Contrat de sous-traitance de données (CSTD) entre le détenteur d’un compte Hoop («le mandant») et Hoop Corporate SA, Heiligkreuzstrasse 5, 9008 St. Gallen («le mandataire»). Désignées individuellement «la partie» ou conjointement «les parties».
1. Préambule
(1) Le mandant confie au mandataire des tâches de traitement des données à caractère personnel («données») au sens des dispositions légales relatives à la protection des données. Dans ce contexte, le mandataire peut être un sous-traitant ou un autre sous-traitant en termes de protection des données. Ces tâches ont lieu dans le cadre de la mise en œuvre de contrats, de droits à la garantie, de solutions d’hébergement et de services, de demandes d’assistance, de travaux de maintenance ou d’autres tâches pour lesquelles le mandataire a accès aux données (y compris l’«accès à distance» ou les sauvegardes de données), ou qui sont mises à sa disposition d’une autre manière par le mandant ou ses clients ou dont il peut prendre connaissance.
(2) Le présent contrat est conclu afin de garantir le respect des exigences légales. Il s’applique à toutes les activités liées aux contrats conclus entre les parties, dans le cadre desquelles les collaborateurs du mandataire ou des personnes autorisées par le mandataire traitent des données du mandant (y compris les données de ses clients). Le présent contrat s’applique également à tous les contrats futurs conclus entre les parties qui prévoient une sous-traitance de données.
2. Objet du contrat
(1) L’objet du présent contrat, auquel il est fait référence ici, ainsi que sa nature et sa finalité découlent des contrats respectifs conclus entre les parties et pouvant inclure une sous-traitance de données.
(2) La sous-traitance des données est effectuée par le mandataire en Suisse et dans les États membres de l’UE. Tout traitement dans un état tiers est effectué conformément au consentement accordé par le mandant dans le présent contrat. Le mandant est responsable de l’existence des bases juridiques nécessaires pour un traitement licite des données en dehors de la Suisse.
(3) Tout autre transfert de tout ou partie de la sous-traitance des données vers d’autres pays tiers ne pourra avoir lieu que si les prescriptions spéciales du droit sur la protection des données sont respectées (p. ex. décision d’adéquation, clauses types de protection des données, code de conduite approuvé ou autre garantie appropriée pour le transfert des données).
(4) Actuellement, le traitement des données en sous-traitance est confié à d’autres sous-traitants en Suisse et pour certaines parties du traitement des données, à des sous-traitants dans des États membres de l’UE. Dans la mesure du possible, le mandataire s’efforce de trouver, pour l’utilisation de logiciels et d’outils de sous-traitants situés en dehors du territoire suisse, une solution on prem ou de serveur en Suisse. Une liste à jour des autres sous-traitants du mandataire est intégrée au présent contrat et en fait partie intégrante.
3. Durée du contrat
(1) La durée du présent contrat dépend de la durée des contrats de sous-traitance des données conclus entre les parties, pour autant que les dispositions du présent contrat ne prévoient aucune obligation ou aucun droit de résiliation plus étendus.
(2) En cas d’infraction grave aux règles applicables en matière de protection des données ou aux dispositions du présent contrat, les parties peuvent résilier le présent contrat de sous-traitance de données en respectant un préavis de 4 semaines. En cas d’infraction simple, à savoir ni intentionnelle ni consécutive à une négligence grave, l’une des parties contractantes fixera à l’autre un délai convenable dans lequel cette dernière pourra remédier à l’infraction.
4. Nature et finalité du traitement, type de données et catégories de personnes concernées
(1) Les activités du mandataire comprennent les prestations relatives aux services décrits dans les contrats conclus entre les Parties et dans le cadre desquelles une sous-traitance des données par le mandataire est possible.
Les activités du mandataire peuvent notamment comprendre ce qui suit :
- hébergement d’applications, de solutions logicielles et de données
- installation et test de logiciels auprès du mandant ou de ses clients
- améliorations des prestations fournies
- maintenance, installation et test des hotfixes fournis, des servicepacks et des nouvelles versions des logiciels
- activités dans le cadre du support
- accès et traitement des données du mandant ou de ses clients
- obtention et traitement de sauvegardes de données
Les types de traitement suivants sont possibles :
- collecte, saisie, organisation ou classification de données
- conservation, adaptation ou modification des données
- exportation, consultation, utilisation, divulgation de données par transmission
- diffusion ou toute autre forme de mise à disposition, comparaison ou combinaison de données
- limitation, suppression ou destruction de données
(2) Le type de données traitées et les catégories de personnes concernées découlent de l’objet du contrat respectif et des services à fournir. Les types de données suivants peuvent être concernés:
- Données personnelles de base
- Copies et détails des documents d’identité et d’identification
- Informations sur la vie professionnelle telles que la désignation du poste, la fonction, etc.
