Le fournisseur de ce site web et de ces services est Vemido, Thomas Sokolowski, Suisse.

Pour toute demande, veuillez utiliser notre formulaire de contact.

Tous les contenus de ce site web (textes, graphiques, marques et éléments de design) sont protégés par le droit d'auteur. Toute utilisation, reproduction ou diffusion est interdite sans consentement écrit préalable.

L'utilisation contractuelle des services proposés ici est régie par nos Conditions Générales (CG). Les CG sont mises à disposition des personnes intéressées avant la conclusion du contrat et avant la mise à disposition des services, et font toujours partie intégrante de nos relations contractuelles.

Zurich, 15.03.2026

Dernière mise à jour : 15 mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles en lien avec le site Internet et les services de Vemido est :

Thomas Sokolowski
Niederlenzerstrasse 79
5600 Lenzburg, Suisse
E-mail : support@vemido.com

2. Objet de la présente Politique de confidentialité

La présente Politique de confidentialité informe sur la nature, l’étendue et la finalité du traitement des données personnelles en lien avec le site Internet www.vemido.com et l’utilisation des services proposés par Vemido. Elle vise à satisfaire aux obligations d’information prévues par la Loi fédérale suisse sur la protection des données (LPD).

3. Utilisation du site Internet

En règle générale, le site Internet peut être consulté à titre informatif sans création de compte utilisateur.

Vemido n’utilise pas de services d’analyse web et ne charge pas de polices externes via des API. Sur le site Internet, Vemido utilise uniquement les cookies ou moyens techniques comparables qui sont nécessaires à son fonctionnement et à une présentation conviviale, notamment pour mémoriser la langue sélectionnée par l’utilisateur.

4. Google Maps

Google Maps peut être utilisé dans le cadre d’un système de réservation créé par l’un de nos clients afin de fournir un contenu cartographique. La carte n’est chargée que lorsque l’utilisateur y accède activement via un lien (sans iframe). Ce n’est que dans ce contexte que des données personnelles, en particulier des données techniques de connexion, des données d’utilisation et, le cas échéant, l’adresse IP, peuvent être transmises à Google ou à des destinataires liés à Google. Dans sa Politique de confidentialité, Google indique qu’il collecte notamment des données relatives à l’interaction des applications, navigateurs et appareils avec ses services, ainsi que l’adresse IP.

Une communication de données à l’étranger ne peut être exclue dans ce contexte. Dans la mesure où une communication intervient vers des pays n’offrant pas un niveau de protection des données adéquat, celle-ci n’a lieu que sur la base des garanties exigées par le droit applicable en matière de protection des données ou d’une autre base légale admissible. En vertu de la LPD, des informations doivent être fournies concernant les destinataires et les communications transfrontalières.

5. Prise de contact

Si vous prenez contact avec Vemido, notamment par e-mail ou au moyen d’un formulaire de contact, Vemido traite les données personnelles que vous communiquez vous-même dans la mesure nécessaire au traitement de votre demande, à la communication avec vous ainsi qu’à la préparation ou à l’exécution d’un contrat.

6. Inscription, période d’essai et services payants

Si vous vous inscrivez à une période d’essai, à un compte utilisateur ou à un service payant proposé par Vemido, Vemido traite les données personnelles nécessaires à l’inscription, à la gestion contractuelle, à la fourniture des services, à l’administration, à la facturation, à la communication, au support, à la sécurité des données ainsi qu’à la constatation, à l’exercice et à la défense de droits en justice.

Selon l’utilisation, cela peut inclure notamment des données de base et de contact, des données contractuelles, des données de facturation, des données d’utilisateur et d’accès, des données de communication, ainsi que les données de contenu, de rendez-vous, de réservation et de gestion traitées dans le cadre de l’utilisation de Vemido.

7. Traitement pour le compte des clients

Dans la mesure où Vemido traite des données personnelles pour le compte d’un client, ce traitement est effectué en qualité de sous-traitant au sens du droit applicable en matière de protection des données. Dans ce cas, le client concerné est, en règle générale, responsable au regard du droit de la protection des données de la licéité du traitement. À cette fin, un Accord de traitement des données (Data Processing Agreement, DPA) est conclu entre Vemido et le client, lequel fait partie intégrante de la relation contractuelle. La LPD suisse réglemente expressément le traitement effectué par des sous-traitants.

8. Communication à des tiers et à des prestataires de services

Vemido ne communique des données personnelles à des tiers que dans la mesure nécessaire à la mise à disposition du site Internet et des services, à l’exécution du contrat, au respect d’obligations légales ou à la sauvegarde d’intérêts légitimes.

Peuvent notamment être concernés des prestataires techniques tels que des fournisseurs d’hébergement, d’infrastructure, de communication ou de support. Si ces destinataires se trouvent à l’étranger ou si des données sont traitées à l’étranger, cela a lieu dans le respect des exigences applicables en matière de protection des données.

9. Conservation et suppression

Les données personnelles ne sont traitées et conservées que pendant la durée nécessaire à la finalité concernée ou aussi longtemps que des obligations légales de conservation, des obligations contractuelles ou des intérêts légitimes, notamment pour la constatation, l’exercice ou la défense de droits en justice, l’exigent.

Sauf si de tels motifs s’y opposent, les données personnelles sont supprimées ou anonymisées dès qu’elles ne sont plus nécessaires aux finalités poursuivies.

10. Droits des personnes concernées

Dans le cadre du droit applicable en matière de protection des données, les personnes concernées disposent notamment du droit d’obtenir des informations sur les données traitées les concernant et, selon les conditions légales, du droit de rectification, de suppression ou de limitation du traitement. Le droit d’accès est régi par la LPD suisse.

Les demandes visant à exercer ces droits peuvent être adressées à support@vemido.com.

11. Modifications

Vemido peut modifier la présente Politique de confidentialité lorsque cela s’avère nécessaire en raison de changements juridiques, techniques ou opérationnels. La version publiée à tout moment sur le site Internet fait foi.

Conditions Générales

régissant l’utilisation de Vemido

Version du : 10 mars 2026

1. Prestataire

Le prestataire de Vemido est :

Thomas Sokolowski
Niederlenzerstrasse 79
5600 Lenzburg
Suisse

Vemido est exploité sous la désignation « Vemido » et est accessible via le site Internet www.vemido.com.

2. Champ d’application

2.1 Les présentes Conditions Générales régissent la conclusion, le contenu et l’exécution de l’ensemble des relations contractuelles entre le Prestataire et ses clients relatives à l’utilisation de la solution logicielle Vemido ainsi qu’aux services y afférents.

2.2 Vemido est exclusivement destiné aux entreprises, travailleurs indépendants, associations, fondations, entités de droit public et autres organisations. La conclusion de contrats avec des consommateurs à des fins privées est exclue, sauf accord écrit exprès contraire.

