Essayer la démo Demander un accès

DPA v1.2 applicable dès le 18 mai 2026

Les versions antérieures sont conservées avec les empreintes de consentement et restent consultables sur demande à contact@syndia.ch.

Contrat de sous-traitance (DPA) — SyndIA

Version 1.2 — applicable dès le 18 mai 2026

Conclu entre AdminLocal Sàrl, IDE CHE-301.275.340, inscrite au Registre du commerce du canton de Vaud, siège à Forel-sur-Lucens (Vaud), Suisse — ci-après « SyndIA » ou « le Sous-traitant » — et le Client titulaire d’un compte SyndIA, ci-après « le Responsable », en sa qualité de gérant mandaté d’une propriété par étages.

L’acceptation du présent DPA intervient à l’inscription, par voie électronique, avec horodatage et empreinte versionnée conservée par SyndIA. En cas de contradiction avec les Conditions générales d’utilisation (CGU) sur un aspect relatif au traitement de données personnelles, le présent DPA prévaut.

Article 1 — Objet et qualification des Parties

1.1. Le présent Accord de traitement des données (« DPA ») régit l’ensemble des traitements de données personnelles effectués par SyndIA pour le compte du Responsable dans le cadre de l’exécution du Contrat de service SyndIA.

1.2. Les Parties reconnaissent que :

a) le Client agit en qualité de responsable du traitement au sens de l’art. 5 let. j de la loi fédérale sur la protection des données (LPD, RS 235.1), en sa qualité de gérant mandaté de la propriété par étages au sens de l’art. 712m du Code civil (CC, RS 210) ;

b) SyndIA agit en qualité de sous-traitant au sens de l’art. 5 let. k LPD pour l’ensemble des traitements qu’elle effectue pour le compte du Client dans l’exécution du Contrat.

1.3. Par dérogation à l’art. 1.2 let. b, SyndIA agit en qualité de responsable du traitement pour les seules finalités internes suivantes, lesquelles font l’objet d’une information distincte dans la Politique de confidentialité :

a) création, authentification et gestion du cycle de vie du compte Client ;

b) facturation des redevances contractuelles et recouvrement ;

c) sécurité, journalisation des accès et prévention de la fraude ;

d) mesure statistique agrégée et anonyme de l’utilisation du service.

1.4. Le présent DPA est conclu pour la durée du Contrat de service et lui survit pour les seules obligations de restitution, de suppression, de conservation légale et de confidentialité.

Article 2 — Nature, finalité et catégories

2.1. Finalités du traitement : gestion administrative, comptable et juridique d’une ou plusieurs propriétés par étages, incluant notamment l’établissement des appels de charges, des décomptes annuels, des convocations et procès-verbaux d’assemblée générale, le suivi des paiements, la tenue du ledger du fonds de rénovation et l’archivage des pièces.

2.2. Catégories de personnes concernées : copropriétaires, membres du comité, gérant et ses collaborateurs, fournisseurs de la PPE, locataires le cas échéant.

2.3. Catégories de données traitées : données d’identification (nom, prénom, adresse postale, adresse électronique, numéro de téléphone), données patrimoniales strictement nécessaires à la gestion (numéro de lot, quotité en millièmes, IBAN le cas échéant), correspondance liée à la PPE, pièces comptables (factures fournisseurs, quittances, relevés), procès-verbaux.

2.4. Le Service n’est pas destiné au traitement de données sensibles au sens de l’art. 5 let. c LPD. Le Responsable s’engage à éviter la saisie dans le Service de données relatives à la santé, aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, à la sphère intime ou à l’appartenance à une race ou à une ethnie, des données génétiques ou biométriques identifiant de manière univoque une personne, des données relatives à des poursuites ou sanctions pénales et administratives, ou à des mesures d’aide sociale, sauf nécessité légale ou opérationnelle documentée et proportionnée au but du mandat de gestion PPE.

2.5. En cas de saisie involontaire de données sensibles, le Responsable procède sans délai à leur suppression ou, sur demande, avec l’assistance technique de SyndIA.