- Informations sur la vie privée, par ex. domicile, situation familiale, etc.
- informations sur l’utilisateur telles que les données de login, numéro de client, comportement de l’utilisateur, comportement de consommation
- données de communication (p. ex. téléphone, adresse e-mail)
- données de base du contrat (description du contrat, intérêt produit ou contrat)
- données historiques du client
- données de facturation ou de paiement du contrat
- données de planification et de contrôle
- données du projet
- renseignements (provenant de tiers, par ex. de sociétés de renseignements, données de registres publics)
- informations techniques telles que l’adresse IP, les informations sur l’appareil, etc.
- Toutes les données que le mandant transmet au mandataire dans le cadre du traitement des données
De surcroît, des catégories particulières de données à caractère personnel / données sensibles peuvent également être concernées, la classification des données étant déterminée par la législation applicable en matière de protection des données.
Ces données peuvent concerner les catégories suivantes de personnes concernées:
- Personnes physiques telles que le mandant, les collaborateurs du mandant, les candidats, les freelancer, les collaborateurs de clients (potentiels), de clients finaux et commerciaux, les abonnés aux produits contractuels du mandant, les prospects, les partenaires commerciaux, les fournisseurs, les représentants commerciaux, les vendeurs et les commerçants ainsi que leurs collaborateurs respectifs en tant qu’interlocuteurs.
- Pour les personnes morales, leurs personnes physiques, telles que leurs collaborateurs, les collaborateurs de leurs partenaires commerciaux, partenaires contractuels, bénéficiaires de prestations de services, prestataires de services ou autres auxiliaires de clients (potentiels), fournisseurs, vendeurs, commerçants.
- Pour les entités juridiques, leurs personnes physiques, telles que leurs collaborateurs de corporations de droit public, sous la forme de partenaires commerciaux, de partenaires contractuels, de bénéficiaires de prestations de service, de prestataires de services ou d’autres auxiliaires de clients (potentiels), de fournisseurs, etc.
5. Droits, pouvoir d’instruction et obligations du mandant
(1) Le mandant ou ses clients sont seuls responsables au sens de la protection des données (ci-après «responsables du traitement») pour l’appréciation du caractère licite du traitement ainsi que pour la protection des droits des personnes concernées. Le mandataire fera suivre au mandant toutes les demandes, pour autant qu’elles s’adressent clairement au mandant ou à un responsable du traitement.
(2) Les changements de l’objet du traitement et les changements de processus peuvent être convenus conjointement entre le mandant et le mandataire et fixés par écrit ou dans un format électronique documenté.
(3) Le mandant est en droit de donner des instructions au mandataire et les donne généralement par écrit ou dans un format électronique documenté. Les instructions orales doivent être immédiatement confirmées par le mandant, par écrit ou dans un format électronique documenté. Les instructions doivent être conservées pendant toute leur durée de validité et ensuite pour trois années civiles complètes au moins. Les instructions qui ne sont pas prévues par le contrat respectif seront traitées comme une demande de modification de la prestation et devront être rémunérées en conséquence par le mandant.
(4) Les collaborateurs du mandant habilités à donner des instructions et les destinataires des instructions auprès du mandataire sont définis individuellement par les parties tout en déterminant les canaux de communication à utiliser.
(5) Le mandant informera immédiatement le mandataire si, lors de la vérification des résultats du mandat, il devait constater ou être informé de violations de la protection des données, d’erreurs ou d’irrégularités. Le mandataire prend les mesures nécessaires pour sauvegarder les données et atténuer les éventuelles conséquences préjudiciables pour les personnes concernées. Il pourra pour cela se concerter avec le mandant.
(6) Le mandant ou ses clients sont seuls responsables des données qui sont mises à la disposition du mandataire. Le mandant garantit que ces données ont été traitées de façon licite (devoir d’information, base juridique, respect des principes en matière de protection des données, etc.) et qu’il est en droit de continuer à les traiter. Le mandataire n’est pas responsable de l’appréciation de l’admissibilité du traitement et de la sauvegarde des droits des personnes concernées.