2.3 Toutes conditions générales du Client contraires, complémentaires ou dérogatoires ne s’appliquent pas, sauf acceptation expresse écrite de leur validité par le Prestataire.

2.4 En cas de contradiction, les offres individuelles, descriptions de services, listes de prix, accords complémentaires, accords de traitement des données, descriptions de prestations ou autres documents contractuels prévalent sur les présentes CG.

3. Conclusion du contrat

3.1 Le contrat est conclu par l’acceptation d’une offre, une commande en ligne, une inscription, l’activation d’un compte client ou l’utilisation des services de Vemido.

3.2 En concluant le contrat, le Client reconnaît les présentes CG comme partie intégrante et contraignante du contrat.

3.3 Le Prestataire est en droit de refuser des inscriptions, commandes ou conclusions de contrat sans indication de motifs.

4. Objet du contrat

4.1 Vemido est une solution logicielle numérique destinée à la gestion, à l’organisation et à l’exécution de processus de réservation, de prise de rendez-vous, de gestion de ressources ainsi que de processus administratifs connexes.

4.2 L’étendue précise des prestations est déterminée par le forfait réservé dans chaque cas, la description de service en vigueur, l’offre et tout accord complémentaire éventuel.

4.3 Le Prestataire est tenu de fournir les fonctionnalités contractuellement convenues conformément à l’état actuel de la technique et de l’exploitation. Aucun succès économique particulier, aucune augmentation déterminée du chiffre d’affaires, aucune économie de coûts déterminée ni aucune adéquation à une finalité particulière présumée par le Client ne sont dus, sauf garantie écrite expresse.

4.4 Le périmètre standard des prestations n’inclut notamment pas les conseils juridiques individualisés, les conseils fiscaux, le conseil en gestion, les contrôles de conformité sectoriels, les développements sur mesure, les migrations, les adaptations d’interfaces, le nettoyage de données, les contrôles de contenu ni les solutions spéciales spécifiques au client, sauf accord exprès contraire.

4.5 Le Prestataire est autorisé à faire évoluer Vemido sur les plans technique et fonctionnel, à modifier, étendre, restreindre ou remplacer des fonctionnalités par des fonctionnalités équivalentes, pour autant que l’avantage contractuel essentiel n’en soit pas déraisonnablement affecté.

4.6 Vemido peut être utilisé gratuitement pendant une période de 30 jours. La période d’essai commence avec l’activation du compte et prend fin automatiquement à l’issue des 30 jours, sauf si une poursuite payante est convenue. En l’absence de poursuite convenue, toutes les données du compte d’essai seront supprimées de manière irréversible à la fin de la période d’essai. Il incombe à l’utilisateur d’organiser à temps une poursuite avant l’échéance de la période d’essai ou de sauvegarder les données par d’autres moyens. Vemido n’est pas responsable des pertes de données résultant du fait que l’utilisateur n’a pas organisé de poursuite en temps utile ou n’a pas effectué sa propre sauvegarde des données. La période d’essai gratuite ne peut être utilisée qu’une seule fois par utilisateur, par entreprise et par compte. Les packs de services payants indiqués séparément, en particulier notre service de messagerie SMS, ne font pas partie de la période d’essai gratuite et sont facturés séparément en cas d’utilisation, y compris pendant la période d’essai.

5. Droit d’utilisation

5.1 Pour la durée du contrat, le Prestataire accorde au Client un droit non exclusif, non transférable, non susceptible de sous-licence et révocable d’utiliser Vemido dans les limites du cadre contractuellement convenu.

5.2 Tous les droits sur Vemido et y afférents, notamment les droits d’auteur, droits sur les marques, signes distinctifs, droits sur les bases de données, droits sur les logiciels, le code source, les interfaces utilisateur, les mises en page, designs, configurations, documentations, concepts, modules et développements ultérieurs, demeurent exclusivement la propriété du Prestataire ou des titulaires de droits concernés.

5.3 Il est notamment interdit au Client :

de reproduire Vemido en tout ou en partie, de le louer, le donner à bail, le revendre ou le mettre à disposition de tiers, à titre onéreux ou gratuit ;
de modifier Vemido, de procéder à sa rétro-ingénierie, de le décompiler ou d’en reconstituer le code source, sauf dans la mesure impérativement autorisée par la loi ;
de communiquer des identifiants d’accès à des tiers non autorisés ;
d’utiliser Vemido ou de le faire analyser dans le but de concevoir ou d’exploiter des systèmes concurrents.

6. Obligations du Client

6.1 Le Client est seul responsable de l’utilisation de Vemido, de l’ensemble des contenus saisis, téléchargés, stockés, traités, transmis ou publiés, ainsi que du comportement de ses employés, auxiliaires, administrateurs et utilisateurs finaux.

6.2 Le Client s’engage à utiliser Vemido exclusivement de manière licite, appropriée et conforme au contrat.

6.3 Le Client veille notamment à ce qu’aucun contenu ne soit traité, stocké ou publié via Vemido qui :

viole le droit applicable ;
porte atteinte aux droits de tiers, notamment aux droits d’auteur, droits des marques, droits des dessins ou modèles, droits au nom, droits de la personnalité ou droits en matière de protection des données ;
présente un caractère trompeur, mensonger, injurieux, discriminatoire, contraire aux bonnes mœurs, extrémiste ou pénalement répréhensible ;
contient des logiciels malveillants, scripts malveillants, virus, chevaux de Troie ou autres éléments compromettant la sécurité.

6.4 Le Client est seul responsable du respect de toutes les exigences légales, réglementaires, contractuelles et professionnelles nécessaires à son activité. Cela vaut en particulier pour les dispositions relatives à la protection des données, à la concurrence déloyale, au droit du travail, au droit fiscal, à la protection des consommateurs, au droit de la santé, aux règles professionnelles ainsi qu’aux réglementations spéciales propres au secteur concerné.

6.5 Le Client est tenu de garder confidentiels tous les identifiants d’accès, mots de passe, moyens d’authentification, accès administrateur et autres dispositifs de sécurité, de les protéger contre l’accès de tiers non autorisés et de ne les mettre à disposition que de personnes autorisées.