Article 3 — Mesures techniques et organisationnelles (art. 8 LPD)

3.1. Conformément à l’art. 8 LPD et à l’Ordonnance sur la protection des données (OPDo, RS 235.11), SyndIA met en œuvre et maintient des mesures techniques et organisationnelles appropriées au risque, qui comprennent notamment :

a) chiffrement au repos (LUKS self-managed sur infrastructure Infomaniak) et en transit (TLS 1.2 ou supérieur exigé pour toute communication) ;

b) authentification renforcée (courriel + mot de passe haché selon l’état de l’art, vérification d’adresse, limitation de débit, invalidation des sessions après inactivité) ;

c) contrôle d’accès fondé sur les rôles selon le principe du moindre privilège ; cloisonnement multi-tenant effectif à chaque requête ;

d) journalisation des accès en mode append-only, conservée douze (12) mois au minimum ;

e) sauvegardes chiffrées quotidiennes avec vérification mensuelle de la restauration ;

f) séparation logique et technique des environnements (production, pré-production, développement) ;

g) gestion des vulnérabilités : analyse de composition logicielle sur chaque build, application de tout correctif critique dans un délai maximum de sept (7) jours calendaires après publication du correctif ;

h) formation régulière des collaborateurs aux exigences de protection des données et de sécurité de l’information.

3.2. SyndIA documente ses mesures dans un registre interne mis à disposition du Responsable sur demande motivée, dans les conditions de l’Article 9 ci-dessous.

Article 4 — Sous-sous-traitance (art. 9 al. 3 LPD)

4.1. Le Responsable confère à SyndIA une autorisation générale de recourir aux sous-sous-traitants listés sur la page /confidentialite du site SyndIA, dans les conditions qui y sont précisées. Cette autorisation générale satisfait l’exigence de l’art. 9 al. 3 LPD.

4.2. SyndIA notifie au Responsable par écrit, au moins trente (30) jours calendaires avant sa mise en œuvre effective, tout ajout, remplacement ou changement substantiel (notamment changement de localisation) dans la liste des sous-sous-traitants.

4.3. Le Responsable dispose d’un délai de trente (30) jours à compter de la notification pour s’opposer au changement par écrit motivé. En cas d’opposition fondée sur un risque objectif pour la protection des données :

a) SyndIA propose une alternative équivalente compatible avec le Contrat ; ou

b) à défaut, le Responsable peut résilier le Contrat sans indemnité, avec préavis de quinze (15) jours, et obtenir la portabilité prévue à l’Article 4 des CGU.

4.4. SyndIA impose à ses sous-sous-traitants, par contrat écrit, des obligations de protection des données au moins équivalentes à celles du présent DPA. SyndIA répond envers le Responsable des actes et omissions de ses sous-sous-traitants comme des siens propres.

Article 5 — Transferts transfrontaliers (art. 16 LPD)

5.1. Principe : aucune donnée personnelle traitée pour le compte du Responsable n’est transférée hors de Suisse (art. 16 al. 1 LPD).

5.2. Exception — facturation SaaS : SyndIA utilise Stripe, Inc. (États-Unis d’Amérique) pour la seule facturation de ses redevances contractuelles. Les données transférées sont limitées à : courriel du Responsable, montant en francs suisses, identifiant technique de facturation.

5.3. Aucune donnée personnelle traitée par SyndIA en qualité de sous-traitant (données des copropriétaires, pièces comptables de la PPE, etc.) n’est transférée à Stripe, Inc. ni à tout autre destinataire hors de Suisse.

5.4. Base légale du transfert décrit à l’al. 5.2 : décision d’adéquation adoptée par le Conseil fédéral le 14 août 2024 concernant le Swiss-U.S. Data Privacy Framework, dont la modification correspondante de l’OPDo est entrée en vigueur le 15 septembre 2024 (art. 16 al. 1 LPD). Stripe, Inc. est certifiée DPF, cette certification étant vérifiable sur dataprivacyframework.gov.

