personnalité et les droits fondamentaux des personnes physiques par l'intermédiaire desquelles les données personnelles sont traitées.
  • Adresse e-mail pour les notifications désigne l'adresse e-mail (si disponible) fournie par le client via l'interface utilisateur du service de traitement des données ou d'autres options fournies par Exxas pour recevoir certaines notifications d'Exxas concernant ces conditions de traitement des données.
  • EEE désigne l'Espace économique européen.
  • Exxas désigne Exxas AG, qui est la partie au contrat.
  • Sociétés du groupe Exxas a l'importance des sociétés associées à Exxas, telles que les sociétés mères, filiales et sœurs.
  • exécution désigne la période comprise entre la date d'entrée en vigueur du contrat et la fin de la fourniture de services de traitement par Exxas conformément au contrat.
  • Données personnelles du client désigne les données personnelles traitées par Exxas pour le compte du client dans le cadre de la fourniture de services de traitement des contrats.
  • Sous-processeur désigne les tiers autorisés en vertu de ces conditions de traitement des données à accéder logiquement aux données personnelles du client et à les traiter afin de fournir une partie des services de traitement des données et de fournir un support technique connexe.
  • Entreprise affiliée désigne toute entité juridique qui contrôle directement ou indirectement, est contrôlée par l'une des parties au contrat ou est sous contrôle conjoint avec l'une des parties au contrat.
  • produit supplémentaire désigne un produit, un service ou une application d'Exxas ou d'un tiers qui (a) ne fait pas partie des services de traitement des données et (b) peut être utilisé via l'interface utilisateur des services de traitement des données ou est intégré d'une autre manière aux services de traitement des données.

Les termes Personne responsable, personne concernée, données personnelles, traitement, sous-traitant et autorité de surveillance Dans les présentes conditions de traitement des données, ils ont chacun la même signification que celle qui leur est attribuée dans le RGPD.

Phrases commençant par des mots tels que « y compris » ou commencer par une expression similaire, doit être interprétée de telle sorte que ces formulations n'aient qu'un sens illustratif et ne soient pas destinées à restreindre le sens des formulations précédentes. Les exemples fournis dans ces conditions de traitement des données ne sont fournis qu'à titre indicatif et ne constituent pas des exemples exclusifs d'un concept particulier.

Les références aux lois ou réglementations légales font référence à leur état actuel et à la version en vigueur à l'époque et éventuellement modifiée ou révisée.

4. Durée de ces conditions de traitement des données

Ces conditions de traitement des données entrent en vigueur à la date spécifiée du contrat et restent en vigueur, que le délai soit expiré ou non, jusqu'à ce qu'Exxas supprime toutes les données personnelles des clients conformément à ces conditions de traitement des données, date à laquelle ces conditions de traitement des données expirent automatiquement.

5. Applicabilité de ces conditions de traitement des données

Ces conditions de traitement des données ne s'appliquent que dans la mesure où les réglementations en matière de protection des données s'appliquent au traitement des données personnelles du client, y compris lorsque :

  • (a) Le traitement a lieu dans le cadre des activités de l'établissement d'un client dans l'EEE ou en Suisse et/ou
  • (b) Les données personnelles des clients représentent des données personnelles relatives à des personnes situées dans l'EEE ou en Suisse et le traitement concerne l'offre de biens ou de services ou la surveillance du comportement dans l'EEE ou en Suisse.

6. Traitement des données

6.1 Répartition des rôles et respect des exigences légales ; autorisation.
6.1.1 Responsabilités du responsable du traitement des commandes et de la personne responsable.

Les parties contractantes confirment et conviennent que :

  • (a) L'annexe 1 décrit l'objet et les détails du traitement des données personnelles du client,
  • (b) Exxas agit en tant que sous-traitant les données personnelles des clients conformément aux réglementations en matière de protection des données,
  • (c) le client agit en tant que responsable du traitement ou sous-traitant des données personnelles du client conformément à la réglementation en matière de protection des données, et
  • (d) chaque partie est tenue de respecter les obligations qui s'appliquent à la partie concernée en ce qui concerne le traitement des données personnelles du client conformément à la législation sur la protection des données.

6.1.2 Autorisation par un tiers en tant que personne responsable.

Si le client est lui-même un sous-traitant des commandes, il garantit à Exxas que ses instructions et mesures concernant les données personnelles du client, y compris l'utilisation d'Exxas en tant qu'autre processeur, ont été autorisées par la personne responsable concernée.

6.2 Instructions pour le client.

En acceptant ces conditions de traitement des données, le client demande à Exxas de traiter les données personnelles du client conformément à la loi applicable, (a) de fournir les services de traitement des données et le support technique associé, et (b) de continuer à utiliser le client des services de traitement des données (y compris via les paramètres et fonctionnalités des services de traitement des données) et le support technique associé, (c) tel que défini par le contrat, y compris les présentes conditions de traitement des données, est documenté et (d) comme cela est également documenté dans d'autres instructions écrites donnée par le client et formellement acceptée par Exxas en tant qu'instruction au sens des présentes conditions de traitement des données.

