Accord de traitement des données (DPA)
Version : janvier 2026*
Parties : Adopt-AI SA («Sous-traitant») et tout Responsable du traitement utilisant la plateforme Nectos
Préambule
Le présent Accord de traitement des données (ci-après « DPA ») complète les Conditions d'utilisation de Nectos et régit le traitement des données personnelles par Adopt-AI SA en tant que sous-traitant pour le compte des utilisateurs professionnels (Responsables du traitement) de la plateforme Nectos.
Le présent DPA est conforme aux exigences de la loi fédérale suisse sur la protection des données (nLPD/LPD), du RGPD (dans la mesure applicable), ainsi que des normes nDSG suisses.
1. Définitions
«Responsable du traitement» : toute personne physique ou morale utilisant la plateforme Nectos dans le cadre de ses activités professionnelles et déterminant les finalités et moyens du traitement des données personnelles.
«Sous-traitant» : Adopt-AI SA, Rue du Pré-de-la-Bichette 1, 1202 Genève, Suisse, CHE-147.175.593.
«Données à caractère personnel» : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'art. 5 nLPD.
«Traitement» : toute opération effectuée sur des données personnelles, qu'elle soit automatisée ou non.
2. Objet et instructions de traitement
Le Sous-traitant traite les données personnelles uniquement :
- Sur instruction documentée du Responsable du traitement
- Dans le but exclusif de fournir le service Nectos
- Conformément au présent DPA et aux Conditions d'utilisation
Le Sous-traitant informe immédiatement le Responsable du traitement s'il estime qu'une instruction viole la législation applicable.
3. Catégories de données traitées
| Catégorie | Description |
|---|---|
| Données d'identification | Nom, prénom, adresse e-mail, identifiants de compte |
| Données professionnelles | Nom de l'entreprise, rôle, département |
| Contenu utilisateur | Documents, conversations IA, requêtes, bases de connaissances |
| Données d'utilisation | Journaux d'accès, métriques d'utilisation, horodatages |
4. Personnes concernées
Les catégories de personnes concernées par le traitement sont :
- Les employés, collaborateurs et mandataires du Responsable du traitement
- Toute personne dont les données sont contenues dans les documents téléchargés sur la plateforme
5. Résidence et localisation des données
Toutes les données sont traitées et stockées exclusivement en Suisse, sur l'infrastructure d'Hidora SA, prestataire cloud certifié ISO 27001 situé en Suisse.
Aucun transfert de données personnelles hors de Suisse ne sera effectué sans l'accord écrit préalable du Responsable du traitement, sauf obligation légale impérative.
6. Engagement de non-entraînement — Garantie contractuelle
Adopt-AI SA s'engage formellement et contractuellement à ne jamais utiliser les données personnelles du Responsable du traitement ou de ses utilisateurs pour :
- Entraîner, pré-entraîner ou ré-entraîner tout modèle d'intelligence artificielle
- Affiner (fine-tuning) tout modèle d'IA
- Améliorer, évaluer ou tester tout modèle d'IA
- Constituer des jeux de données d'entraînement
Cet engagement est absolu, s'applique à tous les niveaux de la chaîne de traitement et est opposable aux sous-traitants ultérieurs.
7. Mesures techniques et organisationnelles (MTO)
Le Sous-traitant met en œuvre et maintient les mesures de sécurité suivantes :
Mesures techniques :
- Chiffrement des données en transit : TLS 1.3
- Chiffrement des données au repos : AES-256
- Authentification multi-facteurs (MFA) pour les accès administratifs
- Contrôle d'accès basé sur les rôles (RBAC)
- Tests de sécurité offensifs à chaque déploiement (80+ tests)
- Tests de pénétration réguliers par des tiers indépendants
Mesures organisationnelles :
- Accès aux données clients limité au personnel nécessaire (principe du moindre privilège)
- Engagement de confidentialité pour tout le personnel ayant accès aux données
- Procédures documentées de réponse aux incidents
- Plan de continuité d'activité (PCA)
8. Sous-traitants ultérieurs
Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hidora SA | Hébergement de l'infrastructure | Suisse |
| Payrexx AG | Traitement des paiements | Suisse (Thun) |
Le Sous-traitant informera le Responsable du traitement de tout changement de sous-traitant ultérieur 30 jours à l'avance, lui permettant de s'y opposer. Le Sous-traitant impose aux sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA.
9. Coopération et droits des personnes concernées
Le Sous-traitant assistera le Responsable du traitement dans le respect des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition), dans les délais légaux.
En cas de demande directe d'une personne concernée, le Sous-traitant redirigera cette demande vers le Responsable du traitement sans délai.
10. Notification des violations de données
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, le Sous-traitant :
- Notifiera le Responsable du traitement dans les 72 heures suivant la prise de connaissance de l'incident
- Fournira une description de la nature de la violation, des catégories et volumes de données concernées, des mesures prises et des recommandations
11. Analyses d'impact (AIPD)
Le Sous-traitant fournira au Responsable du traitement toute l'assistance raisonnablement nécessaire pour la réalisation d'analyses d'impact sur la protection des données (AIPD) lorsque celles-ci sont requises.
12. Audit et conformité
Le Responsable du traitement a le droit de :
- Demander des informations documentées sur la conformité du Sous-traitant
- Diligenter des audits (ou mandater un auditeur tiers) dans des conditions convenues mutuellement
- Recevoir annuellement un rapport de synthèse sur les mesures de sécurité
13. Durée et suppression des données
Le présent DPA s'applique pendant toute la durée du contrat principal (Conditions d'utilisation).
À la résiliation du contrat principal :
- Le Responsable du traitement dispose de 30 jours pour exporter ses données
- À l'issue de ce délai, toutes les données sont supprimées de manière sécurisée et irréversible
- Le Sous-traitant remet une attestation de suppression sur demande
Les données de facturation sont conservées 10 ans conformément aux obligations légales suisses.
14. Droit applicable et for juridique
Le présent DPA est régi par le droit suisse. Tout litige est soumis à la juridiction exclusive du Tribunal de première instance du canton de Genève.
15. Contact délégué à la protection des données
Pour toute question relative au présent DPA :
Adopt-AI SA
contact@nectos.ch
Rue du Pré-de-la-Bichette 1, 1202 Genève, Suisse
Pour recevoir un DPA signé et personnalisé pour votre organisation, contactez-nous à contact@nectos.ch.