5.5. En cas d’invalidation, de suspension ou de retrait de la décision d’adéquation visée à l’al. 5.4, SyndIA s’engage, dans un délai maximum de nonante (90) jours à compter de la décision de retrait, à mettre en œuvre une garantie alternative conforme à l’art. 16 al. 2 LPD (notamment les clauses types de protection des données reconnues par le PFPDT), ou à migrer vers un prestataire de facturation établi en Suisse.

Article 6 — Assistance aux droits des personnes concernées (art. 25-28 LPD)

6.1. SyndIA met à la disposition du Responsable les fonctionnalités techniques nécessaires à l’exercice des droits des personnes concernées prévus aux art. 25, 26, 28, 32 LPD, notamment :

a) droit d’accès et d’obtention d’une copie des données (art. 25 LPD) ;

b) droit à la rectification et à la suppression (art. 32 LPD) ;

c) droit à la remise ou à la transmission des données à un autre responsable sous un format électronique couramment utilisé (art. 28 LPD, sous les conditions de ses al. 1 et 2).

6.2. Si une personne concernée s’adresse directement à SyndIA en vue d’exercer ses droits, SyndIA transmet la demande au Responsable sans délai et n’y donne pas suite de sa propre initiative, sauf si le Responsable est défaillant ou la demande constitue une obligation imposée à SyndIA en qualité de responsable pour ses finalités propres (art. 1.3 du présent DPA).

6.3. SyndIA assiste le Responsable dans le respect des délais de l’art. 25 al. 7 LPD (trente jours, prorogeables de soixante jours en cas de motif justifié).

6.4. L’assistance ordinaire à l’exercice des droits par les outils standards du service est incluse dans la redevance. L’assistance extraordinaire (extractions massives sur mesure, formats spécifiques non supportés par le service, investigations complexes) peut faire l’objet d’un devis séparé facturé au temps passé.

Article 7 — Notification d’une violation de la sécurité des données (art. 24 LPD)

7.1. Obligation légale rappelée. L’art. 24 al. 3 LPD dispose que « le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données ». L’art. 24 al. 1 LPD impose au Responsable de notifier au PFPDT, dans les meilleurs délais, les violations entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

7.2. Engagement contractuel de SyndIA. Afin de concrétiser l’exigence légale des « meilleurs délais » de l’art. 24 al. 3 LPD, SyndIA s’engage contractuellement envers le Responsable à notifier toute violation au plus tard septante-deux (72) heures après en avoir eu connaissance. Ce délai contractuel constitue une diligence renforcée par rapport au standard légal et ne l’emporte pas sur l’obligation d’agir plus rapidement si la nature de la violation le commande.

7.3. Canal de notification. La notification est adressée à l’adresse électronique de sécurité désignée par le Responsable et, pour les violations qualifiées préliminairement d’« à risque élevé probable », doublée d’un appel téléphonique.

7.4. Contenu de la notification. La notification comprend, dans la mesure des éléments disponibles au moment de l’envoi, les informations énumérées à l’art. 15 de l’Ordonnance sur la protection des données (OPDo) :

a) la nature de la violation ;

b) dans la mesure du possible, le moment et la durée ;

c) dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées ;

d) dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ;

e) les conséquences, y compris les risques éventuels, pour les personnes concernées ;

f) les mesures prises ou prévues pour remédier à la défaillance et atténuer les conséquences ;

g) le nom et les coordonnées d’une personne de contact opérationnelle SyndIA dédiée à la gestion de l’incident.

Les éléments manquants au moment de la notification initiale sont communiqués ultérieurement dans les meilleurs délais.

7.5. Répartition des responsabilités. La qualification finale de la violation au regard du seuil du « risque élevé » de l’art. 24 al. 1 LPD ainsi que, le cas échéant, la notification au PFPDT et aux personnes concernées (art. 24 al. 4 LPD) incombent au Responsable. SyndIA l’assiste raisonnablement dans cette analyse et lui fournit les informations techniques utiles.