6.3 Conformité aux instructions d'Exxas.

Exxas suivra les instructions énoncées dans la Section 6.2 (Instructions du client) (y compris en ce qui concerne le transfert de données), sauf si les lois de l'UE, les lois d'un État membre de l'UE ou les lois de la Suisse applicables à Exxas exigent qu'Exxas traite les données personnelles du client par Exxas ; dans ce cas, Exxas informera le client en conséquence (sauf si la loi applicable interdit à Exxas de le faire pour des raisons d'intérêt public importantes). intérêt).

6.4 Produits supplémentaires.

Si le client utilise des produits supplémentaires, les services de traitement des commandes peuvent fournir à ces produits supplémentaires l'accès aux données personnelles du client, dans la mesure où cela est nécessaire à l'interaction entre ces produits supplémentaires et les services de traitement des commandes. Pour clarifier, ces conditions de traitement des données ne s'appliquent pas au traitement des données personnelles dans le cadre de la fourniture de produits auxiliaires utilisés par le client, y compris les données personnelles soumises par ou à ces produits supplémentaires.

7. Suppression des données

7.1 Suppression en cours de validité.
7.1.1 Services de traitement des commandes avec fonction de suppression.

Si pendant le trimestre :

  • (a) les fonctionnalités logicielles des services de traitement des contrats offrent au client la possibilité de supprimer ou de rendre anonymes ses données personnelles,
  • (b) le client utilise les services de traitement des commandes pour supprimer certaines de ses données personnelles et
  • (c) les données personnelles supprimées du client ne peuvent pas être récupérées par le client (par exemple, à partir de la « corbeille »),

Exxas supprimera ensuite les données personnelles du client de ses systèmes dès que cela sera approprié et possible et au plus tard après une période de 180 jours, à moins qu'une loi de l'UE, la loi d'un État membre de l'UE ou la loi de la Suisse n'exige un stockage.

7.1.2 Services de traitement des contrats sans fonction de suppression.

Si les fonctionnalités logicielles des services de traitement des contrats ne fournissent pas d'option permettant au client de supprimer ses données personnelles pendant l'exécution, Exxas s'engage à :

  • (a) répondre à toute demande raisonnable du client visant à obtenir cette suppression, dans la mesure où cela est possible compte tenu de la nature et du fonctionnement des services de traitement des données et à moins qu'une loi de l'UE, la loi d'un État membre de l'UE ou la loi de la Suisse n'exige le stockage, et
  • b) se conformer aux procédures de stockage des données des services de traitement des contrats.

Exxas est en droit d'exiger le remboursement des frais de suppression des données conformément à la section 7.1.2 (a). Avant cette suppression, Exxas fournira au client de plus amples informations sur les coûts encourus dans chaque cas et la base de calcul de ces coûts.

7.2 Suppression après expiration du délai.

Le client demande à Exxas de supprimer toutes ses données personnelles (y compris toutes les copies existantes) des systèmes Exxas à la fin de la période conformément à la loi applicable. Exxas se conformera à cette instruction dès que cela sera approprié et réalisable et au plus tard après une période de 180 jours, à moins qu'une loi de l'UE, la loi d'un État membre de l'UE ou la loi de la Suisse n'exige le stockage.

8. Sécurité des données

8.1 Mesures de sécurité et assistance fournies par Exxas.
8.1.1 Mesures de sécurité d'Exxas.

Exxas met en œuvre des mesures techniques et organisationnelles pour protéger les données personnelles du client contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentels ou illégaux, comme décrit dans l'Annexe 2 (Mesures de sécurité) et le maintient. Comme décrit à l'annexe 2, les mesures de sécurité comprennent :

  • (a) pour crypter les données personnelles,
  • (b) qui contribuent à maintenir ou à garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services d'Exxa sur une base continue,
  • (c) qui aident à rétablir l'accès aux données personnelles à la suite d'un incident dans les meilleurs délais, et
  • d) pour tester régulièrement l'efficacité. Exxas peut occasionnellement mettre à jour ou ajuster les mesures de sécurité, à condition que cette mise à jour et cet ajustement n'entraînent pas une diminution de la sécurité globale des services de traitement des données.

8.1.2 Conformité aux règles de sécurité par le personnel d'Exxas.

Exxas est tenue de prendre des mesures raisonnables pour garantir le respect des mesures de sécurité par les employés, les sous-traitants et les sous-traitants d'Exxas dans la mesure appropriée à leurs domaines de responsabilité respectifs et pour s'assurer que toutes les personnes autorisées à traiter les données personnelles des clients se sont engagées à les garder secrètes ou à respecter les obligations légales de confidentialité.

