Rechercher
Fermer cette boîte de recherche.
Nous contacter

Avenant relatif au Traitement des Données

Le présent avenant relatif au traitement des données ("avenant") modifie tout contrat de services conclu entre vous, en tant que client (CLIENT), et Altoo AG (ALTOO), en tant que fournisseur. En cas de conflit ou d'incohérence, les termes du présent addenda remplacent ceux du contrat.

 

1. Définitions

    • Dans le présent avenant, les termes suivants ont la signification indiquée ci-dessous :
      • “Personne concernée” : désigne une personne physique dont les données à caractère personnel font l'objet d'un traitement ;
      • "Législation sur la protection des données" : : désigne les lois et règlements qui protègent les droits à la vie privée des individus, dans la mesure où ces lois et règlements s'appliquent au traitement des données à caractère personnel dans le cadre du présent Accord, y compris, sans s'y limiter, la législation sur la protection des données adoptée par la Suisse, l'UE et les États membres de l'UE, ainsi que des mesures similaires ;
      • "Données à caractère personnel" : toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée) ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;
      • "Données sensibles" : les données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses, la santé, l'orientation sexuelle, etc ;
      • "Traitement" : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
      • “Contrôleur des données” : l'entité qui divulgue les données à caractère personnel, c'est-à-dire le CLIENT ;
      • "Responsable du traitement des données" : désigne l'entité qui reçoit les données personnelles, c'est-à-dire ALTOO ;
      • "Évaluation de l'impact sur la protection des données" : signifie une analyse de la manière dont les données personnelles sont collectées, utilisées, partagées, protégées et conservées.

 

2. Objet et durée du traitement

    • ALTOO, agissant en tant que responsable du traitement des données pour le compte du CLIENT (responsable du traitement des données), recueille, conserve et traite les données personnelles et ne le fera qu'aux fins de l'accord ou selon les instructions écrites du CLIENT. Ce faisant, ALTOO et le CLIENT doivent se conformer aux exigences en matière de confidentialité et de sécurité des données énoncées dans le présent addenda.
    • Sauf accord écrit contraire, la durée du Traitement correspond à la durée de l'Accord.

 

3. Nature et finalité du traitement

    • ALTOO propose des applications logicielles et des services connexes aux entreprises, y compris, entre autres, la PLATEFORME ALTOO WEALTH, une plateforme SaaS configurable pour consolider les données patrimoniales, regroupée et offerte sous forme de services appelés modules. La nature et la finalité du Traitement sont définies plus en détail dans l'Accord et dans la documentation relative aux services respectifs.

 

4. Type de données à caractère personnel et catégories de personnes concernées

    • Les catégories de personnes concernées collectées, traitées et stockées sont les suivantes :
      • CLIENT (s'il s'agit d'une personne physique)
      • Employés du CLIENT
      • Clients du CLIENT
      • Clients potentiels du CLIENT
      • Employés des clients du CLIENT
      • Employés des clients potentiels du CLIENT
      • Agents autorisés
      • Personnes de contact
    • Les données personnelles traitées par ALTOO sont les suivantes :
      • Données personnelles de base (Données personnelles clés)
      • Données de contact
      • Données contractuelles clés (relations contractuelles/légales, intérêt contractuel ou produit)
      • Historique du CLIENT
      • Données financières
      • Données relatives à la facturation et aux paiements

 