(7) En principe, le mandant rémunérera les prestations d’assistance fournies par le mandataire qui ne sont pas dues à une mauvaise conduite du mandataire de manière appropriée en fonction des dépenses effectives encourues. Les tarifs horaires courants du mandataire s’appliqueront alors.
6. Obligations du mandataire
(1) Le mandataire traite les données exclusivement dans le cadre des contrats conclus et conformément aux instructions documentées du mandant, à moins qu’il ne soit tenu à d’autres traitements en vertu du droit applicable auquel le mandataire est soumis (p. ex enquêtes des autorités de poursuite pénale ou de protection de l’État); dans un tel cas, le mandataire informera le mandant de cette obligation juridique avant le traitement, dans la mesure où le droit concerné n’interdit pas une telle notification pour des motifs d’intérêt public importants. Finalité, nature et étendue du traitement des données sont exclusivement régies par le présent contrat et/ou les instructions du mandant.
(2) Le mandataire informera immédiatement le mandant si une instruction donnée par le mandant devait contrevenir manifestement aux dispositions légales. Le mandataire est autorisé à suspendre l’exécution de l’instruction correspondante jusqu’à ce qu’elle soit confirmée ou modifiée par le responsable du traitement ou par le mandant après vérification. Si le mandataire est en mesure de démontrer qu’un traitement conforme aux instructions du mandant peut engager la responsabilité du mandataire, celui-ci est en droit de suspendre la suite du traitement jusqu’à clarification de la responsabilité de chaque partie.
(3) Le mandataire n’utilisera pas les données fournies pour le traitement à d’autres fins, notamment à ses propres fins. Des copies ou duplicatas des données ne seront pas effectués à l’insu du mandant. En sont exclues les copies de sauvegarde, dans la mesure où elles sont nécessaires pour garantir un traitement en règle des données, ainsi que les données nécessaires pour le respect des obligations légales de conservation.
(4) Le mandataire n’est pas autorisé à rectifier ou supprimer des données traitées dans le cadre du mandat ou à en limiter le traitement de son propre chef, mais uniquement après avoir reçu des instructions documentées du mandant.
(5) Dans son domaine de responsabilité, le mandataire concevra et contrôlera l’organisation interne de son entreprise de sorte qu’elle réponde aux exigences propres à la protection des données.
(6) Le mandataire tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du mandant, comprenant toutes les informations utiles d’un registre des activités de traitement.
(7) Les données traitées pour le mandant seront strictement séparées des autres stocks de données. Une séparation physique n’est pas impérativement nécessaire.
(8) Les supports de données qui proviennent du mandant ou sont utilisés pour celui-ci seront identifiés de manière spécifique. Les entrées et sorties ainsi que l’utilisation en cours seront documentées.
(9) Le mandataire coopérera, dans la mesure nécessaire, au respect des droits des personnes concernées par le mandant, à la sécurité du traitement, à la notification des violations de la protection des données, à l’information des personnes concernées par une violation de la protection des données, aux analyses d’impact relatives à la protection des données du mandant, ainsi qu’aux consultations nécessaires d’une autorité de contrôle, et soutiendra raisonnablement le mandant, dans la mesure du possible.
(10) Le traitement des données en dehors des locaux du mandataire, par exemple chez les collaborateurs qui travaillent à domicile, est autorisé par le mandant dans le présent contrat. Dans de tels cas, les mesures techniques et organisationnelles appropriées sont prises pour assurer la sécurité des données.
(11) Le mandataire s’engage à respecter la confidentialité des données lors de leur traitement conforme au mandat. Cette obligation restera applicable au-delà de la relation contractuelle. Le cas échéant, il observera également les règles de protection du secret pertinentes incombant au mandant.
(12) Avant le début de l’activité de traitement, le mandataire informe les collaborateurs chargés de la sous-traitance des données ainsi que les autres personnes travaillant pour lui, des dispositions pertinentes en matière de protection des données qui leur sont applicables et les soumet à une obligation de confidentialité de manière appropriée, pendant la durée de leur activité mais également après la fin de leur engagement. Il leur est interdit de traiter les données en dehors du cadre des instructions du mandant, sauf s’ils y sont tenus par la loi.