8.1.3 Assistance d'Exxas.

Le client accepte qu'Exxas (en tenant compte de la nature du traitement respectif des données personnelles du client et des informations dont dispose Exxas) l'aide à respecter toutes ses obligations en matière de sécurité des données personnelles et en cas de violation de la sécurité des données, y compris, dans la mesure applicable, les obligations du client en vertu des articles 32 à 34 du RGPD, ou des articles 8 et 9 du DSG, en :

  • (a) Mettre en œuvre et maintenir des mesures de sécurité conformément à la section 8.1.1 (Mesures de sécurité d'Exxas),
  • (b) Conformité à la section 8.2 (Incidents liés aux données) et
  • (c) Fourniture de la documentation de sécurité au client conformément à la Section 8.5.1 (révisions de la documentation de sécurité) et des informations contenues dans les présentes conditions de traitement des données.

8.2 Incidents liés aux données
8.2.1 Signaler les incidents liés aux données.

Si Exxas a connaissance d'un incident lié aux données, Exxas est tenue de :

  • (a) de signaler immédiatement l'incident relatif aux données au client ; et
  • (b) de prendre rapidement les mesures appropriées pour minimiser les dommages et sécuriser les données personnelles du client.

8.2.2 Informations détaillées sur les incidents liés aux données.

Les rapports conformes à la section 8.2.1 incluent, dans la mesure du possible, des détails sur l'incident de données et des informations sur les mesures prises pour minimiser le risque potentiel et sur les mesures qu'Exxas recommande au client pour répondre à l'incident de données.

8.2.3 Soumission des notifications.

Exxas enverra des rapports sur les incidents liés aux données à l'adresse e-mail pour les notifications ou, à la discrétion d'Exxas (par exemple, si le client n'a pas fourni d'adresse e-mail pour les rapports), via un autre moyen de communication direct (par exemple par téléphone ou lors d'un rendez-vous personnel). Le client est seul responsable de la fourniture de l'adresse e-mail pour les notifications et doit s'assurer que l'adresse e-mail pour les notifications est toujours à jour et valide.

8.2.4 Rapports à des tiers.

Le client est seul responsable du respect des exigences légales en matière de signalement des incidents et du respect des obligations de signalement correspondantes à des tiers en cas d'incidents liés aux données.

8.2.5 Non accepté par Exxas.

Le signalement d'un incident de données par Exxas ou la réponse à un incident de données par Exxas conformément à la présente Section 8.2 (Incidents liés aux données) ne peuvent pas être interprétés comme signifiant qu'Exxas admettrait déjà un acte répréhensible ou reconnaîtrait la responsabilité de l'incident de données.

8.3 Responsabilité du client en matière de sécurité et d'évaluation de la sécurité.
8.3.1 Responsabilités du client en matière de sécurité.

Sans préjudice de l'obligation qui incombe à Exxas en vertu des sections 8.1 (Mesures de sécurité et assistance d'Exxas) et 8.2 (Incidents relatifs aux données) :

  • (a) Le client est seul responsable de l'utilisation des services de traitement des contrats, y compris :
    • utiliser les services de traitement de manière appropriée pour garantir un niveau de sécurité adapté au risque lié au traitement des données personnelles du client, et
    • protéger les informations d'authentification ainsi que les systèmes et appareils que le client utilise pour accéder aux services de traitement des données, et
  • (b) Exxas n'est pas responsable de la protection des données personnelles des clients que le client choisit de stocker ou de transférer en dehors des systèmes Exxas ou des systèmes de sous-processeurs d'Exxas.

8.3.2 Évaluation de la sécurité par le client.

Le client reconnaît et accepte que (compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, des circonstances et des finalités du traitement des données personnelles du client et des risques associés pour les personnes) les mesures de sécurité mises en œuvre et maintenues par Exxas conformément à la Section 8.1.1 (Mesures de sécurité d'Exxas) atteignent un niveau de sécurité proportionné aux risques associés au traitement des données personnelles du client.

8.4 Audits et audits de conformité
8.4.1 Examen de la documentation de sécurité.

Afin de démontrer le respect des obligations d'Exxas dans le cadre de ces conditions de traitement des données, Exxas est tenue de mettre la documentation de sécurité à la disposition du client pour examen.

8.4.2 Droits d'audit du client.

Exxas permettra au client ou à un auditeur indépendant désigné par le client de réaliser des audits (y compris des inspections) conformément à la Section 8.4.3 (Conditions supplémentaires relatives aux audits) afin de vérifier qu'Exxas respecte ses obligations en vertu des conditions de traitement des données. Exxas soutiendra ces audits comme décrit dans cette Section 8.4 (Audits et audits de conformité).