5. Confidentialité des données

    • Le CLIENT doit, en sa qualité de responsable du traitement des donnée
      • Informer les personnes concernées de leurs droits ;
      • Informer les personnes concernées des données personnelles collectées dans le cadre des services fournis par ALTOO ;
      • Si nécessaire, en vertu de la législation applicable en matière de protection des données, s'assurer qu'il existe une base juridique pour le traitement des données à caractère personnel et, si la base juridique est le consentement des personnes concernées, recueillir et enregistrer le consentement des personnes concernées associé à la collecte, au stockage et au traitement de leurs données à caractère personnel ;
      • S'assurer qu'aucune donnée sensible n'est téléchargée dans les Services ALTOO ;
      • Le CLIENT garantit à ALTOO que toutes les données personnelles communiquées à ALTOO ont été collectées de manière licite et ne portent pas atteinte aux droits et libertés de la personne concernée et/ou de tiers.
    • ALTOO, en sa qualité de responsable du traitement des données :
      • Mettre en œuvre tous les efforts commercialement raisonnables pour aider le CLIENT à se conformer à la législation sur la protection des données, y compris, sans s'y limiter, la préparation des notifications, enregistrements et documents nécessaires que le CLIENT peut être raisonnablement tenu de faire ou de conclure afin de se conformer à la législation sur la protection des données dans le cadre du présent accord ;
      • Ne traiter les données personnelles que conformément aux instructions écrites et documentées du CLIENT, qui peuvent être des instructions spécifiques ou des instructions permanentes d'application générale relatives à l'exécution des obligations d'ALTOO en vertu de l'accord, à moins que la loi applicable à laquelle ALTOO est soumis n'en dispose autrement. Dans ce cas, ALTOO informera le CLIENT de cette exigence légale avant d'effectuer le traitement requis, à moins que cette loi n'interdise une telle information pour des raisons importantes d'intérêt public ;
      • Mettre en place des mesures pour garantir :
        • que les employés qui ont accès aux données personnelles ne les traitent que sur instruction du CLIENT, à moins que la loi applicable à laquelle ALTOO est soumise ne l'y oblige ; et
        • que tout employé ayant accès aux données à caractère personnel est fiable et s'est engagé à respecter la confidentialité ;
      • Ne pas divulguer les données à caractère personnel à tout autre organisme (y compris tout sous-traitant) sans l'accord exprès et écrit du CLIENT ;
      • Ne pas transférer de données personnelles de l'Espace économique européen ou concernant des résidents de l'Espace économique européen vers un lieu situé en dehors de la Suisse ou de l'Espace économique européen, à moins que :
        • Le CLIENT a consenti à ce transfert et ce transfert est et reste conforme aux exigences relatives aux transferts internationaux de données en vertu de la législation applicable en matière de protection des données ou ;
        • si les conditions spécifiques de l'article 44 et suivants du GDPR et/ou de la section 3 du FADP suisse (et/ou des dispositions similaires en vertu d'autres législations applicables en matière de protection des données) ont été remplies.
      • ne faire appel à des sous-traitants (sous-traitants supplémentaires) qu'après avoir obtenu l'accord écrit ou documenté du CLIENT, qu'il soit spécifique ou général.
        • L'externalisation ultérieure à des sous-traitants ou le changement de sous-traitants existants sont autorisés si (1) ALTOO soumet une telle externalisation à un sous-traitant au CLIENT par écrit ou sous forme de texte (y compris un affichage sur la PLATEFORME DE GESTION DE PATRIMOINE D'ALTOO) avec un préavis approprié ; (2) le CLIENT ne s'est pas opposé à la sous-traitance prévue par écrit ou sous forme de texte à la date de remise des données à ALTOO ; et (3) la sous-traitance est fondée sur un accord contractuel conforme à la législation applicable en matière de protection des données.
      • Informer rapidement le CLIENT si ALTOO reçoit une demande d'accès aux données personnelles de la part d'un sujet de données ou d'exercice de tout autre droit applicable au sujet de données, et aider le CLIENT dans la mesure du possible à répondre à une telle plainte ou demande, y compris, mais sans s'y limiter :
        • lorsque le CLIENT l'autorise, en permettant à la personne concernée d'accéder à ses données à caractère personnel ou de les faire corriger, supprimer ou bloquer dans les délais fixés par la législation applicable ;
        • en fournissant au CLIENT toute information demandée concernant le traitement des données à caractère personnel en vertu du présent addendum ;
        • en fournissant au CLIENT toutes les données personnelles qu'ALTOO détient sur une personne concernée, si nécessaire, dans un format couramment utilisé, structuré, électronique et lisible par machine ;
      • Si le CLIENT est obligé par la législation sur la protection des données d'effectuer une évaluation de l'impact de la protection des données en relation avec les services fournis par ALTOO en vertu de ce contrat, ALTOO fournira au CLIENT le soutien et les informations raisonnablement nécessaires à la réalisation de cette évaluation ;
      • Permettre au CLIENT (ou aux représentants dûment autorisés ou à tout organisme de réglementation auquel le CLIENT est soumis) d'inspecter et d'auditer les activités de traitement d'ALTOO dans le cadre de cet accord (et/ou celles de tout agent ou sous-traitant auquel ALTOO a été autorisé par le CLIENT à divulguer les données personnelles), et se conformer à toutes les demandes ou directives raisonnables du CLIENT afin de lui permettre de vérifier et/ou de s'assurer qu'ALTOO respecte pleinement les obligations découlant de cet accord ;
        • ALTOO peut demander une compensation raisonnable pour tous les coûts que cette inspection ou cet audit peut impliquer.
      • Informer immédiatement le CLIENT si, de l'avis d'ALTOO, l'une des instructions du CLIENT enfreint les dispositions de la législation applicable en matière de protection des données ;
      • si le CLIENT le demande à tout moment, lui fournir une copie des données à caractère personnel ou (au choix du CLIENT) les détruire ; et ;
      • A la fin de la fourniture par ALTOO de services relatifs aux Données Personnelles, supprimer toutes les Données Personnelles relatives au CLIENT et supprimer toutes les copies existantes des Données Personnelles, sauf si la loi applicable exige qu'ALTOO conserve des copies de ces données.