(13) Un délégué à la protection des données est désigné chez le mandataire. Les coordonnées actuelles sont publiées sur le site Internet du mandataire et sont facilement accessibles.
7. Obligation de notification du mandataire en cas de violation de la protection de données
(1) Si le mandataire devait avoir connaissance d’une violation de la protection de données ou de la sécurité de données, il la notifiera immédiatement après en avoir eu connaissance au mandant, oralement, par écrit ou sous forme de texte.
(2) La communication au mandant devra, à tout le moins :
(3) décrire la nature de la violation de données y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées par la violation ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
(4) décrire les mesures que le mandataire a prises ou propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les potentiels effets préjudiciables.
(5) S’il devait exister un devoir d’information à l’égard de tiers (tels que les personnes concernées) ou toute autre obligation légale de notification (par exemple à une autorité de contrôle) qui s’applique au mandant ou à un responsable du traitement, le mandant ou le responsable du traitement sera chargé de veiller à ce que ce devoir / cette obligation soit respecté(e).
8. Rapports de sous-traitance avec d’autres sous-traitants
(1) Ces rapports de mandat incluent les services qui sont directement liés à la fourniture de la prestation principale ou de parties de celle-ci aux termes du présent contrat. N’en font pas partie les prestations purement accessoires, telles que les services de télécommunications, postaux ou de transport, les prestations de nettoyage ou de surveillance sans référence spécifique aux services que le mandataire fournit au mandant. Les prestations de maintenance, d’entretien et de contrôle ainsi que l’élimination des supports de données constituent – dans la mesure où l’accès aux données du mandant ou une prise de connaissance de celles-ci est possible – de tels rapports de mandat dans la mesure où elles sont fournies pour des systèmes IT également utilisés dans le cadre de la fourniture de prestations pour le mandant.
(2) Par le présent contrat, le mandataire est généralement autorisé à mandaté d’autres sous-traitants (p. ex. ajout ou remplacement d’un sous-traitant) pour le traitement des données du mandant. Une liste à jour des autres sous-traitants mandatés est disponible auprès du mandataire. Par le présent contrat, le mandant déclare accepter l’attribution des mandats susmentionnés.
(3) Le mandataire informe le mandant de tout changement prévu concernant l’ajout de nouveaux sous-traitants ou le remplacement de ceux existants, en donnant au mandant la possibilité d’émettre des objections à l’encontre de ces changements.
(4) À défaut d’objection du mandant dans le délai raisonnable communiqué par le mandataire, le mandant accepte le changement. En cas d’objection dans le délai imparti, le mandat n’est pas permis. Dans un tel cas, les parties trouveront une solution à l’amiable quant au sous-traitant concerné. Si aucune solution à l’amiable n’est trouvée, les Parties disposent d’un droit de résiliation extraordinaire. En cas d’urgence, le mandant émettra immédiatement son objection.
(5) Le mandataire veille à sélectionner avec soin les autres sous-traitants.
(6) L’engagement d’autres sous-traitants dans des pays tiers ne pourra avoir lieu que si les conditions spéciales prévues par le droit sur la protection des données sont respectées (p. ex. décision d’adéquation, clauses types sur la protection des données, code de conduite approuvé ou autre garantie appropriée pour le transfert des données). Le mandataire garantira le respect de ces conditions en adoptant des mesures appropriées. En revanche, dans la mesure où une telle transmission de données à caractère personnel est activée par le mandant lui-même, le respect des dispositions correspondantes lui incombe exclusivement.
(7) Le mandataire s’assure contractuellement que la réglementation convenue entre le mandant et le mandataire s’applique également aux autres sous-traitants. Le contrat avec les autres sous-traitants est établi par écrit ou sous forme électronique.
9. Mesures techniques et organisationnelles
(1) Pour chaque sous-traitance de données, un niveau de protection adapté au risque pour les droits et libertés des personnes concernées par le traitement est garanti. Pour ce faire, les objectifs de protection tels que la confidentialité, l’intégrité et la disponibilité des systèmes et des services ainsi que leur résistance par rapport à la nature, à la portée, aux circonstances et à la finalité du traitement, sont pris en compte de sorte à constamment réduire les risques au moyen des mesures correctrices techniques et organisationnelles appropriées.