6.6 Le Client est seul responsable de la sécurité de ses comptes utilisateurs, identifiants d’accès et moyens d’authentification au sein de sa propre organisation et de sa propre sphère de responsabilité. Le Client doit mettre en œuvre des mesures techniques et organisationnelles appropriées de protection, notamment :

l’utilisation de mots de passe suffisamment sûrs, individuels et confidentiels ;
le stockage et la gestion sécurisés des identifiants d’accès ;
la limitation des droits d’accès aux seules personnes effectivement autorisées ;
la modification, le retrait ou le blocage immédiats des autorisations en cas de départ, de changement de fonction ou de perte d’habilitation ;
la protection des terminaux, navigateurs, comptes e-mail et systèmes internes utilisés contre tout accès non autorisé ;
la modification immédiate des identifiants d’accès compromis ou supposés compromis ;
l’utilisation de mécanismes de sécurité supplémentaires lorsque ceux-ci sont fournis par le Prestataire ou qu’ils peuvent raisonnablement être exigés du Client au regard des circonstances.

6.7 Le Client veille à ce que les identifiants d’accès ne soient ni stockés, ni documentés, ni transmis, ni divulgués de manière commune, non chiffrée, négligente ou de toute autre manière susceptible d’en permettre l’utilisation abusive.

6.8 Tous les actes effectués au moyen des identifiants d’accès, comptes utilisateurs ou moyens d’authentification valides du Client sont imputés au Client, sauf si celui-ci prouve que cette utilisation est exclusivement due à des circonstances relevant exclusivement de la sphère de responsabilité du Prestataire.

6.9 Le Client informe sans délai indu le Prestataire de tout soupçon de perte, vol, divulgation, utilisation abusive ou autre compromission d’identifiants d’accès et prend toutes les mesures raisonnables destinées à limiter le dommage.

6.10 En cas de suspicion d’utilisation abusive, de risque pour la sécurité ou d’accès non autorisé, le Prestataire est autorisé à bloquer temporairement des comptes utilisateurs ou accès, à réinitialiser des mots de passe, à désactiver des moyens d’authentification ou à prendre toute autre mesure de sécurité appropriée.

6.11 Sauf si un service distinct de sauvegarde ou de restauration a été expressément convenu par écrit, le Client est tenu de sauvegarder de manière autonome, à intervalles appropriés et sous sa propre responsabilité, toutes les données essentielles à ses opérations commerciales en dehors de Vemido. Le Client doit notamment veiller à l’exécution d’exportations de données, à la vérification des sauvegardes et, le cas échéant, à la possibilité de restaurer les données ou de les exploiter autrement indépendamment du Prestataire.

6.12 Le Client est tenu de signaler sans délai au Prestataire les défauts, perturbations, incidents de sécurité ou autres anomalies identifiables et de fournir, dans une mesure raisonnable, son assistance à l’analyse et à la résolution du problème.

6.13 Le Client supporte seul les conséquences, coûts, dommages et charges résultant de violations de ses obligations, de mesures de sécurité insuffisantes, de processus internes défaillants ou d’une utilisation autrement imputable à sa sphère de responsabilité.

7. Disponibilité, maintenance et évolutions techniques

7.1 Le Prestataire s’efforce de maintenir Vemido disponible et opérationnel dans le cadre des possibilités techniques et d’exploitation.

7.2 Il n’existe aucun droit à une disponibilité ininterrompue et exempte d’erreurs, sauf convention expresse écrite contraire.

7.3 Le Prestataire est autorisé à procéder à tout moment à des travaux de maintenance, de service, de mise à jour, de mise à niveau, de sécurité ou autres mesures techniques nécessaires.

7.4 Dans la mesure du possible, les travaux planifiés doivent être réalisés en dehors des heures habituelles de forte utilisation.

7.5 Des limitations temporaires de disponibilité peuvent notamment résulter de maintenance, de mises à jour de sécurité, de dysfonctionnements techniques, de problèmes de capacité, de défaillances d’infrastructures tierces, de force majeure ou de comportements relevant de la sphère de responsabilité du Client.

8. Rémunération et conditions de paiement

8.1 L’utilisation de Vemido et des services associés est soumise à la rémunération convenue individuellement ou publiée.

8.2 Tous les prix s’entendent, sauf indication contraire, en francs suisses (CHF) ou dans la monnaie indiquée, hors taxes, prélèvements, redevances et frais éventuellement applicables.

8.3 Les factures sont payables sans déduction dans le délai indiqué sur la facture.

8.4 En cas de retard de paiement, le Prestataire est autorisé à facturer des intérêts moratoires légaux, des frais de rappel appropriés, des frais de recouvrement, de suspendre les prestations, de bloquer l’accès ou de résilier le contrat après mise en demeure infructueuse.

8.5 Le Client ne peut compenser qu’avec des créances incontestées ou définitivement constatées par décision exécutoire. Tout droit de rétention est exclu dans la mesure permise par la loi.

9. Durée des prestations, forfaits et modifications de forfait

9.1 Les forfaits, abonnements ou modules fonctionnels réservés s’appliquent à la durée convenue dans chaque cas.

9.2 Des changements de forfait, extensions, réductions de prestations ou réservations complémentaires sont possibles conformément aux options proposées alors par le Prestataire.

9.3 Sauf convention contraire, les modifications de forfait produisent effet pour la prochaine période de facturation ou à la date communiquée dans le cadre du processus de commande.

10. Prestations de tiers et interfaces

10.1 Vemido peut comporter des interfaces vers des services, logiciels, plates-formes, passerelles de paiement, services de communication, services de cartes, hébergeurs ou autres offres de tiers, ou permettre leur intégration.

10.2 Le Prestataire n’assume aucune responsabilité quant à la disponibilité, l’exactitude, la légalité, la sécurité, la fonctionnalité ou la pérennité de telles prestations de tiers, sauf dans la mesure où elles relèvent expressément de la propre prestation du Prestataire.

10.3 Les modifications, interruptions ou suppressions de prestations de tiers peuvent à tout moment influencer la fonctionnalité de Vemido sans que cela ne constitue un défaut imputable au Prestataire.

10.4 Le Client est seul responsable du respect des conditions d’utilisation, de licence et de protection des données des prestataires tiers qu’il intègre ou utilise.

11. Suspension et blocage

11.1 Le Prestataire est autorisé à suspendre temporairement tout ou partie de l’accès du Client à Vemido ou à en restreindre l’usage si des indices concrets laissent présumer que :

des obligations légales, réglementaires ou contractuelles sont violées ;
la sécurité, l’intégrité ou la disponibilité de Vemido est compromise ;
il existe un retard de paiement important ;
des contenus illicites sont traités ou publiés ;
une mise à disposition ultérieure ne peut raisonnablement être exigée du Prestataire pour d’autres motifs.

11.2 Dans la mesure où cela est raisonnablement possible et compatible avec la finalité de la mesure, le Client doit être informé préalablement ou sans délai après la mesure.

12. Responsabilité

12.1 Le Prestataire répond uniquement des dommages causés intentionnellement ou par négligence grave.

12.2 En cas de négligence légère, la responsabilité du Prestataire est limitée aux dommages directs et typiquement prévisibles résultant de la violation d’une obligation essentielle du contrat.