7.6. Absence de reconnaissance de responsabilité. Conformément à l’art. 24 al. 6 LPD, les notifications émises en vertu du présent article ne peuvent être utilisées dans le cadre d’une procédure pénale contre la personne tenue d’annoncer qu’avec son consentement, et ne valent pas reconnaissance de responsabilité civile ou contractuelle.

Article 8 — Conservation et suppression des données

8.1. Durant le Contrat, les données sont conservées de manière active pour les besoins de la prestation.

8.2. À l’extinction du Contrat :

a) Phase 1 — immédiate : suspension des accès et passage en mode lecture seule, afin de permettre la restitution.

b) Phase 2 — à l’expiration d’un délai de grâce de trente (30) jours calendaires : anonymisation des données personnelles (art. 32 LPD), suppression définitive des données non soumises à conservation légale, et pseudonymisation des écritures et pièces comptables soumises à l’obligation de conservation décennale de l’art. 958f CO et de l’OLICO (RS 221.431), pour le compte du Responsable en qualité d’archiviste technique.

8.3. Restitution préalable. Préalablement à l’entrée en Phase 2, le Responsable peut demander l’export structuré prévu à l’Article 4 des CGU. L’entrée en Phase 2 emporte accusé que la restitution a été effectuée ou que le Responsable y a renoncé.

8.4. Conservation légale. Les données dont la conservation est imposée par la loi suisse (notamment les documents comptables visés à l’art. 958f CO et à l’OLICO, conservation décennale) sont conservées sous forme pseudonymisée jusqu’à l’expiration du délai légal, puis supprimées. Sont expressément exclues de la pseudonymisation les factures, quittances et procès-verbaux d’assemblée générale approuvant les comptes, qui restent identifiables au titre de la régularité comptable (art. 957a CO).

8.5. Les Parties reconnaissent que cette conservation relève d’une obligation légale du Responsable, techniquement exécutée par SyndIA en sa qualité de sous-traitant.

Article 9 — Audit et preuve de conformité

9.1. Sur demande écrite motivée avec un préavis raisonnable de trente (30) jours calendaires au minimum, SyndIA met à la disposition du Responsable :

a) les certifications en vigueur et les rapports d’audit pertinents de ses sous-sous-traitants (notamment ISO/IEC 27001 d’Infomaniak SA, SOC 2 de Stripe, Inc.), dans la limite de ce qui peut être communiqué en vertu des accords sous-jacents ;

b) une documentation actualisée des mesures techniques et organisationnelles visées à l’Article 3 ;

c) sous couvert de confidentialité, les rapports synthétiques de tests de sécurité indépendants (tests d’intrusion, scans de vulnérabilités) ne révélant pas de secrets d’affaires ou de vulnérabilités non corrigées.

9.2. Un audit sur site par le Responsable ou par un tiers qu’il mandate n’est ouvert qu’en cas de suspicion motivée d’une violation substantielle du présent DPA, aux frais du Responsable, conduit par un auditeur indépendant tenu au secret et accepté préalablement par SyndIA, qui ne peut refuser sans motif légitime. Les modalités pratiques (date, durée, périmètre, confidentialité) sont convenues entre les Parties avant le début de l’audit.

9.3. Les constatations de l’audit font l’objet d’un rapport écrit partagé entre les Parties, sous couvert de confidentialité stricte. Les éventuels plans de remédiation convenus sont annexés au présent DPA par avenant.

Article 10 — Forme

10.1. Le présent DPA est conclu en la forme électronique, par acceptation du Responsable au moyen de cases à cocher distinctes et versionnées lors de l’ouverture du compte, conformément à l’art. 11 al. 1 CO. Cette forme satisfait l’exigence d’écrit posée par l’art. 9 al. 1 LPD, laquelle ne constitue pas une forme qualifiée au sens des art. 13 et 14 CO.

10.2. SyndIA conserve, pendant la durée du Contrat majorée du délai de prescription ordinaire, les preuves d’acceptation (identifiant utilisateur, document, version, empreinte du document, horodatage, adresse IP, user-agent).