01Objet
Le présent contrat de sous-traitance (ci-après « DPA ») a pour objet de définir les conditions dans lesquelles Neolia Sàrl (ci-après le « Sous-traitant ») traite, pour le compte du Client (ci-après le « Responsable »), des données à caractère personnel relatives aux résidents et utilisateurs des immeubles équipés des services Neolia.
Le DPA constitue une annexe indissociable des CGV Neolia. En cas de divergence sur le traitement des données, les stipulations du présent DPA prévalent.
02Rôles et périmètre
Le Responsable détermine les finalités et les moyens du traitement des données de ses résidents. Le Sous-traitant les traite uniquement sur instruction documentée du Responsable, dans la limite des fonctionnalités contractuelles de la plateforme Neolia.
Pour les traitements relevant de l'exploitation propre de Neolia (compte régie, facturation B2B, statistiques d'usage agrégées, amélioration produit), Neolia agit en qualité de responsable du traitement distinct, encadré par sa politique de confidentialité.
03Nature, finalité et durée des traitements
Les traitements opérés par le Sous-traitant pour le compte du Responsable sont décrits à l'Annexe 1. À titre indicatif :
- acheminement des appels d'interphone vers les apps des résidents ;
- contrôle d'accès aux portes communes (logs d'ouverture) ;
- collecte et restitution des données de comptage énergie individualisé ;
- support utilisateur de premier niveau pour les résidents.
La durée du traitement correspond à la durée du contrat principal (CGV) augmentée des durées de rétention listées à l'Annexe 1.
04Instructions du Responsable
Le Sous-traitant ne traite les données que sur instructions documentées du Responsable. Les CGV, le DPA et les paramètres de configuration du portail régie constituent les instructions standards. Toute instruction additionnelle doit être formulée par écrit et signée par un représentant habilité du Responsable.
Le Sous-traitant informe immédiatement le Responsable s'il estime qu'une instruction constitue une violation de la nLPD, du RGPD ou d'autres dispositions applicables.
05Confidentialité du personnel
Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité contractuelle, équivalente à un secret professionnel, et reçoivent une formation périodique à la protection des données. La liste des personnes habilitées est limitée au principe du moindre privilège et tenue à jour.
06Mesures techniques et organisationnelles
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles (TOMs) appropriées pour garantir un niveau de sécurité adapté au risque. Le détail figure à l'Annexe 3 et dans la charte sécurité. Sont notamment couverts :
- la pseudonymisation et le chiffrement des données (au repos et en transit) ;
- la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes ;
- la capacité à rétablir l'accès aux données en cas d'incident, dans des délais raisonnables ;
- une procédure régulière de test, d'analyse et d'évaluation de l'efficacité des mesures.
07Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour l'exécution du contrat, listés à l'Annexe 2. Le Sous-traitant :
- impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent DPA ;
- demeure pleinement responsable envers le Responsable de l'exécution par le sous-traitant ultérieur de ses obligations ;
- informe le Responsable de tout ajout ou remplacement avec un préavis de 30 jours, ouvrant un droit d'opposition motivé.
08Transferts internationaux
Les données sont stockées par défaut en Suisse. Tout transfert vers un pays ne disposant pas d'un niveau de protection adéquat reconnu par le PFPDT ou la Commission européenne est encadré par :
- les Clauses Contractuelles Types applicables (modules CCT 2021/914 ou Module 3 — sous-traitant à sous-traitant) ;
- une analyse d'impact des transferts (TIA) documentée et accessible au Responsable sur demande ;
- des mesures complémentaires (chiffrement, pseudonymisation, minimisation préalable au transfert).
09Assistance aux demandes des personnes concernées
Le Sous-traitant met à disposition du Responsable, via le portail régie, les outils nécessaires pour répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité, limitation, opposition). Pour les demandes complexes nécessitant une intervention manuelle, le Sous-traitant assiste le Responsable dans un délai de 10 jours ouvrés, dans la mesure raisonnable.
10Violation de données personnelles
En cas de violation de données concernant le traitement objet du présent DPA, le Sous-traitant notifie le Responsable sans retard injustifié et au plus tard dans les 48 heures suivant la constatation. La notification comprend :
- la nature de la violation, les catégories et le nombre approximatif de personnes concernées ;
- les conséquences probables de la violation ;
- les mesures prises ou proposées pour y remédier et atténuer ses effets.
Le Sous-traitant assiste le Responsable dans ses obligations de notification au PFPDT (art. 24 nLPD) ou à l'autorité de contrôle compétente (art. 33 RGPD) et, le cas échéant, aux personnes concernées.
11Audit et démonstration de conformité
Le Sous-traitant met à disposition du Responsable, sur demande, toutes les informations nécessaires à la démonstration du respect des obligations du présent DPA, notamment :
- la dernière version du registre des activités de traitement opérées pour le Responsable ;
- les rapports d'audit externes (test d'intrusion annuel, ISO 27001 le cas échéant), sous engagement de confidentialité ;
- les certificats des sous-traitants ultérieurs critiques.
Le Responsable peut, à ses frais et avec un préavis de 30 jours, faire réaliser un audit sur place ou documentaire par un tiers indépendant accepté par les deux parties, dans la limite d'un audit par an, sauf incident grave.
12Fin du contrat — sort des données
À la fin du contrat principal, le Sous-traitant :
- remet au Responsable une exportation complète des données dans un format structuré (CSV/JSON) sous 30 jours ;
- maintient un accès en lecture seule pendant 60 jours supplémentaires ;
- procède à la suppression sécurisée de toutes les copies sous 90 jours, sauf rétention légale (factures, obligations comptables).
Un certificat de suppression daté est remis au Responsable sur demande.
AnnexesAnnexes du DPA
Annexe 1 — Description des traitements
| Traitement | Catégories de données | Personnes concernées | Rétention |
|---|---|---|---|
| Acheminement appels interphone | Identité, contact, métadonnées d'appel | Résidents | 30 jours (logs) |
| Snapshots d'appels manqués | Image de la personne sonnant | Visiteurs | 7 jours |
| Contrôle d'accès | Identifiant interne, horodatage, point d'accès | Résidents, services | 12 mois |
| Comptage énergie | Index, profils horaires | Lots / résidents | 5 ans (LEne) |
| Support utilisateur | Identité, contact, ticket | Résidents | 24 mois |
Annexe 2 — Liste des sous-traitants ultérieurs autorisés
| Entité | Service | Localisation |
|---|---|---|
| Infomaniak Network SA | Hébergement web & backend | Suisse |
| Exoscale (A1 Telekom) | Stockage objet & bases managées | Suisse |
| Twilio Inc. | SMS authentification | Irlande / É.-U. |
| Postmark | Emails transactionnels | É.-U. (DPF) |
| Stripe Payments Europe | Encaissements B2B | Irlande |
| Sentry | Détection de crashs | É.-U. (DPF) |
La version à jour est consultable sur le portail régie, rubrique « Conformité ».
Annexe 3 — Mesures techniques et organisationnelles
Pour le détail complet, voir la charte sécurité. Synthèse :
- Chiffrement : TLS 1.3 en transit, AES-256 au repos.
- Authentification : 2FA obligatoire pour les accès régie et internes, SSO supporté.
- Gestion des accès : moindre privilège, revue trimestrielle, journalisation.
- Sauvegardes : répliquées quotidiennement entre Suisse romande et alémanique.
- Tests : pentest externe annuel, bug bounty privé, scans automatiques en continu.
- Continuité : RTO 4 heures, RPO 1 heure pour les services critiques.