12.3 Toute responsabilité pour manque à gagner, économies non réalisées, dommages indirects, dommages consécutifs, pertes de données, atteintes à la réputation, prétentions de tiers ou dommages résultant d’interruptions d’exploitation est exclue dans la mesure permise par la loi.

12.4 Le Prestataire n’assume en particulier aucune responsabilité pour des dommages ou violations du droit résultant de contenus, configurations, réglages, utilisations, intégrations, mesures organisationnelles, omissions ou processus relevant de la sphère de responsabilité du Client.

12.5 Le Client reconnaît que Vemido est un système logiciel reposant sur Internet, dont l’exploitation dépend d’une infrastructure technique et de services de tiers. Des indisponibilités temporaires, perturbations, retards, pertes de données ou altérations de données ne peuvent être totalement exclus, même lorsque le niveau de diligence usuel dans le secteur est respecté.

12.6 Dans la mesure permise par la loi, la responsabilité totale du Prestataire par sinistre et par année contractuelle est limitée au montant de la rémunération effectivement versée par le Client au cours des douze mois précédant l’événement générateur du dommage.

12.7 Toute responsabilité contractuelle ou extracontractuelle supplémentaire du Prestataire est exclue.

12.8 Les dispositions légales impératives en matière de responsabilité demeurent réservées.

13. Garantie

13.1 Le Prestataire garantit que Vemido sera fourni pour l’essentiel conformément à la description de service convenue.

13.2 Des écarts mineurs, défauts purement visuels, perturbations temporaires, interruptions de maintenance ou atteintes qui ne compromettent pas de manière substantielle l’utilisation conforme au contrat ne donnent pas lieu à des droits de garantie.

13.3 En cas de défauts matériels, le Prestataire a le droit, à sa discrétion et dans un délai raisonnable, de remédier au défaut, de fournir une solution de contournement, de fournir un remplacement ou d’adapter la fonctionnalité concernée.

13.4 Toutes prétentions supplémentaires du Client, notamment en réduction du prix, résolution, exécution par substitution ou dommages-intérêts, sont exclues dans la mesure permise par la loi.

14. Données, protection des données et traitement des données

14.1 Dans la mesure où le Prestataire traite des données personnelles pour le compte du Client dans le cadre de Vemido, le Prestataire agit en qualité de sous-traitant au sens du droit applicable en matière de protection des données.

14.2 Le Client demeure responsable de la licéité des traitements de données qu’il initie. Cela vaut en particulier pour la licéité des finalités du traitement, le respect des obligations d’information, l’obtention de tout consentement nécessaire, la garantie des droits des personnes concernées ainsi que la licéité de toute communication de données.

14.3 Le Prestataire met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données traitées. Une sécurité absolue des données n’est pas due.

14.4 Le Prestataire est autorisé à faire intervenir des tiers et des sous-traitants ultérieurs en Suisse et à l’étranger pour l’exécution des prestations, dans la mesure permise par la loi.

14.5 Lors de la conclusion du contrat, les parties concluent un accord de traitement des données (ci-après le « DPA »). Le DPA est mis à la disposition du Client, dans sa version applicable à chaque moment, au cours du processus électronique de commande, d’inscription ou d’onboarding. Avant la conclusion du contrat, le Client a la possibilité de consulter le DPA dans un format durable.

14.6 Le DPA est réputé valablement conclu lorsque le Client y consent expressément au cours du processus électronique de commande, d’inscription ou d’onboarding, notamment en cliquant sur une case à cocher dûment désignée ou en achevant le processus de commande après avoir été expressément informé de l’applicabilité du DPA.

14.7 La version déterminante du DPA est celle affichée au Client au moment de son consentement ou autrement mise à sa disposition dans un format durable. À des fins de documentation et de preuve, le Prestataire est autorisé à enregistrer la date, l’heure, le compte utilisateur, l’identifiant du contrat ou de la commande, le statut de version du DPA ainsi que le moment du consentement.

14.8 Après la conclusion du contrat, le Prestataire transmet au Client une confirmation électronique sous forme de texte, notamment par e-mail, en joignant ou en reliant la version du DPA applicable au moment de la conclusion du contrat.

14.9 En cas de contradiction entre les présentes CG et le DPA, le DPA prévaut pour les questions de protection des données relatives au traitement de données confié. Pour le surplus, les présentes CG demeurent inchangées.

15. Indemnisation

15.1 Le Client indemnisera et garantira le Prestataire, ses auxiliaires et les tiers mandatés contre l’ensemble des prétentions, demandes, procédures, dommages, pertes, amendes, coûts et frais résultant de ou en lien avec :

toute utilisation illicite ou non conforme au contrat de Vemido par le Client ;
les contenus ou données du Client ;
les atteintes aux droits de tiers ;
les violations d’obligations en matière de protection des données, de concurrence déloyale, d’obligations professionnelles ou d’autres obligations réglementaires.

15.2 L’obligation d’indemnisation couvre également les honoraires raisonnables d’avocat, frais de conseil, frais judiciaires, frais d’enquête, frais de transaction et frais d’exécution.

16. Support

16.1 Les prestations de support ne sont fournies que dans la mesure convenue.

16.2 Sauf convention écrite expresse contraire, il n’existe aucun délai garanti de réponse, d’intervention, de correction ou de rétablissement.

16.3 Le Prestataire est autorisé à refuser les demandes de support ou à les facturer séparément si elles :

sortent du périmètre de prestations convenu ;
reposent sur des erreurs d’exploitation ou de configuration du côté du Client ;
ne peuvent être reproduites ;
concernent des logiciels tiers, systèmes tiers ou l’infrastructure propre du Client.

17. Durée et résiliation

17.1 Sauf accord contraire, le contrat est conclu pour une durée indéterminée.

17.2 Les abonnements récurrents ou contrats d’utilisation peuvent être résiliés par chacune des parties avec un préavis de 30 jours pour la fin d’une période de facturation en cours, sauf stipulation contractuelle contraire.

17.3 Le droit de résilier sans préavis pour juste motif demeure réservé.

17.4 Constituent notamment un juste motif pour le Prestataire les cas dans lesquels :

le Client est en retard de paiement ;
le Client viole les présentes CG ;
des contenus ou usages illicites existent ;
la sécurité du système est compromise ;
des exigences administratives ou judiciaires rendent la poursuite du contrat déraisonnable.

17.5 À la cessation du contrat, le droit d’utilisation du Client prend automatiquement fin.

17.6 Après la fin du contrat, le Prestataire est autorisé à bloquer les accès et à supprimer les données à l’expiration des délais légaux ou contractuels de conservation applicables.

17.7 Il incombe au Client de veiller, en temps utile avant la fin du contrat, à l’exportation ou à toute autre sécurisation de ses données.