8.4.3 Conditions d'audit supplémentaires.
  • (a) Le client est tenu de soumettre une demande d'audit conformément à la Section 8.4.2 conformément à la Section 13.1 (en contactant Exxas).
  • (b) Dès réception d'une demande conformément à la Section 8.4.3 (a), Exxas et le Client discuteront conjointement et conviendront à l'avance d'une date de début, d'une portée et d'une durée raisonnables, ainsi que de mesures de sécurité et de confidentialité qui font l'objet de l'audit concerné conformément à la Section 8.4.2.
  • (c) Exxas est en droit de demander le remboursement des coûts de chaque audit conformément à la Section 8.4.2. Avant chaque audit, Exxas fournira au client de plus amples informations sur les coûts impliqués et la base de calcul de ces coûts. Tous les frais liés à la mise en service et à la réalisation d'un audit par un auditeur indépendant mandaté par le client sont à la charge exclusive du client.
  • (d) En vertu de ces conditions de traitement des données, Exxas n'est pas tenue de divulguer au client ou à un auditeur indépendant désigné par le client les informations suivantes, ni de permettre au client ou à un auditeur indépendant d'accéder à :


  • i. les données de tout autre client d'une société du groupe Exxas ;
  • ii. les informations comptables ou financières internes d'une société du groupe Exxas ;
  • iii. Les secrets d'affaires d'une société du groupe Exxas ;
  • iv. Des informations qui, selon l'évaluation raisonnable d'Exxas, pourraient (A) compromettre la sécurité des systèmes ou des locaux d'une société du groupe Exxas ou (B) amener une société du groupe Exxas à violer ses obligations en vertu de la réglementation sur la protection des données ou à violer ses obligations en matière de sécurité ou de protection des données envers le client ou un tiers ; ou
  • v. Informations auxquelles le client ou son auditeur indépendant souhaite accéder pour des raisons contraires à la confiance qui ne sont pas nécessaires pour remplir les obligations du client en vertu de la réglementation sur la protection des données.

9. Analyses d'impact et consultations

Le client accepte qu'Exxas (en tenant compte de la nature du traitement et des informations dont elle dispose) l'aide à remplir ses obligations en matière d'analyses d'impact relatives à la protection des données et de consultations préalables, y compris, le cas échéant, les obligations énoncées aux articles 35 et 36 du RGPD, ou aux articles 22 et 23 DSG, en :

  • a) fournir la documentation de sécurité conformément au paragraphe 8.4.1 (examen de la documentation de sécurité) ;
  • (b) en fournissant les informations déjà incluses dans les présentes conditions relatives au traitement des données ; et
  • (c) Fourniture ou mise à disposition, conformément aux procédures standard d'Exxas, d'autres documents (tels que des articles d'aide et des contributions au centre client) relatifs à la nature des services de traitement des données ou au traitement des données personnelles du client.

10. Droits des personnes concernées

10.1 Répondre aux demandes des personnes concernées.

Si Exxas reçoit une demande d'une personne concernant les données personnelles du client, Exxas demandera à la personne concernée de soumettre sa demande au client ; le client sera seul responsable de répondre à cette demande.

10.2 Assistance d'Exxas pour les demandes des personnes concernées.

Le client accepte qu'Exxas (en tenant compte de la nature du traitement des données personnelles du client et, le cas échéant, de l'article 11 du RGPD ; ou conformément aux articles 25 à 29 du DSG) l'aide à remplir ses obligations de répondre aux demandes des personnes concernées, y compris, le cas échéant, les demandes relatives aux droits des personnes concernées en vertu du troisième chapitre du RGPD, par Exxas :

  • (a) fournit les fonctionnalités des services de traitement des contrats, et
  • (b) les obligations énoncées au paragraphe 10.1 (répondre aux demandes des personnes concernées) ont été respectées

11. Transferts de données

Le client accepte qu'Exxas puisse stocker et traiter ses données personnelles en Suisse.

12. Sous-processeur

12.1 Autorisation d'engager des sous-traitants.

Le client approuve expressément la désignation des sociétés affiliées à Exxas en tant que sous-traitants. En outre, le client accepte généralement qu'Exxas puisse également engager des tiers en tant que sous-traitants.

12.2 Exigences relatives à l'embauche de sous-traitants.

Si Exxas fait appel à des sous-traitants, Exxas s'engage à :

  • a) s'assurer, au moyen d'un contrat écrit, que :
    • (i) le sous-traitant accède aux données personnelles du client et les utilise uniquement dans la mesure nécessaire pour remplir ses obligations, pour lesquelles elles sont requises par le biais de la sous-traitance, et le fait dans chaque cas conformément au contrat (y compris les présentes conditions de traitement des données), et
    • (ii) les obligations de protection des données énoncées à l'article 28, paragraphe 3, du RGPD sont imposées au sous-traitant si le RGPD s'applique au traitement des données personnelles du client, et
    • (iii) Les exigences applicables à l'article 9 du DSG sont pleinement prises en compte et mises en œuvre, et
  • (b) être pleinement responsable de toutes les obligations confiées aux sous-traitants et de tous les actes et omissions de leurs sous-traitants.

