Accord de sous-traitance des données (DPA)

Cadre contractuel qui formalise les obligations de Souverain IA en tant que sous-traitant au sens de l'art. 9 nLPD, lorsque votre cabinet me confie des données personnelles dans le cadre d'une prestation d'automatisation.

Qu'est-ce qu'un DPA ?

Le DPA (Data Processing Agreement, ou accord de sous-traitance) est un document contractuel exigé par la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1) entrée en vigueur le 1^er septembre 2023. Son article 9 impose au responsable du traitement (votre cabinet) et au sous-traitant (Souverain IA) de formaliser par écrit les conditions de la sous-traitance.

Sans DPA signé, la sous-traitance de données personnelles est légalement irrégulière et peut engager la responsabilité de votre cabinet en cas de contrôle du Préposé fédéral à la protection des données et à la transparence (PFPDT).

Ce que contient le DPA Souverain IA

• Objet de la sous-traitancedescription précise des traitements confiés à Souverain IA dans le cadre des automatisations
• Durée du traitementliée à la durée du contrat de prestation
• Catégories de données traitéesdonnées clients du cabinet, données de dossiers, correspondance, données financières — toujours hébergées en Suisse
• Catégories de personnes concernéesclients du cabinet, parties adverses, témoins, collaborateurs
• Finalités du traitementexécution des automatisations contractuelles uniquement, jamais d'usage secondaire
• Mesures techniques et organisationnelles (TOM)chiffrement AES-256, TLS 1.3, MFA, journal d'accès, isolation tenant
• Sous-traitance ultérieureInfomaniak SA (Genève) seul sous-traitant — toute autre sous-traitance nécessite votre autorisation écrite préalable
• Lieu d'hébergementexclusivement en Suisse, aucun transfert hors territoire
• Droits des personnes concernéessoutien apporté au cabinet pour répondre aux demandes d'accès, de rectification ou d'effacement (art. 25 ss nLPD)
• Notification de violationdélai contractuel de 24 heures à compter de la connaissance pour signaler toute violation (art. 24 nLPD)
• Auditsdroit d'audit par le cabinet ou un auditeur tiers indépendant, sur préavis raisonnable
• Fin de traitementrestitution ou suppression certifiée des données dans les 30 jours suivant la fin du contrat, selon votre instruction

Quand le DPA est-il signé ?

Le DPA est signé en même temps que le contrat de prestation principal, avant tout traitement de données personnelles. Il est joint en annexe au contrat et fait partie intégrante de la relation contractuelle.

Pour les cabinets pilotes, le DPA est remis dès la phase de cadrage technique et signé en même temps que la convention pilote.

Téléchargement du modèle

Le modèle de DPA Souverain IA peut être consulté avant signature. Il est conforme aux exigences de l'art. 9 nLPD et tient compte des recommandations du PFPDT publiées en mai 2023.