18. Modifications des prestations, des prix et des CG

18.1 Le Prestataire est autorisé à modifier les prestations, fonctionnalités, prix et les présentes CG avec effet pour l’avenir, pour autant qu’il existe un motif objectif. Constituent notamment des motifs objectifs :

les évolutions techniques ;
les exigences de sécurité ;
les modifications des exigences légales ou réglementaires ;
les changements affectant des prestataires tiers ;
les nécessités d’exploitation ou économiques.

18.2 Les modifications sont communiquées au Client de manière appropriée.

18.3 Si le Client ne s’oppose pas, sous forme de texte, à une modification substantielle dans les 30 jours suivant sa notification, la modification est réputée approuvée.

18.4 Si le Client s’y oppose en temps utile, le Prestataire est autorisé à résilier le contrat de manière ordinaire ou extraordinaire à la date d’entrée en vigueur de la modification.

19. Confidentialité

19.1 Les deux parties s’engagent à traiter comme confidentielles toutes les informations commerciales, techniques, organisationnelles et opérationnelles de l’autre partie qui ne sont pas généralement connues.

19.2 L’obligation de confidentialité ne s’applique pas aux informations qui :

sont généralement connues ou deviennent généralement accessibles sans violation du contrat ;
ont été obtenues licitement de tiers ;
doivent être divulguées en vertu d’une obligation légale ou d’un ordre d’une autorité.

20. Force majeure

20.1 Aucune des parties n’est responsable de l’inexécution ou du retard dans l’exécution de ses obligations dans la mesure où ceux-ci sont causés par des événements échappant raisonnablement à son contrôle.

20.2 Constituent notamment des cas de force majeure les événements naturels, la guerre, les troubles civils, le terrorisme, les pandémies, les ordres des autorités, les grèves, les coupures d’électricité, les cyberattaques, les défaillances d’infrastructures de télécommunication ou d’hébergement ainsi que tout autre événement imprévisible et inévitable.

20.3 Pendant la durée d’un cas de force majeure, les obligations de prestation affectées sont suspendues.

21. Dispositions finales

21.1 Si certaines dispositions des présentes CG sont ou deviennent nulles, invalides ou inapplicables, en tout ou en partie, la validité des autres dispositions n’en est pas affectée. La disposition invalide sera remplacée par une disposition juridiquement admissible se rapprochant le plus possible de l’objectif économique de la disposition invalide.

21.2 Les conventions accessoires, modifications et compléments doivent, pour être valables, être établis au moins sous forme de texte, sauf si le droit impératif exige une forme plus stricte.

21.3 Le Prestataire est autorisé à céder à des tiers, en tout ou en partie, les droits et obligations découlant de la relation contractuelle.

21.4 Le Client ne peut céder à des tiers les droits et obligations découlant de la relation contractuelle qu’avec l’accord écrit préalable du Prestataire.

21.5 Le droit matériel suisse s’applique exclusivement, à l’exclusion des règles de conflit de lois.

21.6 Le for exclusif est Lenzburg, Suisse, sauf si un for impératif prévu par la loi prévaut.

Version du : 10 mars 2026

1. Objet, champ d'application et conclusion du Contrat

1.1 Le présent Contrat de traitement des données régit le traitement des données personnelles par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de l'utilisation de la solution logicielle Vemido.

1.2 Le présent Contrat complète les Conditions générales (CG), les offres, les descriptions de services, les spécifications de services ainsi que tout autre contrat-cadre existant entre les parties concernant l'utilisation de Vemido.

1.3 Sauf disposition contraire du présent Contrat, les dispositions des CG et du contrat-cadre s'appliquent en complément.

1.4 Le présent Contrat s'applique dans la mesure où le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement et agit en qualité de sous-traitant au sens du droit applicable en matière de protection des données.

1.5 Conclusion électronique : Le présent Contrat de sous-traitance des données peut être conclu dans le cadre du processus électronique de commande, d'inscription ou d'onboarding de Vemido. Il est réputé valablement conclu si le Responsable du traitement a eu la possibilité, avant ou directement lors de la conclusion du contrat, de prendre connaissance du texte du présent Contrat dans une forme pouvant être conservée et y consent par voie électronique, notamment en cochant une case correspondante ou en finalisant le processus de commande après avoir été expressément informé de l'applicabilité du présent Contrat.

1.6 Version faisant foi et gestion des versions : La version faisant foi est celle du Contrat de sous-traitance des données mise à la disposition du Responsable du traitement au moment de son consentement. À des fins de documentation et de preuve, le Sous-traitant est autorisé à enregistrer la date, l'heure, le compte utilisateur, l'ID du contrat ou de la commande, l'état de version du Contrat de sous-traitance des données ainsi que le moment auquel le consentement a été donné.

1.7 Confirmation sous forme textuelle : Peu après la conclusion du présent Contrat, le Sous-traitant transmettra au Responsable du traitement une confirmation électronique sous forme textuelle, notamment par e-mail, en joignant ou en liant la version du Contrat de sous-traitance des données faisant foi au moment de la conclusion du contrat.

2. Rôles des parties

2.1 Le Responsable du traitement détermine les finalités et les moyens essentiels du traitement des données personnelles collectées, stockées, organisées, administrées, transmises ou autrement traitées au moyen de Vemido.

2.2 Le Sous-traitant traite les données personnelles exclusivement pour le compte du Responsable du traitement et conformément à ses instructions documentées, sauf si une obligation légale impose un traitement différent.

2.3 Dans la mesure où le Sous-traitant traite des données personnelles pour ses propres finalités, notamment pour satisfaire à ses propres obligations légales, à des fins de facturation, de prévention des abus, de sécurité informatique, de documentation ou de défense de ses propres droits, un tel traitement intervient en dehors du champ du présent Contrat et sous la propre responsabilité du Sous-traitant au regard du droit de la protection des données.

3. Objet, nature et finalité du traitement

3.1 L'objet du traitement est la fourniture des services liés à Vemido, notamment la mise à disposition, l'hébergement, l'exploitation technique, l'administration, l'assistance, la maintenance, le dépannage, la sauvegarde des données, la restauration, la journalisation ainsi que les autres opérations de traitement liées au contrat-cadre.

3.2 La nature et la finalité du traitement, les catégories de personnes concernées ainsi que les catégories de données personnelles traitées sont définies à l'Annexe 1 du présent Contrat.

3.3 Le Responsable du traitement assume l'entière responsabilité de la licéité du traitement des données personnelles qu'il initie et du fait que seules les données personnelles pouvant être légalement traitées dans le cas individuel concerné sont traitées au moyen de Vemido.