12.3 Options pour s'opposer aux modifications apportées à la sous-traitance.
  • (a) Si un nouveau sous-traitant tiers est engagé pendant la période, Exxas informera le client de la commande au moins 30 jours avant que ce nouveau sous-traitant tiers ne soit chargé du traitement des données personnelles du client en envoyant un e-mail à l'adresse e-mail pour les notifications de la commande (y compris le nom et la localisation du sous-traitant concerné et les activités qu'il effectuera).
  • (b) Le client peut s'opposer à l'utilisation d'un nouveau sous-traitant tiers en résiliant immédiatement le contrat par écrit ; cela doit être fait dans les 90 jours suivant la réception de la notification de la nomination du sous-traitant concerné, comme décrit à la Section 12.3 (a). Ce droit de résiliation constitue le seul et unique recours du client s'il n'accepte pas le recours à un nouveau sous-traitant tiers.

13. Contacter Exxas ; enregistrements du traitement

13.1 Contacter Exxas.

Le client peut envoyer Exxas par e-mail (info@exxas.net ou datenschutz@exxas.net) pour exercer ses droits dans le cadre de ces conditions de traitement des données.

13.2 Enregistrements de traitement des données d'Exxas.

Le client reconnaît qu'Exxas est tenue, en vertu du RGPD, de : (a) enregistrer et conserver certaines informations, y compris le nom et les coordonnées de chaque sous-traitant et/ou responsable du traitement pour le compte duquel Exxas agit et (le cas échéant) des informations sur le représentant local et le responsable de la protection des données ; et (b) mettre ces informations à la disposition des autorités réglementaires. En conséquence, le client est tenu, sur demande et dans la mesure applicable au client, de fournir ces informations à Exxas via l'interface utilisateur des services de traitement des données ou via d'autres options qu'Exxas peut fournir à cette fin et d'utiliser l'interface utilisateur ou tout autre moyen prévu à cette fin pour s'assurer que ces informations sont toujours exactes et à jour.

14. responsabilité

La responsabilité en vertu ou en vertu de ces conditions de traitement des données est basée sur les limitations de responsabilité et les exclusions du contrat.

15. Validité de ces conditions de traitement des données

En cas d'opposition ou de divergence entre ces conditions de traitement des données et le contrat, les dispositions de ces conditions de traitement des données prévaudront. À l'exception des modifications apportées par les présentes conditions de traitement des données, le contrat restera pleinement en vigueur.

16. Modifications apportées à ces conditions de traitement des données

16.1 Modifications des conditions de traitement des données.

Exxas peut modifier ces conditions de traitement des données si de telles modifications sont apportées :

  • (a) est expressément autorisé par ces conditions de traitement des données,
  • (b) tient compte d'un changement de dénomination sociale ou d'un changement de forme juridique ;
  • (c) est nécessaire pour se conformer à la loi, à la réglementation applicable, à une décision de justice ou à une exigence d'une autorité gouvernementale de régulation ou de surveillance ; ou
  • (d)
    • (i) n'entraîne pas de diminution de la sécurité globale des services de traitement des contrats,
    • (ii) n'étend pas la portée de ces conditions de traitement des données ni ne supprime les restrictions décrites au paragraphe 6.3 (respect des instructions d'Exxas) en ce qui concerne le traitement des données personnelles des clients par Exxas, et
    • (iii) n'a pas d'autre effet négatif significatif sur les droits du client dans le cadre de ces conditions de traitement des données (cela sera déterminé de manière appropriée par Exxas).

16.2 Notification des modifications.

Si Exxas a l'intention de modifier ces conditions de traitement des données conformément à la Section 16.1 (c) ou (d), Exxas en informera le client à l'avance (ou dans un délai plus court si la loi applicable, la réglementation applicable, une décision de justice ou une exigence d'une autorité gouvernementale de régulation ou de surveillance l'exigent) en : (a) en envoyant un e-mail à l'adresse e-mail pour les notifications ou (b) par notification via l'interface utilisateur du service de traitement des contrats. Si le client souhaite s'opposer à une modification, il peut annuler le contrat en adressant un préavis écrit à Exxas dans les 90 jours suivant la réception de la notification de la modification par Exxas.

Annexe 1 : Objet et détails du traitement des données

Sujet

Fourniture de services de traitement des contrats et de services d'assistance technique connexes au client par Exxas.

Durée du traitement des données

Pendant la durée du contrat et en outre pendant une période comprise entre la fin de la période contractuelle et jusqu'à ce que toutes les données personnelles du client soient supprimées par Exxas conformément aux présentes conditions de traitement des données.

