Version 1.0, Mars 2026

Accord de traitement des données

Data Processing Agreement (DPA), art. 28 RGPD / art. 9 LPD

1. Parties et définitions

• Responsable du traitement : le Client, personne physique ou morale utilisant Swiss-Desk pour gérer ses propres contacts.
• Sous-traitant : Suisse-Consult, Route des Géraniums, 1974 Arbaz, Suisse (CHE-303.173.561), exploitant Swiss-Desk.
• Données traitées : noms, emails, téléphones, adresses, notes, historique commercial des contacts du Client saisis dans Swiss-Desk.
• Finalité : fourniture du service CRM (stockage, affichage, recherche, export des données contacts du Client).

2. Obligations du sous-traitant (Swiss-Desk)

Swiss-Desk s’engage à :

• Traiter les données uniquement sur instruction documentée du Responsable du traitement (= fonctionnalités du service).
• Ne jamais vendre, louer, partager ou exploiter commercialement les données des contacts du Client.
• Garantir la confidentialité des données (accès restreint, chiffrement TLS 1.3 en transit, chiffrement au repos via Supabase).
• Mettre en place des mesures de sécurité techniques et organisationnelles (accès par rôles, Row-Level Security, sauvegardes quotidiennes en plan Pro).
• Notifier le Client dans un délai de 72h en cas de violation de données susceptible d’affecter ses contacts.
• Permettre au Client d’exporter ses données à tout moment (format CSV, plans Starter et Pro) et de les supprimer à la demande.
• Supprimer toutes les données du Client dans les 30 jours suivant la résiliation du compte.
• Fournir toute information nécessaire pour démontrer la conformité au RGPD et à la LPD, et permettre des audits raisonnables sur demande écrite.

3. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs suivants :

• Supabase Inc., Base de données et authentification. Serveurs : Francfort (eu-central-1), Allemagne. DPA disponible sur supabase.com/dpa.
• Vercel Inc., Hébergement de l’application (CDN/Edge). DPA disponible sur vercel.com/legal/dpa. Données de session uniquement, pas de données contacts.
• Resend Inc., Envoi d’emails transactionnels (notifications système uniquement, région eu-west-1). Aucune donnée contact du Client transmise.

Tout ajout de sous-traitant ultérieur fera l’objet d’une notification préalable de 30 jours. Le Client dispose d’un droit d’objection dans ce délai.

4. Transferts hors EEE

Les données contacts du Client sont hébergées exclusivement en Allemagne (Francfort) via Supabase. Aucun transfert de données contacts en dehors de l’Espace économique européen n’est effectué. Les métadonnées de session peuvent transiter par les CDN de Vercel (couvertes par les Standard Contractual Clauses de la Commission européenne).

5. Droits des personnes concernées

Le Client est responsable de répondre aux demandes de droits (accès, rectification, suppression, portabilité) de ses propres contacts. Swiss-Desk fournit les outils nécessaires (interface de gestion, export CSV, suppression). Si Swiss-Desk reçoit une demande directe d’un contact du Client, il en informera immédiatement le Client et lui renverra la demande.

6. Sécurité technique et organisationnelle

• Chiffrement : TLS 1.3 en transit, AES-256 au repos (Supabase).
• Isolation : Row-Level Security (RLS) Supabase, chaque organisation ne voit que ses propres données.
• Accès : authentification multi-facteurs disponible, gestion des rôles par organisation.
• Sauvegardes : quotidiennes (plan Pro), conservées 30 jours en Suisse/UE.
• Journalisation : logs d’accès conservés 90 jours pour audit de sécurité.

7. Durée et fin du traitement

Le présent accord est valable pour la durée de l’abonnement. À la résiliation : (1) le Client peut exporter ses données, (2) Swiss-Desk supprime toutes les données dans les 30 jours, (3) une confirmation de suppression est envoyée par email sur demande.

8. Contact DPO et réclamations

Toute question relative au présent accord : privacy@swiss-desk.ch.
Autorité de contrôle compétente : Préposé fédéral à la protection des données et à la transparence (PFPDT), Suisse.