4. Droit d'instruction du Responsable du traitement

4.1 Le Sous-traitant traite les données personnelles exclusivement sur la base d'instructions documentées du Responsable du traitement, sauf dans la mesure où des obligations légales imposent un traitement sans de telles instructions ou contraire à celles-ci.

4.2 Sont notamment réputés constituer des instructions documentées :

le présent Contrat de sous-traitance des données ;
le contrat-cadre, y compris les CG et la description des services ;
les configurations, saisies, autorisations et paramètres système effectués par le Responsable du traitement lui-même dans Vemido dans le cadre de son utilisation ; et
les instructions individuelles écrites du Responsable du traitement.

4.3 Les instructions orales doivent être confirmées sans retard injustifié sous forme textuelle.

4.4 Si, selon l'appréciation du Sous-traitant, une instruction soulève un problème au regard de la protection des données, est illicite ou présente un risque technique pour la sécurité, le Sous-traitant en informera le Responsable du traitement. Le Sous-traitant est en droit de suspendre ou de refuser l'exécution d'une instruction manifestement illicite jusqu'à clarification de la situation.

5. Obligations du Sous-traitant

5.1 Le Sous-traitant s'engage à ne traiter les données personnelles que dans le cadre du présent Contrat et du contrat-cadre.

5.2 Le Sous-traitant n'utilisera pas, pour des finalités propres incompatibles avec la mission, les données personnelles mises à sa disposition ou rendues accessibles dans le cadre de la mission.

5.3 Le Sous-traitant veille à ce que seules les personnes qui :

ont effectivement besoin d'un accès pour fournir les services contractuels ;
sont soumises à une obligation de confidentialité ; et
ont été informées de leurs obligations en matière de protection des données et de sécurité de l'information

aient accès aux données personnelles.

5.4 Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre tout traitement non autorisé ou illicite ainsi que contre la perte, la destruction, la modification accidentelle ou la divulgation non autorisée. Les principes de ces mesures sont définis à l'Annexe 2.

5.5 Le Sous-traitant assiste le Responsable du traitement dans une mesure appropriée pour :

la gestion des droits d'accès, de rectification, d'effacement, de remise ou d'autres droits des personnes concernées ;
la documentation des activités de traitement ;
les évaluations en matière de protection des données en lien avec l'utilisation de Vemido ;
l'évaluation des violations de données personnelles ; et
toute analyse d'impact relative à la protection des données, dans la mesure où une telle assistance est requise au regard des services spécifiques utilisés et est raisonnablement exigible du Sous-traitant.

5.6 Le Sous-traitant n'est pas tenu d'effectuer, pour le compte du Responsable du traitement, des analyses juridiques, des mises en balance d'intérêts ou des examens matériels indépendants de la licéité du traitement.

6. Obligations du Responsable du traitement

6.1 Le Responsable du traitement déclare qu'il traite, ou fait traiter, les données personnelles uniquement conformément au droit applicable en matière de protection des données.

6.2 Le Responsable du traitement est notamment responsable de :

la licéité du traitement ;
la détermination des finalités du traitement ;
l'exécution des obligations d'information à l'égard des personnes concernées ;
l'obtention de tout consentement nécessaire ;
la licéité du traitement de données personnelles sensibles ;
la licéité de toute communication de données à l'étranger ; et
la gestion des contenus, des données de base et des autorisations des utilisateurs dans son propre domaine de responsabilité.

6.3 Le Responsable du traitement doit configurer et utiliser Vemido de manière à respecter les exigences de protection des données applicables à son cas d'usage.

6.4 Le Responsable du traitement demeure responsable de la sécurité de ses comptes utilisateurs, de ses données d'accès, de ses concepts de rôles et d'autorisations, de ses processus internes d'approbation ainsi que de la sauvegarde des données au sein de sa propre organisation, sauf si des prestations supplémentaires du Sous-traitant ont été expressément convenues par écrit.

6.5 En règle générale, le Responsable du traitement répond lui-même aux demandes d'accès et aux autres demandes des personnes concernées. Le Sous-traitant l'assiste à cet égard dans une mesure appropriée.

7. Confidentialité et secret

7.1 Le Sous-traitant traitera comme confidentielles toutes les données personnelles traitées pour le compte du Responsable du traitement.

7.2 Le Sous-traitant veille à ce que ses collaborateurs, auxiliaires et tiers mandatés susceptibles d'entrer en contact avec des données personnelles soient liés par une obligation de confidentialité ou soumis à une obligation légale de secret appropriée.

7.3 L'obligation de confidentialité demeure applicable après la résiliation du présent Contrat.

8. Mesures techniques et organisationnelles

8.1 Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, en tenant notamment compte :

de l'état de la technique ;
de la nature, de l'étendue, du contexte et des finalités du traitement ;
du besoin de protection des données personnelles traitées ; et
de la probabilité et de la gravité d'une atteinte à la personnalité ou à d'autres intérêts protégés des personnes concernées.

8.2 Les mesures essentielles sont décrites à l'Annexe 2.

8.3 Le Sous-traitant est autorisé à faire évoluer et à modifier les mesures techniques et organisationnelles, à condition que le niveau de protection global convenu ne soit pas diminué de manière substantielle.

8.4 Si le Responsable du traitement souhaite des mesures particulières allant au-delà du standard contractuellement convenu, celles-ci doivent faire l'objet d'un accord distinct.

9. Recours à des sous-traitants ultérieurs

9.1 Le Responsable du traitement autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour l'exécution des prestations contractuelles, en particulier dans les domaines de l'hébergement, de l'infrastructure, des services de communication, de l'assistance, de la maintenance, de la surveillance et des services de sécurité.

9.2 Le Sous-traitant veille à ce que les sous-traitants ultérieurs soient soumis par contrat à des obligations de protection des données et de sécurité des données essentiellement équivalentes à celles prévues par le présent Contrat, dans la mesure où elles sont applicables à la prestation concernée.

9.3 Une liste actuelle des catégories ou des sous-traitants ultérieurs effectivement utilisés peut être mise à disposition du Responsable du traitement sur demande ou sous une autre forme appropriée.

9.4 Le Sous-traitant informe le Responsable du traitement, de manière appropriée, des modifications substantielles concernant les sous-traitants ultérieurs, dans la mesure où celles-ci sont pertinentes au regard de la protection des données.

9.5 Dans la mesure où, en vertu du droit applicable, un droit d'opposition à l'égard de nouveaux sous-traitants ultérieurs est requis, ce droit ne peut être exercé que pour des motifs importants relevant de la protection des données et doit être communiqué sans retard injustifié. Si l'exécution des prestations n'est pas possible ou ne l'est qu'avec une charge disproportionnée sans le sous-traitant ultérieur concerné, le Sous-traitant peut résilier le contrat-cadre ou la prestation concernée avec effet extraordinaire.