Type et finalité du traitement des données

Exxas traite les données personnelles du client dans le but de fournir au client des services de traitement des contrats et de fournir une assistance technique connexe conformément aux présentes conditions de traitement des données. Selon que le service de traitement concerné et les instructions décrites dans la Section 6.2 (Instructions du client) s'appliquent, le traitement des données par Exxas comprend la collecte, l'enregistrement, l'organisation, l'organisation, la modification, la lecture, l'utilisation, la divulgation, la liaison, la suppression ou la destruction.

Types de données personnelles

Les données personnelles des clients peuvent inclure les types de données personnelles suivants :

  • Identifiants en ligne (y compris les identifiants de cookies)
  • Noms, adresses e-mail, dates de naissance, numéros de téléphone et autres données personnelles
  • Numéros d'identification et pièces d'identité fournies
  • Coordonnées bancaires telles que les numéros de compte
  • photos et images, enregistrements audio et vidéo,
  • Adresses de protocole Internet et identifiants d'appareils
Catégories de personnes touchées

Les données personnelles des clients concernent les catégories de personnes concernées suivantes :

  • les personnes concernées au sujet desquelles Exxas collecte des données personnelles dans le cadre de la fourniture de services de traitement des contrats ; et/ou
  • Les personnes concernées qui transfèrent des données personnelles à Exxas à l'instigation ou pour le compte du client dans le cadre des services de traitement des contrats.

Selon le type de service de traitement en question, les personnes concernées peuvent inclure les personnes suivantes :

  • a) pour lesquels des demandes d'assistance ont été faites,
  • (b) pour lesquels les services ont été fournis,
  • (c) pour lesquels des services ont été fournis pour le compte du client,
  • (d) ont accédé à certains sites Web ou applications pour lesquels Exxas a fourni des services de traitement des contrats et/ou
  • (e) qui sont clients ou utilisateurs des produits ou services du client.

Annexe 2 : Mesures de sécurité

Exxas s'engage à mettre en œuvre et à maintenir les mesures de sécurité contenues dans cette annexe 2 à la date spécifiée du contrat. Exxas peut mettre à jour ou modifier ces mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une diminution de la sécurité globale des services de traitement des données.

1. Sécurité des centres de données et des réseaux

a) Infrastructures. Exxas exploite des centres de données répartis géographiquement. Exxas stocke toutes les données de production dans des centres de données physiquement sécurisés.

redondance. L'infrastructure a été développée pour éliminer les points de défaillance uniques et minimiser l'impact des risques environnementaux attendus. Les circuits doubles, les commutateurs, les réseaux ou les autres périphériques nécessaires contribuent à atteindre cette redondance. Les services de traitement des contrats sont conçus pour qu'Exxas puisse effectuer certaines mesures de maintenance préventives et correctives sans interruption. Il existe des procédures de maintenance préventive documentées pour toutes les usines et installations, qui décrivent en détail le processus et la fréquence de mise en œuvre conformément aux spécifications du fabricant ou aux exigences internes. Les mesures de maintenance préventives et correctives pour les systèmes du centre de données sont planifiées selon un processus standard conformément à des procédures documentées.

énergie. Les systèmes énergétiques des centres de données sont conçus de manière à être redondants et à pouvoir être entretenus sans affecter leur fonctionnement continu (24 heures sur 24 et 7 jours sur 7). Dans la plupart des cas, une source d'énergie primaire et une source d'énergie alternative, chacune ayant la même capacité, sont disponibles pour les composants d'infrastructure critiques des centres de données. L'énergie de réserve est fournie par divers mécanismes, tels que les batteries d'alimentation sans interruption (UPS), qui fournissent une protection électrique fiable et constante en cas de chute de tension, de panne de courant, de surtension, de sous-tension et de conditions de fréquence du fournisseur d'énergie qui dépassent les valeurs de tolérance.

systèmes d'exploitation pour serveurs. Les serveurs Exxas utilisent des systèmes d'exploitation renforcés adaptés aux exigences opérationnelles spécifiques. Les données sont stockées à l'aide d'algorithmes propriétaires pour améliorer la sécurité et la redondance des données. Exxas utilise un processus de révision du code pour renforcer la sécurité du code de programmation utilisé pour fournir des services de traitement des contrats et améliorer les produits de sécurité dans les environnements de production.

Maintien des opérations. Exxas réplique les données sur plusieurs systèmes afin de protéger les données contre toute destruction ou perte accidentelle. Exxas a conçu des plans pour maintenir les opérations en cours et des programmes de reprise après sinistre. Exxas continue de les développer et de les tester.

(b) Mise en réseau et transmission.

transfert de données. Les centres de données sont généralement connectés via des connexions directes à haut débit (liaisons privées à haut débit) pour assurer un transfert de données sécurisé et rapide entre les centres de données. Cette méthode a été développée de manière à empêcher la lecture, la copie, la modification ou la suppression non autorisées de données pendant la transmission ou le transport électroniques ou lorsqu'elles sont stockées sur des supports de données. Exxas transmet des données à l'aide de protocoles Internet standard.