(2) Une liste des mesures techniques et organisationnelles prises par le mandataire est disponible auprès de celui-ci. Les mesures qui y sont prévues représentent les mesures mises en œuvre chez le mandataire, conformément au risque identifié, compte tenu des objectifs de protection selon l’état des connaissances technologiques.
(3) Le mandataire procédera, le cas échéant ainsi qu’à intervalles réguliers, à une vérification, une analyse et une évaluation de l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Sur demande, le mandant pourra être informé des résultats, rapport d’audit compris. Au cours des rapports de mandat, les mesures prises chez le mandataire pourront être adaptées aux évolutions techniques et organisationnelles.
(4) Si les mesures prises chez le mandataire ne satisfont pas aux exigences du mandant, ce dernier en informera immédiatement le mandataire.
10. Droits et prétentions des personnes concernées
(1) Le mandataire aide le mandant à honorer ses obligations relatives aux demandes et prétentions des personnes concernées, dans la mesure du possible et au moyen de mesures techniques et organisationnelles appropriées.
(2) Si une personne concernée devait adresser au mandataire des requêtes de rectification, de blocage, de suppression ou d’accès aux données, le mandataire la renverra immédiatement au mandant, à condition qu’une attribution évidente au mandant soit possible selon les informations de la personne concernée, et attendra les instructions du mandant.
(3) Le mandataire ne pourra divulguer à des tiers des informations relatives aux rapports de mandat qu’après instruction préalable ou avec le consentement du mandant.
(4) Le mandataire n’est pas responsable si la demande de la personne concernée ne reçoit pas de réponse de la part du mandant ou de ses clients responsables du traitement, ou si la réponse est inexacte ou transmise hors délai.
11. Contrôles et vérifications
(1) Le mandataire vérifie à intervalles réguliers les processus internes et déclare accepter que le mandant soit autorisé à vérifier régulièrement le respect des règles en matière de protection et de sécurité des données ainsi que le respect des accords contractuels, avant le début du traitement et pendant la durée du contrat, dans une mesure raisonnable et nécessaire.
(2) Si nécessaire, le mandataire collaborera à ces vérifications. Le résultat devra être documenté.
(3) Si des vérifications devaient s’avérer nécessaires dans des cas particuliers, elles seront effectuées après les avoir annoncées avec un préavis suffisant, pendant les heures de bureau habituelles et sans perturber le déroulement des processus opérationnels. Le mandataire pourra subordonner ces vérifications à la signature d’une déclaration de confidentialité portant sur les données des autres clients et les mesures techniques et organisationnelles mises en place. Le mandant accepte la désignation d’un auditeur externe indépendant par le mandataire, à condition que ce dernier fournisse une copie du rapport d’audit sur demande du mandant.
(4) Si une autorité de contrôle de la protection des données ou une autre autorité de contrôle étatique devait procéder à une vérification, la signature d’un accord de confidentialité ne sera pas nécessaire si cette autorité de contrôle est soumise au secret professionnel ou aux règles de confidentialité prévues par la loi, dont la violation est passible de sanction en vertu du Code pénal.
5. Sur demande, le mandant et le mandataire coopéreront avec l’autorité de contrôle de la protection des données dans l’exécution de ses tâches.
12. Obligation du mandataire après la fin du mandat
(1) Dès la fin des travaux contractuels ou à tout moment sur demande du mandant, le mandataire remettra au mandant toutes les données et tous les stocks de données du mandant en sa possession et en relation avec le rapport de mandat, voire les supprimera ou les fera détruire dans le respect des dispositions en matière de protection des données (dans la mesure où cela n’est pas contraire à une obligation légale de conservation). Il en va de même pour les sauvegardes de données, le matériel de test et les restes de matériel à éliminer.
(2) À la demande du mandant, le mandataire pourra fournir la preuve de la suppression correcte des données encore existantes. Les documents à éliminer doivent être détruits à l’aide d’une déchiqueteuse. Les supports de données à éliminer doivent être détruits conformément à leur classification de sécurité. Sur demande, la suppression ou la destruction peut être confirmée au mandant par écrit ou dans un format électronique documenté, avec indication de la date.
(3) Le mandant est en droit de contrôler la restitution complète / l’effacement complet conforme au contrat des données chez le mandataire.
(4) Le mandataire est en droit de réclamer une rémunération raisonnable pour la remise, la suppression ou la destruction susmentionnée. Les tarifs horaires courants du mandataire s’appliqueront alors.