10. Traitement à l'étranger et transferts internationaux de données

10.1 Le traitement des données personnelles a lieu en principe en Suisse ou dans des États assurant un niveau de protection des données adéquat au sens du droit applicable.

10.2 Si des données personnelles sont exceptionnellement traitées dans un État ne disposant pas d'un niveau de protection adéquat ou y sont rendues accessibles, le Sous-traitant veillera à ce que des garanties appropriées soient mises en place, dans la mesure où cela relève de sa sphère d'influence et est juridiquement requis.

10.3 Les garanties appropriées peuvent notamment consister en des clauses contractuelles types reconnues, des engagements contractuels supplémentaires, des mesures techniques complémentaires ou d'autres mécanismes admis par le droit applicable.

10.4 Le Responsable du traitement demeure responsable de l'évaluation de la licéité de la communication de données à l'étranger dans son cas particulier, dans la mesure où cette évaluation ne relève pas exclusivement de la sphère du Sous-traitant.

11. Assistance, droits des personnes concernées et demandes des autorités

11.1 Dans la mesure où une personne concernée s'adresse directement au Sous-traitant pour exercer ses droits en lien avec des données traitées pour le compte du Responsable du traitement, le Sous-traitant transmettra la demande au Responsable du traitement dans un délai approprié, pour autant qu'une telle transmission soit juridiquement admissible.

11.2 Le Sous-traitant ne répondra pas lui-même à de telles demandes, sauf s'il y est contraint par la loi ou si le Responsable du traitement lui en a donné instruction.

11.3 Si une autorité compétente demande au Sous-traitant des informations relatives à des données traitées pour le compte du Responsable du traitement, le Sous-traitant en informera le Responsable du traitement dans la mesure juridiquement permise.

11.4 L'assistance du Sous-traitant est fournie dans une mesure raisonnable et appropriée en tenant compte du type de service utilisé, de la structure technique et de la répartition des responsabilités entre les parties.

12. Violations de données personnelles

12.1 Le Sous-traitant informe le Responsable du traitement sans retard injustifié dès qu'il a connaissance d'une violation de la sécurité entraînant, de manière avérée ou probable, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles traitées pour le compte du Responsable du traitement, ou l'accès non autorisé à de telles données.

12.2 Dans la mesure du possible, cette notification contiendra les informations disponibles sur la nature de l'incident, les catégories de données concernées, les conséquences possibles ainsi que les mesures prises ou envisagées.

12.3 Le Sous-traitant soutiendra le Responsable du traitement, dans une mesure appropriée, dans l'exécution de ses obligations éventuelles de notification, d'information et de documentation.

13. Contrôles et audits

13.1 Le Responsable du traitement est en droit, dans une mesure appropriée, de s'assurer du respect par le Sous-traitant des obligations résultant du présent Contrat.

13.2 En règle générale, cette vérification est effectuée au moyen d'informations appropriées, d'auto-déclarations, de preuves documentées, de certificats, d'attestations ou d'autres documents appropriés du Sous-traitant.

13.3 Les audits sur site ne peuvent être exigés que si des raisons importantes existent et si la vérification ne peut pas être réalisée de manière raisonnable autrement.

13.4 Les audits doivent être annoncés dans un délai raisonnable, être effectués pendant les heures normales d'ouverture, ne pas perturber de manière disproportionnée l'activité du Sous-traitant, et être réalisés dans le respect des obligations de confidentialité ainsi que des secrets de sécurité et d'affaires.

13.5 Le Sous-traitant peut faire dépendre la réalisation d'un audit de la signature d'accords de confidentialité supplémentaires et de règles de procédure appropriées.

13.6 Les coûts et dépenses d'un audit sont supportés par le Responsable du traitement, sauf s'il est établi, dans le cadre de l'audit, qu'il existe un manquement grave imputable au Sous-traitant.

14. Restitution, suppression et conservation des données après la fin du Contrat

14.1 À la fin du contrat-cadre, le Sous-traitant supprimera ou restituera, au choix du Responsable du traitement, les données personnelles traitées pour le compte de ce dernier, dans la mesure où aucune obligation légale de conservation ni aucun motif justifié de conservation ne s'y oppose.

14.2 Les obligations légales de conservation, les obligations de preuve et de documentation ainsi que les copies résiduelles techniquement inévitables dans les systèmes de sauvegarde ou de restauration demeurent réservées. Ces copies résiduelles ne feront l'objet d'aucun traitement ultérieur en production et seront supprimées dans le cadre des cycles habituels d'écrasement et de suppression.

14.3 Avant la fin du contrat, le Responsable du traitement est tenu d'utiliser de manière autonome et en temps utile les possibilités d'exportation et de sauvegarde disponibles, dans la mesure où, en vertu du contrat-cadre, cela relève de son domaine de responsabilité.

15. Rémunération

15.1 Sauf convention expresse contraire, le respect du présent Contrat est couvert par la rémunération prévue au contrat-cadre dans la mesure où il n'excède pas l'effort habituel et raisonnable.

15.2 Les efforts supplémentaires résultant d'instructions extraordinaires, d'obligations de coopération étendues, d'audits spéciaux, d'attestations de sécurité individualisées, de prestations d'exportation liées à une migration, de demandes étendues de personnes concernées ou de procédures administratives peuvent, après information préalable du Responsable du traitement, être facturés séparément par le Sous-traitant sur la base du temps passé et des moyens engagés.

16. Responsabilité

16.1 La responsabilité des parties est régie par les dispositions du contrat-cadre et des CG, sauf disposition expresse contraire du présent Contrat.

16.2 Le présent Contrat n'instaure aucune responsabilité stricte du Sous-traitant au-delà de celle prévue par le contrat-cadre.

16.3 Dans la mesure permise par la loi, les limitations de responsabilité, les exclusions de responsabilité et les obligations de coopération du Responsable du traitement prévues dans les CG demeurent inchangées.

17. Durée, entrée en vigueur et activation

17.1 Le présent Contrat entre en vigueur au moment de l'acceptation électronique ou autrement documentée du Responsable du traitement, mais en tout état de cause au plus tard avant le premier traitement effectif des données personnelles du Responsable du traitement par Vemido.

17.1a Tant que le présent Contrat n'a pas été valablement conclu, le Sous-traitant n'est ni tenu ni autorisé à traiter en production les données personnelles du Responsable du traitement dans le cadre du traitement effectué pour son compte. Le Sous-traitant est en droit de différer l'activation des fonctions concernées jusqu'à la conclusion valable du présent Contrat ou de limiter le compte client à un usage non productif sans traitement de données personnelles.

17.2 Le présent Contrat demeure en vigueur aussi longtemps que le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement.