 

6. Sécurité

    • Le CLIENT est responsable de la création et de la gestion appropriées de ses comptes d'utilisateur, y compris de la désactivation et de la révision des comptes d'utilisateur. Le CLIENT doit principalement s'assurer que
      • L'accès et les autorisations sont accordés en fonction des besoins ;
      • Chaque utilisateur dispose d'un compte unique ;
      • Les comptes sont périodiquement examinés afin de valider leur pertinence ;
      • Les comptes génériques ne sont pas utilisés ;
      • Les mots de passe sont d'une complexité appropriée telle qu'imposée par la plateforme ALTOO Wealth.
      • Les comptes suspectés d'être compromis sont immédiatement désactivés.
    • ALTOO doit :
      • Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la protection des données à caractère personnel, en tenant compte de la nature et de la sensibilité des informations à protéger, du risque présenté par le traitement, de l'état de la technique et des coûts de mise en œuvre, conformément à la législation applicable en matière de protection des données. Ces mesures comprennent des garanties physiques, électroniques et procédurales appropriées pour (1) assurer la sécurité et la confidentialité des données à caractère personnel, (2) protéger contre toute menace ou tout risque pour la sécurité ou l'intégrité des données à caractère personnel, et (3) empêcher tout accès non autorisé aux données à caractère personnel ou toute utilisation non autorisée de celles-ci, sans limiter les autres obligations prévues par le présent Accord ;
      • Maintenir en vigueur les mesures de sécurité énoncées dans les mesures techniques et organisationnelles figurant à l'annexe 1 du présent avenant.
      • Notifier le CLIENT dans les meilleurs délais s'ils savent, découvrent ou croient raisonnablement qu'il y a eu (1) un accès non autorisé ou une acquisition de données personnelles qui compromet la sécurité, la confidentialité ou l'intégrité des données personnelles, ou (2) une divulgation, un accès ou une utilisation non autorisés de toute donnée personnelle, ou (3) une intrusion non autorisée dans des systèmes contenant des données personnelles entraînant un accès non autorisé ou un accès dépassant l'autorisation ("violation de la sécurité des données") ;
      • En cas de violation de la sécurité des données, (1) enquêter immédiatement sur la violation de la sécurité des données, la corriger, l'atténuer, y remédier et la gérer d'une autre manière, notamment en identifiant les données à caractère personnel affectées par la violation de la sécurité des données et en prenant des mesures suffisantes pour empêcher la poursuite et la répétition de la violation de la sécurité des données ; et (2) fournir les informations et l'assistance nécessaires pour permettre au CLIENT d'évaluer la violation de la sécurité des données et, le cas échéant, de fournir en temps utile des avis divulguant une violation de la sécurité des données et de se conformer à toute obligation de fournir des informations sur la violation de la sécurité des données aux organismes de réglementation compétents.

 

ANNEXE 1 - ALTOO AG - MESURES TECHNIQUES ET ORGANISATIONNELLES

 

(A) Dispositions générales

Cette annexe décrit les mesures techniques et organisationnelles prises par Altoo AG pour protéger la confidentialité, l'intégrité et la disponibilité contractuelle des données personnelles.

 

(B) Mesures de sécurité techniques et organisationnelles

 
1. La confidentialité
    • Contrôle d'accès
      • "Les personnes non autorisées doivent se voir refuser l'accès (physique) aux installations de traitement des données dans lesquelles les données des clients (y compris les données à caractère personnel) sont traitées ou utilisées".
      • Mesures mises en œuvre :
        • Dart center (certifié) : Verrouillage du personnel avec badge, code PIN et empreinte digitale ; surveillance vidéo ; enregistrement des accès ; vérification régulière des permis d'accès permanents.
    • Contrôle de l'utilisateur
      • "Les systèmes de traitement des données doivent être protégés contre l'utilisation par des personnes non autorisées.
      • Mesures mises en œuvre :
        • Accès en ligne : connexion à plusieurs facteurs (nom d'utilisateur, mot de passe, 2fa, certificat du client, ...)
        • Contrôle régulier des utilisateurs autorisés
    • Contrôle d'accès et contrôle de la mémoire
      • "Il faut veiller à ce que les personnes autorisées à utiliser un système de traitement des données ne puissent accéder qu'aux données nécessaires à l'exécution de leurs tâches (besoin de savoir) et sous réserve de leur autorisation d'accès, et à ce que les données des clients (y compris les données à caractère personnel) ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage".
      • Mesures mises en œuvre :
        • Autorisations différenciées (profils, rôles, transactions et objets)
        • Révision régulière des utilisateurs autorisés et de leurs rôles
        • Pas de "partage de compte" (plusieurs personnes utilisent un même compte) / "ID utilisateur" unique (affectation de l'utilisateur)
 