13. Responsabilité en cas de violation du présent contrat
(1) Pour la réparation des dommages subis par une personne concernée suite à un traitement ou une utilisation des données illicite ou incorrect(e) au sens des lois sur la protection des données, dans le cadre du présent contrat, le mandant et le mandataire sont solidairement responsables vis-à-vis de la personne concernée dans la mesure où les lois et prescriptions applicables en matière de protection des données le prévoient.
(2) Sous réserve d’un régime de responsabilité convenu séparément dans les contrats respectifs conclus entre les parties et pouvant inclure la sous-traitance des données, le mandataire répond vis-à-vis du mandant des dommages directs résultant de la violation de ses obligations en matière de protection des données résultant du présent contrat, jusqu’à un maximum du 10% de la rémunération effectivement versée pour la prestation à l’origine du dommage au cours des 12 derniers mois, sans toutefois dépasser un total de CHF 50’000.–, sauf si le mandataire n’est pas ou pas entièrement responsable de l’événement à l’origine du dommage.
(3) Les éventuelles limitations de responsabilité existantes entre le mandant et ses clients, en leur qualité de responsables du traitement, s’appliquent également en faveur du mandataire, de sorte que ce dernier n’est pas dans l’obligation d’indemniser le mandant pour les montants qu’il n’est pas tenu de payer en raison de ces limitations de responsabilité.
(4) Toute autre responsabilité est exclue dans la mesure autorisée par la loi. Le régime de responsabilité convenu dans les contrats respectifs conclus entre les Parties s’applique pour les autres dommages qui ne résultent pas d’une violation des obligations en matière de protection des données découlant du présent contrat.
14. Divers
(1) Les conventions portant sur les mesures techniques et organisationnelles ainsi que les documents de contrôle et de vérification doivent être conservés par les deux partenaires contractuels pendant leur durée de validité et ensuite pour trois années civiles complètes.
(2) Le mandataire se réserve le droit de modifier le présent contrat pour de justes motifs. Il communiquera au mandant les modifications à l’avance, dans un délai raisonnable, et par écrit ou d’une autre manière. Si le mandant ne fait pas usage de son droit de résiliation extraordinaire dans le délai d’un mois suivant cette communication, les modifications seront réputées acceptées.
(3) Les modifications, les compléments au présent contrat ainsi que les accords accessoires requièrent toujours la forme écrite ou un format électronique documenté. Il faudra spécifier expressément qu’il s’agit d’une modification, d’un complément ou d’un accord accessoire aux présentes conditions. Cela vaut également pour la renonciation à cette exigence de la forme écrite. L’exigence de forme ci-dessus ne s’applique pas aux modifications et aux compléments unilatéraux du présent contrat par le mandataire.
(4) Si la propriété ou les données du mandant à traiter sont mises en danger chez le mandataire par des mesures de tiers (p. ex. saisie ou séquestre), par une procédure d’insolvabilité ou de concordat ou par d’autres événements, le mandataire doit en informer immédiatement le mandant, à moins que cela ne lui soit interdit par décision judiciaire ou administrative. Le mandataire informera immédiatement tous les services compétents à ce sujet que la souveraineté et la propriété des données appartiennent exclusivement au mandant ou à ses clients en tant que responsables du traitement.
(5) L’exception du droit de rétention relativement aux données traitées pour le mandant et les supports de données correspondants est exclue.
(6) Si certaines dispositions du présent contrat devaient s’avérer invalides ou nulles, il n’en résulterait pas l’invalidité ou la nullité des autres dispositions. Dans ce cas, les dispositions invalides ou nulles devront être remplacées par des dispositions qui se rapprochent le plus possible du but économique du contrat. Il en va de même en cas de lacune du contrat.
(7) En cas d’éventuelles contradictions concernant la sous-traitance des données, les clauses du présent contrat relatives à la protection des données prévaudront sur les contrats respectifs conclus entre les parties.
(8) Tout différend relatif au présent contrat ou en relation avec ce dernier est soumis à la compétence exclusive des tribunaux du siège du mandataire. Le mandataire est toutefois également en droit de porter le litige devant le tribunal compétent du siège du mandant.
(9) Le présent contrat est régi par le droit suisse, à l’exclusion des règles du droit international privé.
Annexes:
Liste «Autres sous-traitants des données»
Liste «Mesures techniques et organisationnelles»