17.3 En cas de résiliation du contrat-cadre, le présent Contrat prend également fin automatiquement, sous réserve des dispositions qui, par leur nature, survivent à cette fin, notamment en matière de confidentialité, de responsabilité, de preuve, de conservation légale ainsi que de suppression et de copies résiduelles dans les systèmes de sauvegarde.

18. Relation avec les CG et le contrat-cadre

18.1 Le présent Contrat complète le contrat-cadre et les CG.

18.2 En cas de contradiction entre le présent Contrat et les CG ou d'autres documents contractuels, le présent Contrat prévaut pour les questions de protection des données relatives au traitement effectué pour le compte du Responsable du traitement.

18.3 Pour le surplus, les CG et le contrat-cadre demeurent inchangés et continuent de produire tous leurs effets.

19. Langue, modifications et dispositions finales

19.1 Toute modification ou tout complément au présent Contrat doit être établi au moins sous forme textuelle.

19.2 Si certaines dispositions du présent Contrat sont ou deviennent totalement ou partiellement invalides ou inapplicables, la validité des autres dispositions n'en sera pas affectée. La disposition invalide sera remplacée par une disposition juridiquement admissible se rapprochant le plus possible de l'objectif économique de la disposition invalide.

19.3 Le droit matériel suisse est applicable, sauf si un droit impératif en matière de protection des données en dispose autrement.

19.4 Dans la mesure permise et sauf disposition contraire du contrat-cadre, le for est à Lenzburg, Suisse.

19.5 Versions linguistiques : Le présent Contrat peut être fourni en plusieurs versions linguistiques. En règle générale, la version linguistique faisant foi est celle qui a été affichée au Responsable du traitement et acceptée par lui dans le cadre du processus électronique de commande, d'inscription ou d'onboarding. Si les parties conviennent ultérieurement et expressément qu'une autre version linguistique ou qu'une version bilingue du contrat fera foi, cet accord individuel prévaut.

Annexe 1

Description du traitement effectué pour le compte du Responsable du traitement

1. Objet du traitement : Mise à disposition et exploitation de la solution logicielle Vemido en tant que plateforme de réservation, de planification, de gestion des ressources et d'administration.

2. Finalité du traitement : Permettre la saisie, l'organisation, l'administration, la confirmation, la communication, la documentation et l'évaluation des réservations, des rendez-vous, des ressources, des données clients, des accès utilisateurs et des processus opérationnels connexes du Responsable du traitement.

3. Nature du traitement : Collecte, saisie, structuration, organisation, stockage, conservation, adaptation, modification, consultation, utilisation, communication par transmission, mise à disposition, rapprochement, limitation, suppression et destruction.

4. Catégories de personnes concernées (selon l'usage) :

clients et prospects du Responsable du traitement ;
employés, administrateurs et représentants autorisés du Responsable du traitement ;
clients finaux, patients, hôtes, membres ou personnes effectuant des réservations ;
personnes de contact de partenaires commerciaux ; et
autres personnes dont les données sont saisies par le Responsable du traitement ou dont le traitement est provoqué par celui-ci dans le cadre de l'utilisation de Vemido.

5. Catégories de données personnelles (selon l'usage) :

données de base et de contact ;
données relatives aux rendez-vous, aux réservations et à l'utilisation ;
données de communication ;
données de facturation et de transaction ;
données d'utilisateur et d'autorisation ;
journaux, données d'appareil et métadonnées ; et
données en texte libre et notes saisies volontairement par le Responsable du traitement.

6. Données personnelles sensibles : Uniquement dans la mesure où le Responsable du traitement traite de telles données dans le cadre de son utilisation et où ce traitement est licite, notamment dans les cas d'usage liés à la santé, à la thérapie ou à des domaines comparables.

7. Durée du traitement : Pendant la durée du contrat-cadre et, au-delà, uniquement dans la mesure requise par des obligations légales, des besoins de preuve, des copies de sauvegarde ou des copies résiduelles techniquement inévitables.

Annexe 2

Mesures techniques et organisationnelles (MTO)

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, notamment dans les domaines suivants :

1. Contrôle de l'accès physique et logique

restriction de l'accès physique et logique aux systèmes et services ;
concepts d'accès fondés sur les rôles et les autorisations ;
identifiants utilisateur individuels, protection par mot de passe et, le cas échéant, mécanismes d'authentification supplémentaires ; et
révision et adaptation régulières des autorisations.

2. Confidentialité

accès aux données personnelles réservé aux seules personnes autorisées sur la base du besoin d'en connaître ;
obligations de confidentialité pour les collaborateurs et auxiliaires ;
transmission sécurisée des données sur les réseaux, lorsque cela est techniquement prévu ;
protection contre toute divulgation non autorisée dans le cadre des processus d'assistance et d'administration.

3. Intégrité

mesures visant à empêcher toute modification non autorisée des données ;
journalisation et traçabilité des processus pertinents pour la sécurité, lorsque cela est approprié ; et
procédures définies pour les déploiements, les modifications, la correction des erreurs et les restaurations.

4. Disponibilité et résilience

mesures appropriées visant à garantir la disponibilité et la capacité de rétablissement des systèmes ;
sauvegardes de données et garanties techniques dans le cadre des services convenus ; et
processus de gestion des perturbations, de traitement des incidents et de reprise de l'exploitation.

5. Ségrégation

séparation logique des jeux de données et des locataires lorsque cela est prévu par l'architecture du système ;
rôles, autorisations et responsabilités distincts ; et
utilisation contrôlée des environnements de test, de développement et de production.

6. Résilience organisationnelle

processus définis en matière de sécurité et d'autorisations ;
mesures de formation et de sensibilisation pour les personnes concernées ; et
procédures définies pour les incidents de sécurité et les escalades.

7. Sélection et gestion des sous-traitants ultérieurs

sélection rigoureuse de prestataires appropriés ;
engagements contractuels en matière de protection des données et de sécurité des données ; et
examen périodique de leur adéquation dans une mesure appropriée.

8. Paramètres par défaut respectueux de la vie privée

prise en charge d'une utilisation minimisant les données lorsque cela est techniquement possible ;
mise à disposition de concepts de rôles et d'autorisations, lorsque cela a été convenu ; et
limitation des accès à ce qui est nécessaire dans chaque cas.

Annexe 3

Sous-traitants ultérieurs

Sous-traitants engagés au moment de la conclusion du présent Contrat, dans la mesure où ils sont utilisés dans la configuration spécifique du Responsable du traitement :

IONOS SE, Hinterm Hauptbahnhof 3–5, 76137 Karlsruhe, Allemagne – Hébergement / exploitation des serveurs / infrastructure
Twilio Ireland Limited, 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Irlande – Envoi de notifications SMS, dans la mesure où ce service a été activé par le Responsable du traitement dans la configuration