2. L'intégrité
    • Contrôle des transferts (contrôle du transport, contrôle des supports de données et contrôle de la divulgation)
      • "Il faut veiller à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique ou pendant leur transport ou leur stockage sur des supports de données, et à ce qu'il soit possible de vérifier et de déterminer à quels points une transmission de données à caractère personnel est assurée par un équipement de transmission de données".
      • Mesures mises en œuvre :
        • Cryptage / connexion par tunnel (VPN = Virtual Private Network)
        • Enregistrement Signature électronique
        • Stockage crypté Journalisation Sécurité du Transport (HTTPS)
    • Contrôle et enregistrement des entrées
      • "Il faut veiller à ce qu'il soit possible de vérifier et d'établir a posteriori si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées".
      • Mesures mises en œuvre :
        • Enregistrement
 
3. Disponibilité et résilience
    • Contrôle de la disponibilité et récupération
      • "Veiller à ce que les données des clients (y compris les données personnelles) soient protégées contre la destruction ou la perte accidentelle ou délibérée.
      • Une récupération rapide doit être assurée".
      • Mesures mises en œuvre :
        • Procédures de sauvegarde, redondance (résilience) du stockage des données et des systèmes informatiques, alimentation électrique sans interruption (ASI), stockage séparé, protection contre les virus / pare-feu, plan d'urgence (plan de reprise a
    • Résilience et fiabilité
      • "Il faut veiller à ce que les systèmes informatiques restent fonctionnels même en cas de dysfonctionnements et d'erreurs. En outre, il faut veiller à ce que les dysfonctionnements des systèmes informatiques soient signalés en interne."
      • Mesures mises en œuvre :
        • Les systèmes informatiques sont conçus de manière à ce que les fonctions essentielles restent exécutables même en cas de dysfonctionnements et d'erreurs (redondance).
        • Les installations sont planifiées et mises en œuvre de telle sorte qu'il existe une sécurité contre les défaillances adaptée au risque (redondance/résilience).
        • Des procédures de signalement des dysfonctionnements à un service d'assistance sont mises en œuvre (surveillance avec alerte).
 
4. Procédures d'examen, d'évaluation et de contrôle réguliers
    • Gestion de la protection des données
      • Mesures mises en œuvre :
        • Système de gestion de la sécurité de l'information (ISMS) régulièrement audité
        • Guide de sécurité de l'information du Dok (spécification des données à protéger approuvée par le RV)
        • Ligne directrice sur la sécurité de l'information (instructions de comportement pour les employés en ce qui concerne la sécurité des données)
    • Gestion des réponses aux incidents (détection et atténuation ou élimination des violations de la sécurité
      • Mesures mises en œuvre :
        • La direction doit être informée (conformément à la directive sur la sécurité de l'information d'Altoo), qui ordonne alors d'autres mesures en fonction de la situation.
    • Préférences respectueuses de la vie privée
      • Mesures mises en œuvre :
        • Profils d'autorisation initialement restrictifs et régulièrement contrôlés
    • Contrôle des commandes
      • "Pas de traitement de données commandé ou sous-traité sans instructions appropriées du client".
      • Mesures mises en œuvre :
        • Une conception claire du contrat
        • Placement d'une commande par écrit

 

COMMENT NOUS POUVONS MODIFIER LE PRÉSENT AVENANT SUR LE TRAITEMENT DES DONNÉES

Nous pouvons modifier le présent addendum sur le traitement des données à tout moment, en particulier si nous modifions nos pratiques en matière de traitement des données ou si une nouvelle législation devient applicable. La version publiée sur notre site web s'applique à tout moment.

Le présent avenant sur le traitement des données est rédigé en anglais uniquement, langue qui fait foi à tous égards. Toutes les versions du présent avenant dans une autre langue ne sont données qu'à titre d'information.

 

Dernière mise-à-jour: 13.09.2023

Altoo

La Plateforme Altoo agrège des données patrimoniales provenant de sources multiples afin de fournir des analyses, des performances et des rapports complets sur le patrimoine. Il s'agit d'une plateforme SaaS moderne et sophistiquée, hautement sécurisée, 100% développée et hébergée en Suisse.

Nous contacter
Icône Linkedin Twitter
Plateforme Altoo Wealth Media

Plateforme

Solution

Entreprise

Contactez-Nous

Altoo AG

Zugerstrasse 77
6340 Baar
Suisse

+41 58 502 25 25

Icône Linkedin Twitter
Plateforme Altoo Wealth Media

Ⓒ Altoo 2018-2024. Fabriqué en Suisse. Tous droits réservés.

Icône du menu gauche