Surface d'attaque externe. Exxas gère plusieurs couches de périphériques réseau et de systèmes de détection d'intrusion pour sécuriser la surface d'attaque externe. Exxas prend en compte les vecteurs d'attaque potentiels et intègre des technologies appropriées et spécialement développées dans des systèmes accessibles de l'extérieur.

Détection d'intrusion. Les mesures de détection des intrusions visent à fournir des informations sur l'activité d'attaque en cours et à fournir des informations appropriées pour répondre aux incidents. Les mesures prises par Exxas pour détecter les cambriolages incluent :

  1. surveiller rigoureusement la taille et l'évolution de la surface d'attaque d'Exxas grâce à des mesures préventives,
  2. l'utilisation de mesures de contrôle de découverte intelligentes aux points de collecte de données, et
  3. l'utilisation de technologies qui arrêtent automatiquement certaines situations dangereuses.

Réaction en cas d'incident.

Exxas surveille divers canaux de communication pour détecter les incidents de sécurité. Le personnel d'Exxa répondra immédiatement aux incidents connus.

technologies de chiffrement.

Exxas fournit un cryptage HTTPS (également appelé connexion SSL ou TLS). Les serveurs Exxas prennent en charge un échange éphémère Diffie-Hellman de clés signées RSA et ECDSA sur la base de courbes elliptiques. Le Perfect Forwardsecrecy (PFS) aide à protéger le trafic de données et à minimiser l'impact d'une clé compromise ou d'une faille de chiffrement (avancée cryptographique).

2e Accès et contrôles d'accès

(a) Contrôle d'accès.

  • Surveillance sur site des centres de données. Certains centres de données d'Exxas disposent d'un service de sécurité sur site, qui est responsable de toutes les mesures de sécurité physiques du centre de données 24 heures sur 24, 7 jours sur 7. Le personnel de sécurité sur place vérifie les caméras de surveillance et tous les systèmes d'alarme. Le personnel de sécurité effectue des contrôles réguliers sur site à l'intérieur et à l'extérieur du centre de données. Les centres de données surveillés passivement disposent d'une surveillance vidéo complète 24 heures sur 24, 7 jours sur 7. Les centres de données surveillés passivement sont protégés contre les alarmes et déclenchent un déploiement immédiat en cas d'alarme.
  • procédures d'accès aux centres de données. Exxas dispose de différentes procédures de contrôle d'accès pour l'accès physique aux centres de données. Les centres de données sont situés dans des installations qui nécessitent des clés et/ou des procédures d'accès biométriques pour y accéder. Seuls les employés, les sous-traitants et les visiteurs autorisés ont accès aux centres de données. Seuls les employés autorisés sont autorisés à demander des droits d'accès à ces installations.
  • Installations de sécurité sur site pour les centres de données. Les centres de données d'Exxas disposent d'un système de verrouillage et/ou d'un système de contrôle d'accès biométrique. Les caméras de sécurité fonctionnent à la fois à l'intérieur et à l'extérieur des centres de données. Le positionnement des caméras a été planifié de manière à ce qu'elles puissent surveiller les zones stratégiques. Des câbles sécurisés relient la technologie des caméras de surveillance à l'ensemble du centre de données. Les caméras enregistrent sur place 24 heures sur 24, 7 jours sur 7. Les enregistrements sont conservés pendant au moins 7 jours, en fonction des activités respectives.

(b) Contrôle d'accès.

Contrôle d'accès et gestion des droits. Les administrateurs et les utilisateurs finaux doivent s'authentifier via un système d'authentification central ou via un système d'authentification unique pour utiliser les services de traitement des commandes.

Processus et politiques internes d'accès aux données : politiques d'accès. Les processus et politiques internes d'accès aux données d'Exxas sont conçus pour empêcher l'accès aux systèmes utilisés pour traiter les données personnelles par des personnes et/ou des systèmes non autorisés. Exxas s'efforce de concevoir les systèmes de telle sorte que : (i) seules les personnes autorisées aient accès aux données auxquelles elles sont autorisées à accéder ; et (ii) veille à ce que les données personnelles ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation appropriée pendant le traitement, l'utilisation et après le stockage. Les systèmes sont conçus pour identifier autant d'accès non autorisés que possible. Exxas utilise un système de gestion d'accès centralisé pour contrôler l'accès des employés aux serveurs de production et n'accorde l'accès qu'à un nombre limité d'employés autorisés. LDAP, Kerberos et un système propriétaire utilisant des certificats SSH sont conçus pour qu'Exxas dispose de mécanismes d'accès sécurisés et flexibles. Ces mécanismes sont conçus de telle sorte que l'accès aux hôtes du site, aux fichiers journaux, aux données et aux informations de configuration ne doit être accordé qu'avec l'autorisation appropriée. Exxas exige l'utilisation d'identifiants d'utilisateur uniques et de mots de passe sécurisés, une authentification à deux facteurs et des listes d'accès surveillées avec soin afin de minimiser les risques d'utilisation non autorisée du compte. L'octroi ou la modification des droits d'accès pour le personnel autorisé est basé sur les facteurs suivants : les responsabilités professionnelles de la personne concernée, les exigences du poste concerné pour effectuer les tâches autorisées et la base du besoin de savoir. L'octroi ou la modification des droits d'accès doit également être conforme aux politiques internes d'accès aux données d'Exxas. Lorsque des mots de passe sont utilisés pour l'authentification (par exemple pour se connecter à des postes de travail), des directives relatives aux mots de passe ont été définies qui répondent au moins aux normes de l'industrie. Ces exigences incluent des restrictions sur la réutilisation des mots de passe et une sécurité suffisante des mots de passe.

