Accord de traitement des données

1. Parties

2. Objet et durée

Le présent accord encadre le traitement des données personnelles effectué par SHElytics Sàrl (Sous-traitant) pour le compte du Responsable, dans le cadre de la fourniture de la plateforme SaaS de gestion de la sécurité chantier (shelytics.com).

La durée est coextensive à celle de l'abonnement SHElytics, plus la période de suppression prévue à l'article 8.

3. Nature et finalité du traitement

• Stockage et gestion des permis de travail, audits, communications chantier
• Gestion des signatures numériques des travailleurs et auditeurs
• Calcul de scores de conformité et génération de PDFs réglementaires
• Envoi de notifications email (Resend) en lien avec les activités chantier
• Authentification et contrôle d'accès des utilisateurs du Responsable

4. Catégories de données et personnes concernées

Aucune donnée de catégorie sensible (santé, origine ethnique, opinions politiques) n'est traitée sur la plateforme SHElytics.

5. Obligations du Sous-traitant (SHElytics)

• Traiter les données personnelles uniquement sur instruction documentée du Responsable
• Garantir la confidentialité des données (engagement du personnel, accès limité au nécessaire)
• Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (art. 7)
• Informer le Responsable sans délai (max. 72h) en cas de violation de données susceptible d'affecter ses droits
• N'engager aucun sous-traitant ultérieur sans information préalable du Responsable (liste §6)
• Assister le Responsable dans le respect de ses obligations envers les personnes concernées (exercice des droits, AIPD)
• Supprimer ou retourner toutes les données personnelles à l'issue du contrat (art. 8)

6. Sous-traitants ultérieurs autorisés

Le Responsable autorise expressément SHElytics à faire appel aux sous-traitants suivants :

SHElytics informera le Responsable de tout ajout ou remplacement de sous-traitant avec un préavis de 30 jours.

7. Mesures de sécurité (art. 8 nLPD)

• Chiffrement en transit : TLS 1.2+ (toutes les connexions)
• Chiffrement au repos : AES-256 (Supabase managed)
• Isolation multi-tenant : Row Level Security (RLS) sur 35 tables
• Authentification : sessions sécurisées, cookies HTTP-only
• Signatures : stockées dans Supabase Storage privé, jamais en base de données
• Accès admin : clé service-role côté serveur exclusivement
• Master Dashboard : WebAuthn (Passkey) + TOTP 2FA, IP whitelist optionnelle
• Roadmap certification ISO 27001 : Q4 2026

8. Suppression des données en fin de contrat

À l'expiration ou résiliation de l'abonnement, SHElytics procèdera comme suit :

• J+30 : export des données disponible sur demande (CSV)
• J+60 : archivage — les données sensibles sont effacées, seul l'audit trail minimal est conservé
• J+365 : suppression complète de toutes les données (sauf obligations légales comptables sur les données de facturation : 10 ans, CO art. 958f)

9. Violations de données (art. 24 nLPD)

En cas de violation de données à caractère personnel susceptible d'entraîner un risque élevé pour les droits des personnes concernées, SHElytics s'engage à :

• Notifier le Responsable dans les 72 heures suivant la découverte
• Fournir une description de la nature de la violation et des mesures prises
• Assister le Responsable dans sa notification au PFPDT et, le cas échéant, aux personnes concernées

10. Droit applicable et for juridique

Le présent accord est régi par le droit suisse, en particulier la nLPD 2023. En cas de litige, le for exclusif est le tribunal compétent du canton de Genève.

Pour les clients de l'Union européenne, les clauses contractuelles types (SCCs) de la Commission européenne s'appliquent en complément.

11. Contact DPA