3e données

(a) Stockage, isolation et authentification des données.

Exxas stocke les données dans un environnement mutualisé sur des serveurs appartenant à Exxas. Les données, les bases de données des services de traitement des données et l'architecture du système de gestion de fichiers sont répliquées dans plusieurs centres de données géographiquement répartis. Exxas isole logiquement les données de chaque client les unes des autres. Un système d'authentification central est utilisé à tous les niveaux pour tous les services de traitement des contrats afin d'améliorer la sécurité générale des données.

(b) Politiques de mise hors service et de destruction des disques durs.

S'il s'avère que certains disques durs contenant des données présentent des performances réduites, des erreurs ou des défaillances matérielles, les disques durs concernés sont arrêtés (« Disque dur hors service »). Chaque disque dur mis hors service est soumis à une série de processus de destruction (« directives de destruction des données ») avant de quitter les locaux d'Exxas pour être réutilisé ou détruit. Les disques durs mis hors service sont supprimés selon un processus en plusieurs étapes.

(c) Contrôle des entrées

L'octroi restrictif de droits aux employés d'Exxas restreint la saisie, la modification ou la suppression de données des systèmes et des applications permettant d'exploiter les services cloud. Les droits de saisie, de modification et de suppression de données sont accordés sur la base d'un concept d'autorisation. Exxas n'effectue des saisies dans les systèmes des clients que sur demande (par exemple : sur instruction, sur mandat, par contrat ou par le biais d'un SLA).

4. Sécurité du personnel

Le personnel d'Exxas est tenu de respecter les politiques de l'entreprise en matière de confidentialité, d'éthique d'entreprise et de bonne utilisation, ainsi que les normes professionnelles. Exxas effectue des vérifications d'antécédents raisonnables dans la mesure où cela est fait conformément à la loi applicable et à d'autres lois obligatoires.

Le personnel est tenu de signer un accord de confidentialité et d'en confirmer la réception et le respect de la politique de confidentialité et de confidentialité d'Exxas. Le personnel reçoit une formation en matière de sécurité. Le personnel qui gère les données des clients doit répondre à des exigences supplémentaires, en fonction du domaine de responsabilité concerné. Le personnel d'Exxas ne traitera les données personnelles d'aucun client sans y être autorisé.

5. Sécurité pour les sous-traitants

Avant d'utiliser des sous-traitants, Exxas procède d'abord à un examen des pratiques de sécurité et de confidentialité du sous-traitant afin de s'assurer qu'il existe un niveau de sécurité et de confidentialité adapté à l'accès aux données et à l'étendue des services contractés. Dès qu'Exxas est en mesure d'évaluer les risques décrits par le sous-traitant, celui-ci est toujours tenu de conclure des accords de sécurité, de confidentialité et de protection des données appropriés, sous réserve des exigences énoncées dans la section 12.2 (Exigences relatives à l'engagement de sous-traitants sous-traitants) des présentes conditions de traitement des données.

Exxas SA
Rte d'En Bas 36
CH-1084 Carrouge

+41 44 552 89 00
info@exxas.net
Industries
StartupFiduciaireInformatique et logicielsAvocatAgenceCommerceTechnologie et ingénierie des installationsArchitectes et ingénieurs
Fonctions
CentralSalesMarketingServiceProjectsProductsHuman ResourcesFinance
Plateforme
ClientsApplications et intégrationsLa technologieÉquipe de consultants
Partenaires
Trouver un partenaireTrouver un fiduciaireDevenir partenaireDéveloppeurs
Des services
CommencerPackages de servicesService completAssistance
À propos
EntreprisesActualités et événementsCarrièreContacter
Logiciel fabriqué en Suisse
Cookies
Empreinte
Protection des données
Légal
© Exxas AG 2025

En cliquant sur « Accepter », vous acceptez l'utilisation de cookies pour améliorer la navigation sur le site et mesurer l'audience de manière anonyme. Pour plus d'informations, consultez notre déclaration de confidentialité.

ConfigurationsEnregistrerAccepter
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.